Académique Documents
Professionnel Documents
Culture Documents
Architecture - et.Reseau,.Etudes - De.cas. .2eme - Edition
Architecture - et.Reseau,.Etudes - De.cas. .2eme - Edition
de rseaux
et tudes de cas
Seconde dition
CampusPress France a apport le plus grand soin la ralisation de ce livre afin de vous fournir une
information complte et fiable. Cependant, CampusPress France nassume de responsabilits, ni
pour son utilisation, ni pour les contrefaons de brevets ou atteintes aux droits de tierces personnes
qui pourraient rsulter de cette utilisation.
Les exemples ou les programmes prsents dans cet ouvrage sont fournis pour illustrer les descrip-
tions thoriques. Ils ne sont en aucun cas destins une utilisation commerciale ou professionnelle.
CampusPress France ne pourra en aucun cas tre tenu pour responsable des prjudices ou domma-
ges de quelque nature que ce soit pouvant rsulter de lutilisation de ces exemples ou programmes.
Tous les noms de produits ou marques cits dans ce livre sont des marques dposes par leurs
propritaires respectifs.
Publi par CampusPress France Titre original : CCIE Fundamentals : Network Design and
19, rue Michel Le Comte Case Studies, Second Edition
75003 PARIS
Tl. : 01 44 54 51 10 Traduit de lamricain par Christian Soubrier
Toute reproduction, mme partielle, par quelque procd que ce soit, est interdite sans autorisation pralable. Une copie par
xrographie, photographie, film, support magntique ou autre, constitue une contrefaon passible des peines prvues par la
loi, du 11 mars 1957 et du 3 juillet 1995, sur la protection des droits dauteur.
Table des matires
Chapitre 17. Configuration de EIGRP sur des rseaux Novell et AppleTalk .................. 571
Rseau Novell IPX ............................................................................................................. 571
Configuration dun rseau Novell IPX ......................................................................... 572
Intgration de EIGRP sur un rseau Novell IPX .......................................................... 572
Rseau AppleTalk ............................................................................................................... 582
Configuration dun rseau AppleTalk ........................................................................... 582
Intgration de EIGRP sur un rseau AppleTalk ........................................................... 583
Rsum ............................................................................................................................... 585
XIV Table des matires
Chapitre 23. HSRP pour un routage IP avec tolrance aux pannes ................................ 777
Fonctionnement de HSRP .................................................................................................. 780
Configuration de HSRP ..................................................................................................... 781
Configuration de groupes de secours Hot Standby ............................................................ 783
Suivi dinterface ........................................................................................................... 785
Equilibrage de charge ................................................................................................... 787
Interaction de HSRP avec des protocoles routs ............................................................... 789
AppleTalk, Banyan VINES et Novell IPX ................................................................... 789
DECnet et XNS ............................................................................................................ 789
Rsum .............................................................................................................................. 790
Annexe D. Configuration dhte SNA pour des rseaux SDLC ....................................... 821
Configuration FEP pour liaisons SDLC ............................................................................. 822
Tableau de configuration SDLC pour 3174 ....................................................................... 824
Annexe E. Diffusions broadcast sur des rseaux commuts ............................................. 827
Multicast IP ........................................................................................................................ 827
Rseaux IP .......................................................................................................................... 828
Rseaux Novell .................................................................................................................. 831
Rseaux AppleTalk ............................................................................................................. 832
Rseaux multiprotocoles .................................................................................................... 834
Annexe F. Rduction du trafic SAP sur les rseaux Novell IPX ....................................... 835
Listes daccs de filtrage des mises jour SAP ................................................................. 837
Site central .................................................................................................................... 837
Sites distants ................................................................................................................. 838
Mises jour SAP incrmentielles ...................................................................................... 838
Site central .................................................................................................................... 838
Sites distants ................................................................................................................. 839
Rsum ............................................................................................................................... 840
Annexe G. Introduction au transport de la voix en paquets ............................................. 841
Introduction ........................................................................................................................ 842
Codage de la voix ............................................................................................................... 843
Standards de codage de la voix .......................................................................................... 844
Qualit de compression ...................................................................................................... 846
Dlai ................................................................................................................................... 846
Options et problmes du transport de la voix par paquets ................................................. 848
Rseaux synchrones circuits commuts .................................................................... 849
Rseaux de trames/cellules ........................................................................................... 849
Rseaux de donnes en mode non connect ................................................................. 850
Rseaux de paquets X.25 .............................................................................................. 850
Rseaux de donnes privs ........................................................................................... 851
Signalisation : tablissement de la connexion pour la voix ............................................... 852
Signalisation externe .......................................................................................................... 853
Signalisation interne ........................................................................................................... 854
Applications de la voix par paquets ................................................................................... 856
Rsum ............................................................................................................................... 857
Annexe H. Rfrences et suggestions de lectures ............................................................... 859
Ouvrages et publications priodiques ................................................................................ 859
Publications techniques et standards .................................................................................. 862
XX Table des matires
1 Introduction
2 Notions essentielles sur la conception de rseaux
3 Conception de rseaux IP tendus avec protocoles
de routage interne
4 Conception de rseaux IP tendus avec BGP
5 Conception de rseaux ATM
6 Conception de rseaux commutation de paquets
et de rseaux Frame Relay
7 Conception de rseaux APPN
8 Interrseaux DLSw+
9 Conception et configuration avec CIP
10 Conception de rseaux DDR
11 Conception de rseaux RNIS
12 Conception de rseaux LAN commuts
13 Protocole PIM Sparse Mode
1
Introduction
Linterconnexion de rseaux, qui permet deux rseaux ou plus de communiquer, englobe tous les
aspects de la connexion des ordinateurs entre eux. Les rseaux se sont dvelopps pour pouvoir
rpondre des exigences de communication entre systmes terminaux trs varis. Ils ncessitent la
mise en uvre de nombreux protocoles et fonctionnalits pour pouvoir rester volutifs et tre admi-
nistrs sans quil soit ncessaire de recourir en permanence des interventions manuelles. Les
rseaux de grande taille peuvent se composer des trois lments suivants :
m les rseaux de campus, qui comprennent les utilisateurs connects localement, au sein dun
immeuble ou dun groupe dimmeubles ;
m les rseaux tendus (WAN, Wide Area Network) qui relient des campus ;
m les technologies de connexion distance, qui relient les bureaux de succursales et les utilisateurs
isols (itinrants et tltravailleurs) un campus local ou lInternet.
La Figure 1.1 fournit un exemple type de rseau dentreprise.
La conception dun rseau peut se rvler une tche ardue. Pour que le rseau soit fiable et capable
dvoluer, les concepteurs doivent garder lesprit que chacun des principaux composants prcits
possde ses exigences propres en matire de conception. Un rseau qui ne comprendrait que
50 nuds de routage selon une structure maille pourrait dj poser de srieux problmes avec des
rsultats imprvisibles. Tenter doptimiser un rseau qui comprendrait une centaine de nuds serait
encore plus difficile.
4 Partie I Architecture de rseaux
Figure 1.1
Un exemple de rseau WAN
dentreprise type.
Commutateur
Campus Campus
WAN
Malgr les amliorations constantes des performances des quipements et des capacits des mdias
de transmission, il est clair que la conception dun rseau fait intervenir des environnements de plus
en plus complexes, impliquant de nombreux types de supports de transmission, de protocoles et
dinterconnexions des rseaux qui, de plus, ne sont pas contrls par une seule organisation. Une
approche prudente peut nanmoins aider le concepteur liminer une partie des difficults lies
lextension dun rseau au fur et mesure de son volution.
Ce chapitre prsente les technologies aujourdhui disponibles pour la conception de rseaux. Voici
les sujets gnraux qui seront traits :
m la conception dun rseau de campus ;
m la conception dun rseau tendu (WAN) ;
m lutilisation de connexions distantes ;
m la fourniture de solutions intgres ;
m lidentification des exigences en matire de conception de rseaux.
Figure 1.2
Exemple de rseau Routeur
de campus. Immeuble B
WAN
Routeur Commutateur
Routeur
Immeuble A Immeuble C
Token Token
Ring Ring
Un grand campus peut aussi exploiter une technologie de rseau tendu (WAN) pour raccorder des
immeubles entre eux. Bien quil utilise le cblage et les protocoles propres cette technologie, il
chappe aux contraintes de cot lev de la bande passante. Aprs linstallation du cblage, la
bande passante se rvle peu coteuse, car lentreprise en est propritaire et na donc pas suppor-
ter les frais rcurrents dun fournisseur de services. Faire voluer le cblage reste toutefois une
opration onreuse.
En consquence, les concepteurs de rseaux adoptent gnralement une conception optimise en
fonction de larchitecture la plus rapide pouvant fonctionner avec le cblage existant. Ils peuvent
toutefois tre confronts la ncessit de faire voluer le cblage pour satisfaire aux exigences
dapplications mergeantes. Par exemple, les technologies haut dbit, telles que Fast Ethernet,
Gigabit Ethernet et ATM, en tant que rseau fdrateur, ainsi que la commutation au niveau de la
couche 2, peuvent fournir une bande passante ddie pour des applications de bureautique.
Tendances de conception
Par le pass, les concepteurs ne disposaient que dun nombre limit doptions matrielles, savoir
routeurs ou hubs, lorsquils devaient faire lacquisition dune technologie pour leurs rseaux de
campus. Une erreur dans la conception matrielle tait donc chose rare. Les hubs (concentrateurs)
taient prvus pour les armoires de cblage et les routeurs pour le centre de traitement des donnes
ou les oprations principales de tlcommunication.
6 Partie I Architecture de rseaux
Commutateur de Concentrateur
campus ATM CDDI/FDDI
Routeur Cisco
Routeur Cisco
Les fonctionnalits de rseau de la couche 3 sont ncessaires pour interconnecter les groupes de
travail commuts et fournir des services qui incluent scurit, qualit de service (QoS, Quality of
Service) et gestion du trafic. Le routage intgre ces rseaux commuts et assure la scurit, la stabi-
lit ainsi que le contrle ncessaires llaboration de rseaux fonctionnels et volutifs.
Traditionnellement, la commutation de couche 2 est assure par des commutateurs LAN, et la
commutation de couche 3 par des routeurs. On constate aujourdhui que ces deux fonctions de
rseau sont de plus en plus implmentes sur des plates-formes communes. Par exemple, des
commutateurs multicouches assurant cette fonctionnalit aux deux niveaux apparaissent maintenant
sur le march.
Avec lavnement de ces nouvelles fonctionnalits, telles que la commutation de couche 3, la commu-
tation LAN, et les rseaux locaux virtuels ou VLAN (Virtual Local Area Network), la construction de
rseaux de campus est devenue plus complexe que par le pass. Le Tableau 1.1 rcapitule les diverses
technologies LAN ncessaires llaboration dun rseau de campus. La socit Cisco Systems
propose des produits pour toutes ces technologies.
Les concepteurs crent maintenant des rseaux de campus en faisant lacquisition de types dquipe-
ments diffrents (par exemple, routeurs, commutateurs Ethernet et commutateurs ATM) et en les
raccordant. Bien que des dcisions dachat isoles puissent sembler sans consquences, les concepteurs
ne doivent pas perdre de vue que tous ces quipements fonctionnent de concert pour former un rseau.
Chapitre 1 Introduction 7
Technologies de routage Le routage est une technologie essentielle pour connecter des LAN
dans un rseau de campus. Il peut consister en une commutation de
couche 3 ou en un routage plus traditionnel incluant la commutation
de couche 3 et des fonctionnalits de routeur supplmentaires.
Gigabit Ethernet Cette solution est implmente au-dessus du protocole Ethernet, mais
offre un dbit dix fois suprieur celui du Fast Ethernet atteignant
1 000 Mbit/s ou 1 Gbit/s. Elle fournit une grande capacit de bande
passante pour concevoir des rseaux fdrateurs tout en assurant une
compatibilit avec les mdias installs.
Technologies de commutation LAN La commutation Ethernet assure la commutation de niveau 2 et
Commutation Ethernet offre des segments Ethernet ddis pour chaque connexion. Elle
reprsente la structure de base du rseau.
Technologies de commutation LAN La commutation Token Ring propose les mmes fonctionnalits que
Commutation Token Ring la commutation Ethernet, mais utilise une technologie propre
larchitecture danneau jeton. Vous pouvez utiliser un commutateur
Token Ring comme pont transparent ou pont routage par la source.
Commutation ATM Elle assure la commutation haut dbit pour transporter la voix, la
vido et les donnes. Son fonctionnement est semblable la com-
mutation LAN pour les oprations sur les donnes, mais elle fournit
toutefois une bande passante de plus grande capacit.
Il est possible de sparer ces technologies et dinstaller des rseaux bien penss exploitant chacune
delles, mais les concepteurs doivent garder lesprit leur intgration gnrale. Si cette intgration
de lensemble nest pas prise en compte, les risques de pannes, dimmobilisation et de congestion
du rseau seront plus nombreux quauparavant.
Chaque technique de commutation a ses avantages et ses inconvnients. Par exemple, la commuta-
tion de circuits offre lutilisateur une bande passante ddie sur laquelle les connexions des autres
utilisateurs ne peuvent empiter. La commutation de paquets est connue pour offrir une plus grande
souplesse et exploiter la bande passante avec plus defficacit. Quant la commutation de cellules,
elle combine certains aspects des deux types de commutation prcdents pour autoriser linstalla-
tion de rseaux offrant une faible latence et un dbit lev. Elle a rapidement gagn en popularit, et
ATM est actuellement la technologie de commutation de cellules la plus prise. Voyez le Chapitre 2
pour plus dinformations sur les technologies de commutation des rseaux tendus et locaux.
ADSL (Asymmetric Variante du service DSL, ADSL permet dutiliser les lignes tlphoniques exis-
Digital Subscriber Line) tantes pour former des chemins daccs plus rapides destins au multimdia et
aux communications de donnes haute vitesse. Lutilisateur doit disposer
dun modem ADSL. Les vitesses supportes sont variables selon la distance ;
elles peuvent tre suprieures 6 Mbit/s en rception et atteindre 640 Kbit/s en
mission.
Modem analogique Cet quipement peut tre utilis par les tltravailleurs et les utilisateurs itinrants
qui accdent au rseau moins de deux heures par jour, ou en tant que matriel de
secours pour un autre type de liaison.
Lignes spcialises Elles peuvent tre utilises pour les rseaux PPP (Point-to-Point Protocol) et
loues les topologies Hub-and-Spoke, ou comme ligne de secours pour un autre type
de liaison.
RNIS Cette technologie peut tre utilise pour fournir des accs distants rentables
des rseaux dentreprise. Elle peut servir au transport de la voix et de la vido,
et tre utilise comme moyen de communication de secours pour un autre type
de liaison.
Frame Relay Le Frame Relay permet dimplmenter une topologie rentable faible latence
(relais de trames) et fort dbit entre des sites distants. Il peut tre utilis la fois pour des
rseaux privs ou des rseaux doprateurs.
SMDS Ce service offre des connexions hautement performantes avec un dbit lev
(Switched Multimegabit sur des rseaux de donnes publics. Il peut galement tre implment sur un
Data Service) rseau mtropolitain (MAN, Metropolitain Area Network).
X.25 X.25 peut tre utilis pour fournir un circuit ou un rseau fdrateur WAN fiable.
Il assure galement le support des applications existantes.
ATM WAN Cette technologie peut tre utilise pour devancer les exigences en bande pas-
sante. Elle assure galement la gestion de plusieurs classes de qualit de ser-
vice, afin de pouvoir distinguer les besoins des applications en cas de retards et
de pertes.
premier poste de dpenses dun rseau distant. A la diffrence des connexions WAN, les petits sites
ou les utilisateurs distants ont rarement besoin dtre connects 24 h/24.
En consquence, les concepteurs de rseaux choisissent habituellement entre la numrotation (dial-
up) et les liaisons WAN ddies comme solution de connexion distance. Les connexions distantes
fournissent gnralement un dbit de 128 Kbit/s ou infrieur. Un concepteur de rseau peut aussi
employer des ponts sur un site distant pour leur facilit dinstallation, leur topologie simple et leurs
exigences de faible trafic.
bases sur des intranets telles la formation par la vido, la vidoconfrence et la tlphonie ,
limpact de ces applications sur linfrastructure de rseau existante constitue un vrai problme. Par
exemple, si une socit sappuie sur son rseau dentreprise pour lacheminement du trafic SNA de
premire importance et souhaite installer une application de formation en ligne par la vido, le
rseau doit tre en mesure de fournir une garantie de qualit de service pour acheminer le trafic
multimdia sans lautoriser interfrer avec le flux des informations capitales de lentreprise. ATM
a t prsent comme lune des technologies dintgration de rseaux locaux et de rseaux tendus.
La qualit des fonctionnalits de service dATM autorise le support de nimporte quel type de trafic
en flux spars ou mixtes, quils soient sensibles au retard de livraison ou non (voir Figure 1.4).
SNA
Trames Paquet Q
LAN
Cellules
Cellules ATM
ATM peut galement sadapter pour fournir aussi bien des faibles dbits que des dbits levs. Il a
t adopt par tous les fabricants dquipements de lindustrie, des rseaux locaux au commutateur
priv (PBX, Private Branch eXchange).
Solutions intgres
Concernant la mise en uvre de rseaux, la tendance actuelle est dapporter aux concepteurs une
plus grande souplesse dans la rsolution de problmes, sans quils aient besoin de crer de multiples
rseaux ou de faire une croix sur les investissements existants en matire de communication de
donnes. Les routeurs peuvent permettre linstallation de rseaux fiables et srs, et servir de barrires
contre les temptes de broadcast sur les rseaux locaux. Des commutateurs, que lon peut diviser en
deux catgories principales, LAN et WAN, peuvent tre dploys aux niveaux groupe de travail,
pine dorsale de campus ou WAN. Les sites distants peuvent employer des routeurs dentre de
gamme pour se connecter au WAN.
Le support et lintgration de tous les produits Cisco sont grs par le systme IOS (Internet-
working Operating System, systme dinterconnexion de rseaux) de Cisco. Il permet dintgrer des
groupes disparates, des quipements divers et de nombreux protocoles, afin de former un rseau trs
12 Partie I Architecture de rseaux
volutif et dune grande fiabilit. Il garantit galement au rseau un niveau lev de scurit, de
qualit de service, et de services de trafic.
Comme lillustre la Figure 1.5, la conception dun rseau est une rptition de tches. Les sections
suivantes mettent en valeur plusieurs aspects qui sont considrer avec prudence lors des
prvisions dimplmentation.
Figure 1.5
Evaluation des besoins et des cots.
Processus gnral de conception dun rseau.
Simulation de comportement
pour une charge prvue.
m Bien que la fiabilit soit toujours un facteur important, certaines applications sont particuli-
rement exigeantes en cette matire. Les organisations qui conduisent leur activit en ligne ou au
moyen du tlphone requirent une disponibilit du rseau avoisinant les 100 %. Les services
financiers, dchange de titres ou durgences en sont quelques exemples. Pour rpondre de tels
besoins de disponibilit, un haut niveau de performance matrielle ou topologique est nces-
saire. Dterminer le cot de limmobilisation du rseau est une tape essentielle dans lvalua-
tion de limportance de la fiabilit sur votre rseau.
Vous pouvez valuer les besoins des utilisateurs de plusieurs faons, sachant que plus ils seront
impliqus dans ce processus, plus votre valuation sera proche de la ralit. Les mthodes suivantes
devraient vous y aider :
m Dfinition de profils de communauts dutilisateurs. Il sagit de dterminer les besoins
propres diffrents groupes dutilisateurs. Cest la premire tape dans la dfinition des exigen-
ces du rseau. Bien que de nombreux utilisateurs aient des besoins similaires en matire de cour-
rier lectronique, ces exigences ne seront pas les mmes pour des groupes dingnieurs qui
exploitent des terminaux XWindow et des stations de travail Sun dans un environnement NFS
que pour des groupes dutilisateurs de PC qui se partagent des serveurs dimpression au sein
dun service financier.
m Mise en place dinterviews, de groupes de discussion et dtudes. Lobjectif est de crer une
base de rfrence pour limplmentation dun rseau. En effet, certains groupes peuvent avoir
besoin dun accs des serveurs communs, dautres souhaiter autoriser un accs depuis lext-
rieur certaines ressources informatiques internes, et certaines organisations ncessiter que les
systmes dinformation soient administrs dune faon particulire, selon certains standards
extrieurs. La mthode la moins formelle pour recueillir des informations est dinterroger des
groupes dutilisateurs cls. Des groupes de discussion peuvent galement servir collecter
des informations et susciter des dbats entre diffrentes organisations ayant des intrts sembla-
bles ou diffrents. Enfin, des tudes formelles peuvent permettre de recueillir lopinion des utili-
sateurs, considre comme statistiquement valable, concernant un certain niveau de service ou
une architecture de rseau propose.
m Tests de comportement. La mthode la plus coteuse en temps et en argent, mais peut-tre
aussi la plus rvlatrice, consiste conduire un test en laboratoire portant sur un groupe repr-
sentatif dutilisateurs. Cette mthode est gnralement la plus performante pour lvaluation des
exigences en temps de rponse. Par exemple, vous pourriez installer des systmes formant un
environnement de travail et demander aux utilisateurs de raliser les tches habituelles dinter-
rogation de lhte partir du laboratoire. En valuant les ractions des utilisateurs par rapport
aux variations de temps de rponse du serveur, vous pourriez tablir des seuils de rfrence
reprsentatifs des performances acceptables.
amliorer sa stabilit, telles les fonctions de retenue de modifications (holddown), dhorizon clat
(split horizon) ou encore de mise jour corrective (poison reverse updates).
Linconvnient est que IGRP est un protocole de routage propritaire, alors que IS-IS (Intermediate
System-to Intermediate System) est une solution dinterconnexion ouverte qui fournit galement un
environnement de routage avec convergence rapide. Toutefois, limplmentation dun protocole de
routage ouvert peut conduire une complexit croissante de configuration de matriels provenant
de plusieurs fabricants.
Vos dcisions peuvent avoir des effets divers sur lensemble de la conception de votre rseau.
Supposez que vous dcidiez dintgrer IS-IS plutt que IGRP. Vous gagnez en interoprabilit, mais
perdez certaines fonctionnalits. Par exemple, vous ne pouvez pas quilibrer la charge de trafic sur
des chemins parallles ingaux. De la mme manire, certains modems fournissent dimportantes
capacits de diagnostic propritaires, mais ncessitent pour un rseau donn dtre tous du mme
fabricant pour que ces fonctionnalits propritaires puissent tre pleinement exploites.
Les prvisions et les investissements passs ont une influence considrable sur les choix dimpl-
mentations pour le projet en cours. Vous devez prendre en considration les quipements de rseau
dj installs, les applications exploites (ou exploiter) sur le rseau, les modles de trafic,
lemplacement physique des sites, des htes et des utilisateurs, le taux de croissance de la commu-
naut des utilisateurs, et le trac physique et logique du rseau.
NOTE
La modlisation des tests de sensibilit au moyen dun ordinateur sort du cadre de cet ouvrage. Louvrage
de A.S. Tannenbaum (paru en langue anglaise), Computer Networks (Upper Saddle River, New Jersey : Pren-
tice Hall, 1996) constitue une bonne source dinformations sur la conception et la simulation de rseaux
dordinateurs.
Rsum
Aprs avoir dtermin les besoins de votre rseau, vous devez identifier puis slectionner les fonc-
tionnalits spcifiques qui correspondent votre environnement informatique. Le Chapitre 2 fournit
davantage dinformations de base sur les diffrents types dquipements de rseaux, ainsi quune
description de lapproche hirarchique pour la mise en uvre de rseaux.
Les Chapitre 2 13 de ce livre donnent des renseignements dtaills sur les technologies impli-
ques dans limplmentation de rseaux de grande taille dans les environnements suivants :
m Rseaux IP (Internet Protocol) tendus :
conception avec le protocole EIGRP (ou IGRP tendu) (Enhanced Interior Gateway Routing
Protocol) ;
conception avec le protocole OSPF (Open Shortest Path First).
m Rseaux SNA (System Network Architecture) dIBM :
conception avec pont routage par le source, ou SRB (Source-Routing Bride) ;
18 Partie I Architecture de rseaux
conception avec SDLC (Synchronous Data Link Control) et STUN (Serial Tunneling),
SDLLC (SDLC Logical Link Control type 2) et QLLC (Qualified Logical Link Control) ;
conception avec APPN (Advanced Peer-to-Peer Networking) et DLSw (Data Link Switching).
m Rseaux ATM.
m Rseaux avec services de paquets :
conception avec Frame Relay.
m Rseaux avec routage par ouverture de ligne la demande, ou DDR (Dial-on Demand Routing).
m Rseaux RNIS.
Outre ces chapitres, dautres concernent la conception de rseaux LAN commuts, de rseaux
locaux de campus, et de rseaux destins aux applications multimdias. Les dix derniers chapitres
du livre incluent des tudes de cas qui concernent les concepts dcrits dans les chapitres prcdents.
2
Notions essentielles sur
la conception de rseaux
Mettre en place un rseau peut-tre un vrai dfi. Un rseau form dun maillage de 50 nuds de
routage seulement peut dj gnrer des problmes complexes, aux consquences imprvisibles.
Lorsque lon tente doptimiser plusieurs rseaux, composs de milliers de nuds, les difficults
sont encore plus grandes.
En dpit de lamlioration des performances des quipements et des caractristiques fonctionnelles
des mdias de transmission, la conception dun rseau tend se complexifier. La tendance est des
environnements de plus en plus htrognes, qui associent de nombreux mdias et protocoles, et
impliquent pour nimporte quelle organisation une interconnexion des rseaux extrieurs.
Lobservation de certaines rgles de prudence dans llaboration dun rseau permet de limiter les
problmes qui pourraient apparatre dans le futur, mesure que le rseau se dveloppera.
Ce chapitre prsente les grandes lignes de la planification et de la conception dun rseau. Trois
sujets dordre gnral y sont traits :
m comprhension des concepts de base de la mise en uvre de rseaux ;
m identification et choix des fonctionnalits ncessaires cette mise en uvre ;
m identification et slection des quipements de rseau.
20 Partie I Architecture de rseaux
Equipements de rseau
Les concepteurs de rseaux disposent de quatre types dquipements de base :
m les hubs (concentrateurs) ;
m les ponts ;
m les commutateurs ;
m les routeurs.
Le Tableau 2.1 en rcapitule les caractristiques.
Equipement Description
Hubs (concentrateurs) Les hubs servent relier plusieurs utilisateurs un seul quipement physique,
lui-mme connect au rseau. Ils agissent comme des rpteurs, rgnrant le
signal qui transite par eux.
Ponts Les ponts servent sparer logiquement des segments dun mme rseau. Ils
oprent au niveau de la couche Liaison de donnes du modle OSI (couche 2)
et sont indpendants des protocoles de couche suprieure.
Commutateurs Les commutateurs sont semblables aux ponts, mais ils possdent gnralement
un plus grand nombre de ports. Chaque port dessert un seul segment de rseau,
sparant de ce fait les domaines de collision (collision domain). Aujourdhui,
dans les armoires de cblage, les concepteurs de rseaux remplacent les hubs
par des commutateurs afin daugmenter les performances ainsi que la bande
passante du rseau, tout en prservant les investissements existants en matire
de cblage.
Routeurs Les routeurs sparent les domaines de broadcast (diffusion gnrale) et sont
utiliss pour connecter des rseaux diffrents. Ils aiguillent le trafic en utilisant
ladresse du rseau de destination (couche 3) et non ladresse MAC de la sta-
tion de travail (couche 2). Les routeurs sont dpendants des protocoles.
Les experts en transmission de donnes saccordent pour dire que les concepteurs de rseaux prf-
rent aujourdhui lutilisation de routeurs et de commutateurs celle de ponts et de concentrateurs
pour crer des rseaux. Par consquent, ce chapitre est plus spcialement consacr au rle des
routeurs et des commutateurs dans la conception de rseaux.
Chapitre 2 Notions essentielles sur la conception de rseaux 21
Introduction la commutation
Dans les transmissions de donnes, tous les quipements de commutation et de routage excutent
les deux oprations de base suivantes :
m Commutation de trames de donnes. Il sagit gnralement dune opration en mode diffr
(store-and-forward) dans laquelle une trame atteint un canal dentre, pour tre ensuite trans-
mise vers un canal de sortie.
m Maintenance des oprations de commutation. Les commutateurs construisent et maintiennent
des tables de commutation et recherchent les boucles. Les routeurs maintiennent la fois des
tables de routage et des tables de services.
Il existe deux mthodes de commutation de trames de donnes : au niveau de la couche 2 et au
niveau de la couche 3.
La commutation de niveau 3 a lieu au niveau de la couche Rseau. Elle examine les informations
contenues dans les paquets afin de les acheminer en fonction de leur adresse de rseau de destina-
tion. Elle supporte galement les fonctionnalits de routeurs.
Les adresses de la couche 3 sont dfinies, pour la plupart, par ladministrateur de rseau qui tablit une
hirarchie sur le rseau. Des protocoles tels que IP, IPX et AppleTalk utilisent les informations
dadressage de cette couche. Ladministrateur rseau peut ainsi former des entits locales reprsentant
des units dadressage uniques (semblables aux rues, villes, tats et pays), et leur assigner une adresse.
Si des utilisateurs changent dimmeuble, leurs stations de travail reoivent une nouvelle adresse de
niveau 3, mais conservent leur adresse de niveau 2.
Les routeurs oprent au niveau de la couche 3 du modle OSI, ils participent donc ltablissement
de cette structure dadressage hirarchique laquelle ils peuvent en mme temps se conformer. Par
consquent, un rseau rout associe une structure dadressage logique une infrastructure physi-
que, par exemple par le biais de sous-rseaux TCP/IP ou de rseaux IPX pour chaque segment.
Lcoulement du trafic sur un rseau commut (linaire) diffre fondamentalement de celui dun
rseau rout (hirarchique). Ce dernier offre une plus grande souplesse dcoulement, grce
lexploitation de cette hirarchie, qui lui permet de dterminer les meilleurs chemins emprunter et
de former des domaines de broadcast.
Figure 2.1
Circulation du trafic entre deux sous-rseaux, avec des commutateurs de niveau 2 et un routeur de niveau 3.
A la Figure 2.1, Client X doit emprunter le chemin suivant pour communiquer avec Serveur Y qui se
trouve sur un sous-rseau diffrent : il doit passer par Commutateur A (commutation de niveau 2),
Chapitre 2 Notions essentielles sur la conception de rseaux 23
Figure 2.2
Dploiement de
la commutation de
niveau 3 travers Client X Commutateur B Serveur Y
tout le rseau. Si Commutation de Si
niveaux 2 et 3
Commutateur A Commutateur C
Commutation de Si Commutation de
niveaux 2 et 3 niveaux 2 et 3
Routeur A
alors que sur une petite portion du rseau. Au sein darchitectures linaires ou mailles importantes,
les modifications ont tendance affecter un grand nombre de systmes. Avec une structuration
modulaire en petits lments de rseau, plus faciles matriser, les incidents sont galement plus
faciles localiser et isoler. Les administrateurs sont mme didentifier les points de transition du
rseau, ce qui les aide identifier les pannes.
Figure 2.3
Modle de conception Couche centrale
de rseau hirarchique.
Distribution
Commutation haute vitesse
Accs
Dans un environnement de rseau de campus, cette couche peut assurer plusieurs fonctions :
m regroupement dadresses ou de zones ;
m accs au rseau pour les dpartements ou groupes de travail ;
m dfinition de domaines de broadcast (diffusion gnrale) ou multicast (diffusion restreinte) ;
m routage sur des rseaux locaux virtuels ou VLAN (Virtual Local Area Network) ;
m toute transition de mdias ncessaire ;
m scurit.
Dans les autres environnements, cette couche peut faire office de point de redistribution entre des
domaines de routage, ou bien de frontire entre des protocoles de routage statique ou dynamique.
Les sites distants peuvent galement sen servir de point daccs au rseau dentreprise. Sa princi-
pale fonctionnalit est doffrir une connectivit base sur des rgles.
m accs commut ;
m encapsulation (mise en uvre dun tunnel).
Optimisation du chemin
Lun des principaux avantages des routeurs est quils permettent dimplmenter un environnement
logique dans lequel les chemins les plus efficaces sont automatiquement slectionns pour faire
circuler le trafic. Ils sappuient pour cela sur les protocoles de routage associs aux diffrentes
couches du rseau.
Selon les protocoles installs, les routeurs permettent dimplmenter un environnement de routage
adapt des exigences spcifiques. Par exemple, sur un rseau IP, les routeurs Cisco sont aptes
grer tous les protocoles largement utiliss, tels que OSPF (Open Shortest Path First), RIP (Routing
Information Protocol), IGRP (Interior Gateway Routing Protocol, version amliore de RIP, cre
par Cisco), EIGRP (Enhanced IGRP), IS-IS (Intermediate System-to Intermediate System), BGP
(Border Gateway Protocol), et EGP (Exterior Gateway Protocol). Les fonctionnalits intgres
essentielles qui favorisent loptimisation du chemin incluent la convergence rapide et grable des
routes, ainsi que les mtriques et temporisateurs de routage configurables.
La convergence est le processus par lequel tous les routeurs saccordent pour choisir les routes les
plus fiables. Lorsquun vnement interrompt ou, linverse, ouvre la circulation sur certaines
routes, les routeurs senvoient des messages de mise jour des itinraires. Ils peuvent ainsi recalcu-
ler les routes optimales et dcider de celles emprunter. Les algorithmes de routage qui offrent une
convergence lente peuvent provoquer des boucles de routage ou des pannes sur le rseau.
Les algorithmes de routage utilisent de nombreuses mtriques diffrentes. Certains, plus sophisti-
qus, sappuient sur une forme hybride de mesure calcule partir dune combinaison de diffrentes
mtriques. EIGRP, par exemple, utilise lun des algorithmes vecteur de distance (distance vector
routing) les plus perfectionns. Il combine des valeurs de bande passante, de charge et de temps
dacheminement, afin de crer une mtrique compose. Les protocoles par informations dtat de
lien (link state routing), tels OSPF et IS-IS, emploient une mtrique qui reprsente le cot associ
un chemin donn.
Priorit du trafic
Bien que certains protocoles de rseau grent la priorit du trafic homogne interne, celle de flux
htrognes est la charge des routeurs. Une telle gestion du trafic permet un routage bas sur des
rgles et garantit que les donnes de premire importance seront prioritaires sur celles de moindre
importance.
Figure 2.5
Mise en uvre de
la gestion de priorit
3174
des units logiques LU.
Token Routeur A Rseau IP Routeur B Token
Ring E2 E1 Ring
3745 3278
1.0.0.1 1.0.0.2 LU04
3278 3278
LU02 LU03
Dans cette figure, lordinateur central IBM est reli par canal un contrleur de transmissions
3745, lui-mme connect un contrleur de cluster 3174 par le biais dun systme de ponts distants
routage par la source (RSRB, Remote Source-Routing Bridge). Plusieurs terminaux et impriman-
tes 3270, possdant chacun une adresse LU locale et unique, sont relis au contrleur de cluster.
Avec la gestion de priorit des adresses LU, un niveau de priorit peut tre accord chaque unit
logique associe un terminal ou une imprimante, cest--dire que certains terminaux peuvent
bnficier dun temps de rponse plus rapide que dautres, et les imprimantes peuvent recevoir une
priorit infrieure. Dans certaines situations o les utilisateurs exploitent des applications extrme-
ment importantes, leur disponibilit peut tre amliore par cette fonctionnalit.
Pour finir, la plupart des protocoles routs (AppleTalk, IPX et DECnet) font appel un protocole de
routage qui se fonde sur le cot pour valuer lefficacit des diffrents chemins menant une desti-
nation donne. Grce la configuration de certains paramtres associs, il est possible de forcer
un type spcifique de paquets emprunter certaines routes, et raliser ainsi une forme de gestion
manuelle de la priorit.
28 Partie I Architecture de rseaux
Figure 2.6 H
File dattente F
personnalise.
R H M F
M
H
R : Priorit du rseau
H : Priorit haute
M : Priorit moyenne
F : Priorit faible
S = Trafic SNA
S S S S 40%
Trafic A A
APPN
Trafic T T 20% D N A T S S
TCP/IP
Trafic N N 20%
NetBIOS
Trafic D D D 20%
divers
Chapitre 2 Notions essentielles sur la conception de rseaux 29
La mise en file dattente personnalise permet de dfinir la priorit dun trafic multiprotocole ; elle
autorise un maximum de 16 files dattente. Chaque file est servie de faon squentielle, jusqu ce
que le nombre doctets envoys dpasse le compte doctets configurable, ou que la file soit vide. Un
aspect important de cette fonctionnalit est la rallocation de la bande passante restante en cas de
non-utilisation. Par exemple, si SNA nexploite que 20 % de la quantit qui lui a t octroye, les
autres protocoles peuvent alors se partager les 20 % restants.
Cette fonctionnalit est prvue pour des environnements o un niveau de service minimal doit tre
assur pour chaque protocole. Dans les environnements multiprotocoles actuels, elle permet des
protocoles possdant des caractristiques diffrentes de partager le mme mdia.
Session Telnet D
D D
Session FTP E
E E E E E E E E
C et E sont deux sessions FTP fort trafic. A, B et D sont des sessions interactives faible trafic.
Chaque session, dans ce cas, est appele une conversation. Si chaque conversation est desservie de
faon cyclique et reoit une tranche de temps indpendamment de son dbit darrive, les sessions
FTP ne monopolisent pas la bande passante. Par consquent, le dlai dattente qui prcde la trans-
mission du trafic interactif devient prvisible.
La mise en file dattente quitable pondre fournit un algorithme qui identifie dynamiquement les
flux de donnes au moyen dune interface, puis les spare en files logiques distinctes. Cet algorithme
30 Partie I Architecture de rseaux
utilise divers critres de distinction, en fonction des informations de protocole de la couche rseau
qui sont disponibles, puis fait le tri parmi eux. Par exemple, dans le cas de trafic IP, les critres sont
les adresses source et de destination, le type de protocole, les numros de sockets et le type de
service. Cest pourquoi les deux sessions Telnet (B et D) de la Figure 2.7 se trouvent aiguilles vers
deux files logiques diffrentes.
Idalement, lalgorithme devrait pouvoir faire la distinction entre toutes les conversations qui se
partagent le mdia, afin que chacune reoive sa juste part de bande passante. Malheureusement,
avec des protocoles tel SNA, il est impossible de distinguer une session SNA dune autre. Avec
DLSw+ (Data Link Switching Plus), par exemple, le trafic SNA est multiplex en une session TCP
unique. De la mme manire, dans le cas dAPPN, les sessions SNA sont multiplexes en une seule
session LLC2 (Logical Link Control, Type 2).
Cet algorithme considre toutes ces sessions comme une seule et mme conversation. Lorsquil y a
de nombreuses sessions TCP/IP, elles obtiennent la majorit de la bande passante, et le trafic SNA
le minimum. Pour cette raison, cet algorithme nest pas recommand pour lutilisation de SNA avec
une encapsulation TCP/IP au moyen de DLSw+, ou avec APPN.
La gestion de priorit avec file dattente quitable pondre prsente nanmoins de nombreux avan-
tages par rapport aux gestions par file dattente de priorit ou personnalise. Ces dernires requi-
rent la dfinition de listes daccs ; la bande passante doit tre alloue lavance, et les priorits
prdfinies. Cette caractristique entrane une charge supplmentaire. Il est parfois impossible aux
administrateurs de rseau didentifier et dassigner un niveau de priorit au trafic en temps rel. La
mise en file dattente quitable pondre est mme de distinguer les diffrents flux de donnes
sans requrir une telle charge administrative.
Equilibrage de charge
La meilleure faon dajouter de la bande passante sur un rseau fdrateur est dimplmenter des
liaisons supplmentaires. Les routeurs possdent des fonctionnalits intgres dquilibrage de la
charge sur de multiples liaisons et chemins. Il est possible demprunter jusqu quatre chemins vers un
rseau de destination. Dans certaines situations, il nest pas ncessaire que leur cot soit quivalent.
Avec IP, les routeurs assurent une rpartition de la charge, la fois par paquets et par destinations.
Lorsquils se fondent sur la destination, ils utilisent les informations ditinraire contenues dans
leur cache respectif afin de dterminer linterface de sortie. Dans le cas dun routage IGRP ou
EIGRP, lquilibrage peut se faire travers des chemins de cot diffrent. Les routeurs emploient
des mtriques pour dcider des itinraires que les paquets doivent suivre ; le niveau de lquilibrage
de charge peut tre dfini par lutilisateur.
Lquilibrage dun trafic pont sur des lignes sries est galement assur. Des lignes srie peuvent
tre assignes des groupes de circuits. Si lune des liaisons dun groupe fait partie de larbre
recouvrant (spanning tree) dun rseau, toutes ses liaisons peuvent alors tre utilises pour lquili-
brage de charge. Afin de contourner les problmes de squencement des donnes, chaque destina-
tion est associe une liaison. Lorsquune interface tombe en panne ou, linverse, entre en
service, la raffectation est effectue dynamiquement.
Chapitre 2 Notions essentielles sur la conception de rseaux 31
Chemins alternatifs
Les pines dorsales de rseau sont nombreuses transporter des donnes critiques. Les organisa-
tions exploitantes souhaitent gnralement protger lintgrit de ces informations, et cela pratique-
ment nimporte quel prix. Les routeurs doivent donc tre suffisamment fiables afin de ne pas
reprsenter le point faible dans la chane des quipements de rseau. La solution consiste fournir
des chemins alternatifs pouvant tre emprunts lorsque des liaisons sur les rseaux actifs devien-
nent impraticables.
Il ne suffit pas de mettre en uvre une tolrance aux pannes au niveau de lpine dorsale pour assurer
une fiabilit de bout en bout. Si la communication tait pour une raison quelconque interrompue sur
un segment local au sein dun immeuble, les informations ne pourraient pas atteindre lpine
dorsale. Seule la redondance travers tout le rseau peut permettre une fiabilit de bout en bout.
Etant donn que le cot associ est habituellement prohibitif, la plupart des socits choisissent
dutiliser des chemins redondants uniquement sur les segments qui transportent des donnes sensibles.
Comment peut-on garantir la fiabilit dune pine dorsale ? Les routeurs sont la cl dun rseau
fiable. En fonction de ce que lon entend par fiabilit, cela peut signifier la duplication de chaque
systme important de routeur et, si possible, de chaque composant. Toutefois, cette solution nest
pas complte dans la mesure o tous ces composants doivent aussi tre relis par des circuits
supplmentaires pour pouvoir communiquer. Ce choix se rvle gnralement trs coteux, mais
surtout, il ne rsout pas entirement le problme. En supposant que tous les routeurs dun rseau
soient totalement fiables, des liaisons dfectueuses entre des nuds de lpine dorsale peuvent inva-
lider la solution de redondance matrielle.
Pour vritablement garantir la fiabilit dun rseau, les liaisons doivent tre redondantes. Par
ailleurs, il ne suffit pas de les dupliquer toutes. En effet, les liaisons doubles doivent se terminer sur
plusieurs routeurs, moins que tous ceux de lpine dorsale noffrent une parfaite tolrance aux
pannes (risque de panne nul). Par consquent, la solution la plus efficace au problme de fiabilit
nest pas la redondance totale des routeurs, car elle est coteuse et napporte rien la fiabilit des
liaisons.
La plupart des concepteurs choisissent dimplmenter des rseaux qui ne sont que partiellement
redondants, et non totalement. La section "Choix des options de fiabilit de rseau", plus loin dans
ce chapitre, prsente plusieurs types de rseaux communment mis en uvre dans le cadre dune
recherche de fiabilit.
Accs commut
Laccs commut permet de bnficier de liaisons WAN sur la base de besoins ponctuels, par
lintermdiaire de contrles de routeur automatiss. Un modle de rseau fdrateur fiable consiste
en des liaisons dupliques et ddies, ainsi quune liaison commute inactive, capable dassurer un
secours dynamique en cas de besoin. Dans des conditions normales dexploitation, la charge peut
tre rpartie sur les liaisons ddies, et la liaison commute nest exploite que si lune delles
tombe en panne.
Les connexions WAN sur le rseau tlphonique public commut (RTC) utilisent traditionnellement
des lignes ddies. Lorsque les applications ne requirent que des connexions priodiques faible
dbit, cela peut se rvler trs onreux. Afin de limiter les besoins en circuits ddis, on emploie
32 Partie I Architecture de rseaux
une fonctionnalit appele routage par ouverture de ligne la demande, ou DDR (Dial-on-Demand
Routing). La Figure 2.8 illustre une connexion DDR.
Figure 2.8
Rseau Ethernet
Lenvironnement de
Ethernet Routeur tlphonique Routeur
routage par ouverture public commut
de ligne la demande, Dispositif Dispositif
ou DDR. ETCD ETCD
Token Token
Ring Ring
Grce cette fonctionnalit, les connexions de rseau ponctuelles faible trafic peuvent sappuyer
sur le rseau RTC. Lorsquun routeur reoit un paquet IP pont ou rout, dont la destination se
trouve de lautre ct de la ligne tlphonique, il active la fonction DDR. Une fois quil a compos
le numro de tlphone du rseau destinataire et tabli la connexion, les paquets des protocoles
supports peuvent tre transmis. Ds que lenvoi est termin, la ligne est automatiquement libre.
Avec cette facult de libration des connexions devenues inutiles, DDR permet de rduire le cot
dun rseau.
37x5
16/4 Token Epine
Mbit/s Ring dorsale
SNA
Token 16/4
Routeur Ring Mbit/s
Routeur
Stations de
travail Sun
Site distant
16/4 Token
Mbit/s Ring Routeur
Routeur
Stations de
travail Sun
Contrleur de
cluster 3x74
Figure 2.10
Utilisation dune pine
Site AppleTalk Site Novell
dorsale protocole unique.
Epine
dorsale IP
Site Site
AppleTalk AppelTalk/Novell
Tunnel GRE
Rseau
192.1.1.0
Puisque lencapsulation requiert la manipulation de paquets, il est gnralement plus rapide de les
router de faon native plutt que dutiliser des tunnels. La vitesse de commutation du trafic qui tran-
site par des tunnels est deux fois infrieure celle du processus de commutation classique, cest--
dire que chaque routeur traite environ 1 000 paquets par seconde. La technique du tunnel est
coteuse en ressources processeur ; son activation doit donc faire lobjet dune certaine prudence.
Chaque interface de tunnel peut avoir vhiculer des informations de mise jour de routage, de
mise jour SAP, ainsi que dautres types de trafics administratifs. Lorsque plusieurs tunnels sont
configurs sur une mme liaison physique, celle-ci peut rapidement se retrouver sature dinforma-
tions de routage. Les performances dpendent alors du protocole passager, des diffusions broadcast,
des mises jour dinformations de routage et de la bande passante des interfaces physiques. En cas
de dfaillance, le dpannage dune liaison physique peut galement se rvler difficile. Il existe
cependant plusieurs moyens de dpannage en cas de problme avec le lien physique. Dans un envi-
ronnement IPX, des filtres de routage et des filtres SAP rduisent la quantit de trafic de mise jour
qui circule sur les tunnels. Sur un rseau AppleTalk, le maintien de petites zones et lemploi de
filtres de route peuvent limiter les exigences excessives en bande passante.
Un tunnel peut galement masquer la vritable nature dune liaison, la rendant plus lente, plus
rapide, ou plus ou moins coteuse quelle ne lest en ralit. Il peut en rsulter une slection de
route imprvue ou malencontreuse. Les protocoles de routage qui se fondent uniquement sur le
compte de sauts pour dcider de la route emprunter prfrent gnralement utiliser un tunnel
plutt quune liaison relle. Mais ce nest pas toujours la meilleure solution, car un nuage IP peut
tre constitu de divers mdias dont les qualits sont trs diffrentes. Par exemple, le trafic peut tre
achemin sur des lignes Ethernet 100 Mbit/s et sur des lignes sries 9,6 Kbit/s. Avant dimpl-
menter un tunnel, il faut penser vrifier le type de mdia sous-jacent et les mtriques utilises par
chaque protocole.
Etant donn que les tunnels encapsulent des protocoles passagers non contrls, lorsquun rseau
comporte des sites qui mettent en uvre un filtrage de paquets fond sur des protocoles dans le
cadre dun systme de scurit avec pare-feu, il faut implmenter le filtrage sur le routeur pare-feu
afin que seuls les tunnels autoriss puissent accder au rseau. Sil est prvu que des tunnels en
provenance de rseaux non scuriss soient accepts, il est conseill dactiver le filtrage au niveau
de la sortie de ces tunnels, ou bien de placer celle-ci lextrieur de la zone scurise du rseau, afin de
prserver lintgrit du systme de scurit.
Chapitre 2 Notions essentielles sur la conception de rseaux 37
Lors de la mise en uvre dun tunnel IP sur IP, il faut veiller ne pas configurer par mgarde une
boucle de routage. Une telle situation se produit lorsque le protocole passager et le protocole de
transport sont identiques, car le meilleur chemin vers la destination du tunnel passe par linterface
du tunnel. Voici comment survient une boucle de routage avec un tunnel IP sur IP :
1. Le paquet est plac en file dattente de sortie de linterface du tunnel.
2. Linterface du tunnel ajoute un en-tte GRE, puis place le paquet dans la file dattente du proto-
cole de transport (IP) afin quil soit achemin vers ladresse de destination du tunnel.
3. IP recherche la route vers ladresse de destination du tunnel et apprend que le chemin passe par
linterface du tunnel elle-mme.
4. De nouveau, le paquet est plac dans la file dattente de sortie de linterface du tunnel, comme
dcrit ltape 1. La boucle est ainsi provoque.
Lorsquun routeur dtecte une boucle de routage, il dsactive linterface du tunnel pendant une ou
deux minutes, puis met un message davertissement avant de sengager dans la boucle. On peut
galement conclure quune boucle a t dtecte lorsque linterface du tunnel est active et que le
protocole de ligne est inactif.
Afin dviter ces boucles, il faut sparer les informations de protocole passager et de routage du
protocole de transport, en suivant ces instructions :
m Utiliser des identifiants de protocole de routage diffrents (par exemple, IGRP 1 et IGRP 2).
m Utiliser des protocoles de routage diffrents.
m Attribuer linterface du tunnel une trs faible quantit de bande passante, afin que les protoco-
les de routage, tel IGRP, lui reconnaissent une trs haute mtrique et choisissent par consquent
le prochain saut appropri (cest--dire linterface physique la plus efficace plutt que celle du
tunnel).
m Faire en sorte que les deux plages dadresse IP soient distinctes. Pour cela, utiliser une adresse
principale pour le tunnel diffrente de celle du rseau IP rel. Une telle mesure facilite galement
le dpannage, car il est plus ais de dterminer lappartenance de chaque adresse.
Services de distribution
Cette section couvre les fonctionnalits de rseau qui supportent des services de distribution. Les
sujets suivants y sont traits :
m gestion de la bande passante du rseau fdrateur ;
m filtrage de zones et de services ;
m distribution stratgique ;
m services de passerelle ;
m redistribution de routes interprotocoles ;
m traduction du format de trame.
38 Partie I Architecture de rseaux
Figure 2.12
Terminaison locale Token Rseau fdrateur Token
de session sur un Routeur Routeur
Ring multiprotocole Ring
rseau fdrateur
multiprotocole.
Session TCP/IP
3745 Transport fiable Contrleur 3x74
Contrle de flux TCP
Correction d'erreur
Acquittements Acquittements
A la Figure 2.12, les routeurs terminent localement les sessions de contrle LLC2 (Logical Link
Control Type 2) de liaison de donnes. Plutt que mettre en place des sessions de bout en bout o
toutes les informations de contrle sont transmises sur lpine dorsale multiprotocole, les routeurs
prennent en charge lacquittement des paquets qui proviennent des htes de rseaux locaux (LAN)
qui leur sont directement rattachs. Lacquittement au niveau local permet dconomiser la bande
passante du WAN (et, par consquent, de limiter les frais lis son exploitation), dviter les probl-
mes de dpassement de temporisation, et doffrir un meilleur temps de rponse aux utilisateurs.
Elles peuvent servir accepter ou rejeter les messages qui proviennent de nuds de rseau spci-
fiques ou envoys laide de protocoles ou de services particuliers.
Ces filtres sont utiliss afin dassurer une transmission slective du trafic, base sur ladresse de
rseau. Ils peuvent tre mis en uvre au niveau des ports dentre ou de sortie. Les filtres de service
emploient des listes daccs appliques des protocoles (tel UDP pour IP), des applications (telle
SMTP, Simple Mail Transfer Protocol) et des protocoles spcifiques.
Supposons que vous disposiez dun rseau connect lInternet. Vous souhaitez que tous les htes
dun rseau Ethernet soient en mesure dtablir des connexions TCP/IP avec nimporte quel hte sur
lInternet, mais que linverse ne soit pas possible. La seule exception est la connexion dun hte
Internet sur le port SMTP dun hte de messagerie ddi.
SMTP utilise le port TCP 25 lune des extrmits de la connexion, et un numro de port alatoire de
lautre ct. Ces deux numros sont conservs tout au long de la connexion. Les paquets de messages
en provenance de lInternet sont envoys sur le port 25, tandis que ceux destination de lextrieur
sont envoys vers lautre numro de port. Le fait que le systme de scurit implment par le
routeur accepte toujours les connexions de messagerie sur le port 25 permet de contrler spar-
ment les services entrants et sortants. La liste daccs peut tre configure au niveau de linterface
dentre ou de sortie.
Dans lexemple suivant, le rseau Ethernet est de classe B. Son adresse est 128.88.0.0 ; celle de
lhte de messagerie est 128.88.1.2. Le mot cl established sert uniquement au protocole TCP pour
indiquer une connexion tablie. Une correspondance se produit si les bits ACK ou RST du data-
gramme TCP sont activs, signifiant que le paquet appartient une connexion existante :
access-list 102 permit tcp 0.0.0.0 255.255.255.255
128.88.0.0 0.0.255.255 established
access-list 102 permit tcp 0.0.0.0 255.255.255.255
128.88.1.2 0.0.0.0 eq 25
interface ethernet 0
ip access-group 102
Distribution stratgique
La distribution stratgique part du principe que plusieurs dpartements dune organisation peuvent
observer des rgles diffrentes de distribution du trafic travers tout le rseau. Cette forme de distri-
bution vise satisfaire des exigences diffrentes, sans pour autant provoquer de rpercussions nga-
tives quant aux performances et lintgrit des informations.
Une stratgie dans ce contexte est une rgle ou un ensemble de rgles qui gouvernent la distribution
du trafic, de bout en bout, en direction dun rseau fdrateur, puis sur ce rseau. Un dpartement
pourrait injecter vers cette pine dorsale un trafic compos de trois protocoles diffrents, mais souhai-
ter que celui dun protocole spcifique transite galement travers cette artre, car il transporte des
donnes critiques. Un autre dpartement pourrait galement vouloir rduire un trafic interne dj
excessif en interdisant tout trafic en provenance de lpine dorsale de pntrer sur son segment de
rseau, except celui de courrier lectronique et dapplications personnalises essentielles.
Ces exemples refltent des stratgies propres certains dpartements. Toutefois, elles pourraient
correspondre lensemble des objectifs de lorganisation. Par exemple, celle-ci pourrait souhaiter
rglementer le trafic sur lpine dorsale en se fondant sur un maximum de 10 % dutilisation de la
40 Partie I Architecture de rseaux
bande passante en moyenne durant la journe, avec des crtes dune minute o la consommation
passe 30 %. Une autre stratgie dentreprise pourrait garantir que deux dpartements distants
peuvent communiquer nimporte quel moment, malgr des technologies de rseau diffrentes.
Diverses stratgies requirent souvent lemploi de technologies diffrentes au niveau des groupes
de travail ou des dpartements. Par consquent, la mise en uvre de la distribution stratgique
implique le support du large ventail de technologies actuellement en place. En retour, le fait de
pouvoir implmenter des solutions qui supportent de nombreuses stratgies permet daccrotre la
souplesse de lorganisation et la disponibilit des applications.
Outre la gestion de ces diffrentes technologies de rseau, des moyens doivent tre mis en uvre
pour, la fois les sparer, et les intgrer de faon approprie. Elles doivent pouvoir coexister ou, au
besoin, tre combines intelligemment selon les situations.
Observez la situation illustre la Figure 2.13. Une entreprise souhaite limiter le trafic inutile sur
lpine dorsale. Une solution serait de rduire la transmission des messages du protocole dannon-
ces SAP (Service Advertisement Protocol) qui permettent des serveurs NetWare dannoncer les
services proposs aux clients. Lentreprise pourrait donc dfinir une stratgie stipulant que tous les servi-
ces NetWare doivent tre assurs localement. Dans ce cas, il ny a aucune raison pour que des services
soient annoncs distance. Lorganisation pourrait donc mettre en uvre des filtres SAP pour
empcher que ce type de trafic ne quitte une interface de routeur, satisfaisant ainsi aux exigences de
circulation de trafic sur lpine dorsale.
Serveur Serveur
NetWare NetWare
Services de passerelle
Les fonctions de passerelle de protocole font partie de la panoplie logicielle standard de chaque routeur.
Par exemple, au moment de llaboration de cet ouvrage, Digital Equipement commercialisait DECnet
Phase V. Les adresses de cette version sont diffrentes de celles utilises par DECnet Phase IV. Pour les
rseaux qui ncessitent la cohabitation des deux types dhtes, la traduction bidirectionnelle Phase IV/
Phase V est conforme aux directives de Digital. Les routeurs Digital interagissent avec dautres
routeurs, et les htes Digital ne font aucune distinction entre les diffrents quipements.
La connexion de plusieurs rseaux DECnet indpendants peut conduire la ncessit de rsoudre
certains problmes. Rien nempche deux administrateurs dassigner tous deux la mme adresse de
nud 10 un hte sur leur rseau respectif. Toutefois, lorsque les deux rseaux se connecteront
Chapitre 2 Notions essentielles sur la conception de rseaux 41
ultrieurement, des conflits natront. DECnet fournit des passerelles de traduction dadresses (ATG,
Address Translation Gateway) pour rgler ce problme. La solution ATG gre, au niveau routeur, la
traduction des adresses de deux rseaux DECnet diffrents unis par un routeur. La Figure 2.14 illus-
tre un exemple de cette opration.
Sur le Rseau 0, le routeur est configur avec ladresse 19.4 ; cest un routeur de niveau 1. Sur le
Rseau 1, le routeur est configur avec ladresse 50.5 ; cest un routeur de zone. A ce stade, aucune
information de routage nest change entre les deux rseaux. Le routeur maintient une table de
routage spare pour chaque rseau. En tablissant une carte de traduction, les paquets du Rseau 0
envoys ladresse 19.5 seront routs sur le Rseau 1 avec ladresse de destination 50.1, et les
paquets envoys vers ladresse 19.6 seront routs vers le Rseau 1 avec ladresse de destination
19.1. De la mme manire, les paquets transmis sur le Rseau 1 vers ladresse 47.1 seront aiguills
vers le Rseau 0 avec 19.1 comme adresse de destination, et les paquets expdis vers ladresse
47.2 seront achemins vers le Rseau 0 avec ladresse 19.3.
19.5 50.1
19.6 19.1
19.1 47.1
19.3 47.2
Table de traduction DECnet
AppleTalk est un autre exemple de protocole ayant fait lobjet de plusieurs rvisions, chacune
comportant des caractristiques dadressage quelque peu diffrentes. Les adresses dAppleTalk
Phase 1 suivent une forme locale simple, celles dAppleTalk Phase 2 emploient une structure ten-
due (multirseau). Normalement, des informations expdies partir dun nud Phase 2 ne peuvent
pas tre comprises par un nud Phase 1 si ladressage tendu Phase 2 est utilis. Les routeurs
grent lacheminement du trafic entre ces deux types de nuds sur un mme cble, au moyen dun
routage transitoire.
Le routage transitoire peut tre ralis en reliant deux ports de routeur au mme cble. Configurez
un port pour grer ladressage non tendu et lautre port pour ladressage tendu. Ils doivent chacun
disposer dune adresse de rseau unique. Les paquets sont ensuite traduits, puis envoys sur lun ou
lautre des deux ports, selon les ncessits.
42 Partie I Architecture de rseaux
Token
Routeur
Ring
Pont traducteur
routage par la source
Anneau N8
S0 SDLLC
3x74
Token WAN
Ring 10 E0 S1 C2
Routeur A Routeur B
T0 E0 SDLLC
37x5
E0
Anneau N9
SDLLC
C3
3270
3x74
La traduction entre des lignes srie qui exploitent le protocole SDLC et des anneaux Token Ring
qui exploitent LLC2 est aussi possible. Elle est connue sous la dsignation de traduction de trame
SDLLC et autorise les connexions entre des lignes srie et des rseaux Token Ring. Cela peut se
rvler utile pour consolider des rseaux SNA/SDLC, traditionnellement disparates, en un rseau
fdrateur multimdia, multiprotocole, fond sur un LAN. Avec SDLLC, les routeurs peuvent
terminer les sessions SDLC, traduire les trames SDLC en trames LLC2, puis transmettre ces
dernires par voie de pontage RSRB sur une liaison point--point ou un rseau IP. Puisquun rseau
IP fond sur des routeurs peut utiliser un mdia quelconque (FDDI, Frame Relay ou X.25), ou
encore des lignes loues, les routeurs grent SDLLC au-dessus de ces technologies, au moyen
dune encapsulation IP.
Une configuration SDLLC complexe est illustre la Figure 2.16.
44 Partie I Architecture de rseaux
AA
N'autorise que les
diffusions broadcast
de type 10
Serveur
NetWare A
00b4.23cd.110a
E0
BB
Routeur C1 E1
E2 Serveur
NetWare B
0090.aa23.ef01
CC
Segmentation de rseau
La division de rseaux en sous-lments plus faciles grer est le rle essentiel des routeurs daccs
local. Ils permettent en particulier dimplmenter des stratgies locales et de limiter le trafic inutile.
Parmi les moyens mis la disposition des concepteurs pour exploiter ces routeurs des fins de
segmentation, on trouve les sous-rseaux IP, ladressage de zone DECnet et les zones AppleTalk.
Vous pouvez utiliser des routeurs daccs local pour implmenter des stratgies locales, en les
plaant des endroits stratgiques et en les configurant de faon suivre des rgles spcifiques. Par
exemple, vous pouvez dfinir une srie de segments LAN avec des adresses de sous-rseaux diff-
rentes ; les routeurs seraient configurs avec des adresses dinterface et des masques de sous-rseau
appropris. En gnral, le trafic sur un segment donn est limit aux diffusions broadcast locales,
aux messages destination dune station sur le mme segment ou destination dun autre routeur.
En rpartissant les htes et les clients ingnieusement, vous pouvez employer cette mthode simple
de division dun rseau pour rduire lensemble de la congestion.
Dans le monde IP, linstar dautres technologies dailleurs, les requtes broadcast sont chose
courante. A moins quelles ne soient contrles, la bande passante peut sen trouver srieusement
affecte. Les routeurs proposent plusieurs fonctions qui permettent de rduire ce type de trafic et, du
mme coup, les risques de temptes de broadcast. Par exemple, la diffusion broadcast dirige
permet denvoyer les paquets concerns vers un rseau ou une srie de rseaux spcifiques, au lieu
de les transmettre sur lensemble du rseau. Lorsque les diffusions broadcast par inondation
(envoyes sur tout le rseau) sont ncessaires, les routeurs Cisco sappuient sur une technique dans
laquelle les paquets suivent un arbre recouvrant le rseau. Larbre recouvrant assure une couverture
complte, sans trafic excessif, car un paquet unique est envoy sur chaque segment de rseau.
Comme on la vu dans la section consacre ladressage de rseau valeur ajoute, le contrle du
trafic broadcast est pris en charge par les mcanismes de ladressage auxiliaire. Avec ce soutien,
vous pouvez galement autoriser un routeur ou une srie de routeurs relayer ce trafic, qui autre-
ment serait bloqu. Par exemple, grce lacheminement des diffusions broadcast SAP, les clients
sur diffrents segments de rseau peuvent tre avertis de la disponibilit de certains services
NetWare assurs par des serveurs distants donns.
La fonctionnalit de diffusion multicast IP de Cisco autorise le trafic IP tre achemin partir
dune source vers un nombre spcifique de destinations. A la diffrence de la diffusion broadcast
qui transmet un paquet vers toutes les destinations, la diffusion multicast sadresse un groupe
identifi par une seule adresse IP. Ce type denvoi offre un excellent support pour des applications
telles que la vido, laudioconfrence, la dcouverte de ressources et la distribution des rsultats de
marchs boursiers.
Pour que la diffusion multicast IP soit possible, les htes IP doivent exploiter le protocole IGMP
(Internet Group Management Protocol). Ils peuvent ainsi signaler leur appartenance un groupe
auprs dun routeur multicast situ dans un voisinage immdiat. Lenregistrement dappartenance
un tel groupe est un processus dynamique. Les routeurs qui grent ce mode de diffusion envoient
des messages de requte IGMP sur les rseaux locaux auxquels ils sont connects. Les membres
dun groupe y rpondent par lmission de rapports IGMP sur les groupes auxquels ils appartien-
nent. Un routeur prend en compte le rapport denregistrement envoy par le premier hte abonn
un groupe, puis supprime tous les rapports identiques dautres htes qui appartiendraient au mme
groupe.
Le routeur multicast connect au rseau local a pour responsabilit de transmettre les datagrammes
dun groupe vers tous les autres rseaux qui comportent un hte membre de ce groupe. Les routeurs
laborent des arbres de distribution multicast (tables de routage) afin que les paquets puissent
emprunter des routes exemptes de boucles jusqu leur destination, sans tre dupliqus. Si aucun
rapport nest reu pour un groupe aprs un nombre dfini de requtes IGMP, le routeur multicast
concern supposera quaucun membre local nen fait partie, et stoppera lacheminement des diffu-
sions multicast concernant ce groupe.
Les routeurs Cisco grent aussi le protocole PIM (Protocol Independent Multicast).
Les applications de rseau et les services de connexion exploits sur des rseaux segments requirent
lemploi de mthodes rationnelles pour rsoudre les noms en adresses. Divers services concourent
cela. Nimporte quel routeur doit pouvoir grer les services de noms implments pour divers environ-
nements de systmes terminaux. Parmi les services de noms supports, on trouve NetBIOS, DNS
(Domain Name System), IEN-116 pour IP et NBP (Name Binding Protocol) dAppleTalk.
Un routeur peut galement fournir des services de proxy pour un serveur de noms. La gestion par le
routeur dun cache de noms NetBIOS en est un exemple. Il na ainsi pas besoin de transmettre toutes
les requtes broadcast entre les ordinateurs NetBIOS client ou serveur (IBM PC ou PS/2) dans un
environnement SRB. Lorsquun tel cache est activ, le routeur procde de la faon suivante :
m Il dtecte un hte qui envoie une srie de trames de requte dupliques et limite la retransmission
une trame par priode ; un intervalle de temps est dfini au pralable.
m Il conserve en cache une table de correspondances entre les noms de serveurs et de clients
NetBIOS et leurs adresses MAC. Grce ce mcanisme, les requtes broadcast envoyes par les
clients afin de rechercher des serveurs peuvent tre directement diriges vers leurs destinataires
au lieu dtre diffuses en mode broadcast sur lensemble du rseau pont.
Lorsque la gestion de noms NetBIOS en cache est active et que les paramtres par dfaut sont
dfinis sur le routeur, sur les serveurs de noms NetBIOS, et sur les clients NetBIOS, environ vingt
paquets broadcast par ouverture de session sont conservs sur lanneau local o ils ont t gnrs.
Dans la plupart des cas, lutilisation du cache est optimale lorsquune grande quantit du trafic
broadcast gnr par les requtes NetBIOS provoque des goulets dtranglement sur un WAN qui
relie des rseaux locaux des environnement distants.
Les routeurs peuvent galement permettre une conomie de bande passante (ou grer des protocoles
de rsolution de noms non compatibles) au moyen dun ventail dautres services de proxy. En les
utilisant comme agents excutant des services pour le compte dautres quipements, vous pourrez
plus facilement adapter votre rseau. Au lieu de se trouver dans lobligation dajouter de la bande
passante lorsquun nouveau groupe de travail est ajout dans un environnement, il est possible
dutiliser un routeur afin de grer la rsolution dadresse et contrler les services de messages.
Parmi les exemples de ce type dexploitation, on trouve la fonction dexploration de proxy de SRB
et la fonction de sondage de proxy dans les implmentations de STUN.
Parfois, des portions de rseau ne peuvent pas participer lactivit de routage ou nimplmentent
pas des logiciels conformes aux protocoles gnralement installs pour la rsolution dadresse. Les
implmentations de proxy sur les routeurs permettent alors aux concepteurs de rseaux de supporter
ces rseaux ou htes sans avoir reconfigurer un rseau. Par exemple, les fonctionnalits de proxy
grent la rsolution dadresse ARP sur les rseaux IP ou NBP sur les rseaux AppleTalk.
Les caches locaux servent mmoriser des informations recueillies sur le rseau afin dviter que de
nouvelles requtes aient besoin dtre transmises chaque fois que les mmes lments dinformations
sont demands. Un cache ARP de routeur stocke les correspondances entre adresses physiques et
adresses de rseaux, empchant quune requte ARP ne soit envoye plusieurs fois en mode broad-
cast pour une mme adresse, dans une priode donne. Des caches dadresses sont galement mis en
uvre pour dautres protocoles, tels DECnet, Novell IPX et SRB, o les informations du champ RIF
sont conserves.
48 Partie I Architecture de rseaux
(Terminal Access Controller Access Control System) est un moyen de protger les accs par modem
sur un rseau. Le DDN (Defense Data Network) amricain a dvelopp ce systme afin de contrler
laccs ses serveurs de terminaux TAC.
Le support de TACACS sur un routeur suit un modle dapplication prsent par le DDN. Lorsquun
utilisateur tente de dmarrer un interprteur de commandes EXEC sur une ligne de commande prot-
ge par mot de passe, ce dernier est requis. En cas de non-conformit du mot de passe, laccs est
refus. Les administrateurs de routeurs peuvent contrler divers paramtres du systme TACACS,
tels que le nombre de tentatives autorises, le dlai dexpiration et lactivation de la comptabilit
TACACS.
Le protocole CHAP (Challenge Handshake Authentication Protocol) est un autre moyen de contrler
laccs un rseau. Il est galement couramment utilis pour les communications entre deux
routeurs. Lorsquil est activ, un quipement distant (un PC, une station de travail, un routeur ou un
serveur de communication) qui tente de se connecter un routeur local est "mis au dfi" de fournir
une rponse approprie. En cas dchec, laccs est refus.
CHAP devient populaire, car il ne recourt pas lenvoi dun mot de passe sur le rseau. Il est
support sur toutes les lignes srie de routeurs qui exploitent lencapsulation PPP (Point-to-Point
Protocol).
Dcouverte de routeurs
Les htes doivent tre en mesure de localiser des routeurs lorsquils ont besoin daccder des
quipements extrieurs au rseau local. Lorsque plusieurs routeurs sont connects au segment local
dun hte, ce dernier doit dduire quel routeur reprsente le point daccs au chemin optimal vers
une destination donne. Ce processus est appel dcouverte de routeurs.
Voici les protocoles de dcouverte de routeurs :
m ES-IS (End System-to-Intermediate System). Ce protocole a t dfini dans la suite de protoco-
les OSI de lISO. Il est ddi lchange dinformations entre des systmes intermdiaires
(routeurs) et des systmes terminaux (htes). Les systmes terminaux envoient des messages
"ES hello" tous les systmes intermdiaires situs sur le segment local. En rponse, ces
derniers renvoient des messages "IS hello" tous les systmes terminaux situs sur le sous-
rseau local. Les deux types de messages vhiculent les adresses de sous-rseau et de couche rseau
des systmes qui les ont gnrs. Grce ce protocole, ces systmes peuvent se localiser
mutuellement.
m IRDP (ICMP Router Discovery Protocol). Il nexiste actuellement aucune mthode standard
qui permette aux stations terminales de localiser les routeurs dans lenvironnement IP. Le
problme est ltude. Dans de nombreuses situations, les stations sont simplement configures
manuellement avec ladresse dun routeur local. Toutefois, le RFC 1256 mentionne un protocole
de dcouverte de routeur qui utilise ICMP (Internet Control Message Protocol) : IRDP.
m Proxy ARP (Proxy Address Resolution Protocol). Ce protocole utilise les messages broadcast
pour dterminer ladresse de la couche MAC qui correspond une adresse de rseau donne. Il
est suffisamment gnrique pour permettre lemploi dIP avec la quasi totalit des types de
mcanismes daccs au mdia sous-jacent. Un routeur sur lequel Proxy ARP est activ rpond
50 Partie I Architecture de rseaux
aux requtes dadresse concernant les htes dont il connat litinraire, ce qui permet aux met-
teurs des requtes de supposer que les autres htes se trouvent en fait sur le mme rseau.
m RIP (Routing Internet Protocol). Ce protocole est gnralement disponible sur les htes IP. De
nombreux utilisateurs sen servent afin de rechercher une adresse de routeur sur un LAN ou,
lorsquil y a plusieurs routeurs, afin de dterminer celui qui est le plus appropri pour une
adresse de rseau donne.
Les routeurs Cisco grent tous les protocoles de dcouverte de routeur lists. Vous pouvez ainsi
choisir le mcanisme qui convient le mieux votre environnement.
Routeur
Les quatre sections suivantes traitent des diffrentes approches qui permettent de crer des rseaux
redondants, et dcrivent, pour chaque cas, un certain contexte qui permet de souligner leurs diff-
rents avantages et inconvnients :
m liens redondants versus topologies mailles ;
m systmes dalimentation redondants ;
m implmentations dun mdia avec tolrance aux pannes ;
m matriel de secours.
Routeur
Lquilibrage de la charge dans les environnements qui exploitent un systme de pont transparent et
IGRP constitue galement un autre outil qui permet daugmenter la rsistance aux pannes. Les
routeurs supportent galement lquilibrage de charge par paquets ou par destinations, dans tous les
environnements IP. La rpartition de la charge par paquets est recommande si les liaisons WAN
sont relativement lentes (infrieures 56 Kbit/s, par exemple). Au-del de ce dbit, il est recom-
mand dactiver la commutation rapide sur les routeurs. Lorsque cette forme de commutation est
possible, lquilibrage de la charge est ralis par destinations.
Les routeurs peuvent automatiquement pallier le dysfonctionnement dune liaison WAN au moyen
dalgorithmes de routage de protocoles, tels que IGRP, EIGRP, OSPF et IS-IS. Si un lien nest plus
utilisable, lapplication de routage recalcule les itinraires et achemine tout le trafic par linterm-
diaire dun autre circuit. Cela permet daugmenter la disponibilit des applications qui peuvent
ainsi continuer fonctionner, mme en cas de rupture sur un rseau tendu.
Le principal inconvnient de la duplication de liaisons WAN vers chaque bureau distant est le cot.
Dans lexemple de la Figure 2.19, trois nouveaux liens ont t ncessaires. Sur de grands rseaux
structurs en toile, avec plusieurs sites distants, dix voire vingt nouvelles liaisons pourraient se
rvler ncessaires, ainsi que de nouveaux quipements (y compris de nouvelles interfaces de
routeur WAN). Une solution moins coteuse, qui devient de plus en plus populaire, consiste relier
des sites distants au moyen dune topologies maille (voir Figure 2.20).
Dans la partie "Avant" de la Figure 2.20, toute panne associe lun des liens A ou B bloque les
changes entre le dpartement central et le site distant concern. La panne pourrait impliquer le
matriel de connexion de la liaison une unit de services de donnes (DSU, Data Service Unit)
ou une unit de services de canal (CSU, Channel Service Unit), par exemple , le routeur (dans sa
totalit, ou uniquement un port) ou la liaison elle-mme. Lajout de la liaison C dans la partie
"Aprs" de la figure permet de remdier toute panne de lun des liens principaux. Le site concern
pourra toujours accder au dpartement central par lintermdiaire du nouveau lien et de celui de
lautre bureau distant. Notez que, si une rupture a lieu sur le nouveau lien, la communication entre
les deux sites distants et le dpartement central se poursuit normalement, avec leurs liaisons respec-
tives vers ce dernier.
Evolution dune
topologie en toile Dpartement Dpartement
vers une topologie central central
maille.
A B A B
Une topologie maille possde trois avantages distincts par rapport une topologie en toile redondante :
m Elle est gnralement un peu moins coteuse (puisquelle compte au minimum une liaison WAN
de moins).
m Elle fournit une communication plus directe (et ventuellement plus rapide) entre des sites
distants, ce qui se traduit par une plus grande disponibilit des applications. Cette solution peut
tre utile si de forts volumes de trafic sont transmis directement entre deux sites distants.
m Elle favorise une exploitation distribue, prvient les goulets dtranglement au niveau du
routeur du dpartement central et augmente la disponibilit des applications.
Une topologie en toile redondante convient dans les situations suivantes :
m Le volume de trafic qui circule entre les sites distants est relativement faible.
m Le trafic qui transite entre le site central et les bureaux distants est constitu de donnes critiques,
sensibles au dlai de livraison. Le dlai et les problmes ventuels de fiabilit qui rsulteraient
du passage par un saut supplmentaire en cas de liaison dfectueuse entre un site distant et le site
central pourraient ne pas tre acceptables.
en toile redondante ou maille. Si le site central dune entreprise est victime dune rupture de
courant, la topologie peut tre srieusement touche, dautant que les applications de rseau essen-
tielles sont souvent centralises ce niveau. Lentreprise pourrait subir des pertes financires pour
chaque minute dimmobilisation du rseau. Dans une telle situation, une configuration maille se
rvlerait plus adapte, car les liaisons entre sites distants seraient toujours disponibles, permettant la
communication.
Si une panne dalimentation survient sur un site distant, toutes les connexions tablies avec ce site
seront interrompues, moins quelles soient protges dune manire ou dune autre. Dans ce cas,
ni une topologie en toile redondante, ni une structure maille ne pourraient se prvaloir dune
quelconque supriorit. Dans les deux cas, tous les autres bureaux distants pourront continuer
communiquer avec le site central. Gnralement, les pannes dalimentation sur un site distant sont
plus srieuses lorsque les services de rseau sont largement distribus.
Pour se protger des coupures de courant au niveau local ou sur lensemble dun site, certaines
entreprises ngocient des dispositions spciales avec les compagnies dlectricit, afin de pouvoir
utiliser plusieurs armoires lectriques au sein de leur organisation. Une rupture au niveau dune
armoire lectrique naffectera pas le rseau si tous les composants essentiels sont relis plusieurs
armoires. Malheureusement, ce genre darrangement se rvle trs coteux et ne devrait tre envi-
sag que dans le cas o lentreprise dispose dimportantes ressources informatiques, est engage
dans des oprations extrmement critiques, et est expose un risque relativement lev en cas de
panne de courant.
Limpact des coupures de courant trs localises peut tre limit si lon est assez prudent lors de la
planification du rseau. Lorsque cela est possible, les composants redondants devraient tre alimen-
ts par des circuits diffrents et ne devraient pas partager un mme emplacement physique. Par
exemple, si des routeurs redondants sont employs pour toutes les stations dun tage donn dans
un immeuble dentreprise, ils peuvent tre physiquement raccords des armoires de cblage
situes des tages diffrents. Cela vitera que des problmes dalimentation au niveau dune
armoire de cblage nempchent la communication entre toutes les stations dun mme tage. La
Figure 2.21 illustre une telle configuration.
Pour certaines entreprises, le besoin de se protger dune ventuelle panne de courant est tellement
vital quelles recourent la mise en uvre dun centre de donnes dentreprise dupliqu. Les orga-
nisations qui ont de telles exigences crent souvent un centre redondant dans une autre ville ou
une certaine distance du centre principal dans la mme ville, afin de se prmunir contre une panne
de secteur. Tous les services de soutien sont dupliqus, et les transactions en provenance de sites
distants sont envoyes vers les deux centres de donnes. Une telle configuration ncessite des
liaisons WAN dupliques partir de tous les bureaux distants, des quipements de rseau dupliqus,
des serveurs et des ressources de serveurs dupliqus, et la location dun autre immeuble. Une telle
approche se rvle si onreuse que les entreprises dsireuses dimplmenter un systme de tol-
rance sans faille y font appel en dernier recours.
La duplication partielle dun centre de traitement des donnes est galement une solution envisa-
geable. On peut dupliquer plusieurs serveurs et liaisons indispensables qui y sont raccords. Il sagit
l dun compromis que les entreprises acceptent couramment pour faire face ces problmes.
Chapitre 2 Notions essentielles sur la conception de rseaux 55
Routeur
Stations terminales
Routeur
Etage X
Routeur
Stations terminales
Routeur
incluant ceux de rseau et dapplications, puissent grer et utiliser de faon efficace les composants
dupliqus pour tre en mesure de dtecter les dfaillances au niveau dun rseau et dinitier une
convergence vers le rseau de secours.
Certains protocoles daccs au mdia sont dots de fonctionnalits intgres de tolrance aux
pannes. Les concentrateurs de cblage pour les rseaux Token Ring, appels MAU (Multistation
Access Unit), peuvent dtecter certaines dfaillances de connexion du mdia et les contourner en
interne. Lanneau double FDDI (contrarotatif) permet de contourner une portion du rseau qui pose
problme, en faisant transiter le trafic sur le second anneau.
Sur le plan du routage, de nombreuses dfaillances du mdia peuvent tre contournes sous rserve
que des chemins alternatifs existent et soient disponibles. Diverses techniques de dtection de
dfaillances matrielles permettent aux routeurs de rvler certains problmes de mdia. Si les
mises jour de routage ou les messages dactivit (keepalive messages) nont pas t reus de la
part dquipements normalement accessibles par lintermdiaire dun port de routeur donn, le
routeur dclare le chemin impraticable et recherche des itinraires de remplacement. Les rseaux
maills fournissent des routes alternatives, ce qui permet aux routeurs de compenser les dfaillances
du mdia.
Matriel de secours
A linstar de tous les dispositifs complexes, les routeurs, commutateurs et autres quipements de
rseau peuvent souffrir de problmes matriels. Lorsque de srieuses dfaillances se produisent,
lutilisation dquipements en double peut rduire de faon efficace les effets ngatifs. En cas de
panne, des protocoles de dcouverte de chemin peuvent aider les stations terminales localiser
de nouveaux itinraires, au moyen desquels elles pourront communiquer sur le rseau. Si chaque
rseau connect lquipement dfaillant possde un chemin alternatif pour sortir de la zone locale,
lintgralit de la connectivit est prserve.
Par exemple, lorsque des routeurs de secours sont mis en uvre, des mtriques de routage peuvent
tre dfinies de faon garantir quils ne pourront pas tre utiliss si les routeurs principaux fonc-
tionnent. En cas de problme, la convergence est automatique et rapide. Considrons la situation
illustre la Figure 2.22. Sur ce rseau, des routeurs dupliqus sont utiliss sur tous les sites dots
de liaisons WAN en double. Si le routeur R1 subit une panne, les routeurs sur FDDI 1 la dtecteront
en raison de labsence de messages en provenance du routeur dfaillant. Au moyen de nimporte
lequel des nombreux protocoles de routage dynamiques, les routeurs A, B et C dsigneront le
routeur R3 comme le prochain saut sur litinraire menant aux ressources distantes accessibles via
le routeur R4.
Afin dassurer une certaine redondance, de nombreux rseaux sont dots de plusieurs routeurs qui
interconnectent des LAN particuliers. Par le pass, lefficacit de ce type de conception tait limite,
en raison de la vitesse laquelle les htes sur ces rseaux locaux dtectaient une mise jour de
topologie et changeaient de routeur. En particulier, les htes IP sont souvent configurs avec une
passerelle par dfaut ou pour utiliser le protocole Proxy ARP, afin de localiser un routeur sur leur
rseau local. Pour quun hte IP change de routeur, il fallait gnralement recourir une interven-
tion manuelle visant mettre jour le cache ARP ou modifier la passerelle par dfaut.
Chapitre 2 Notions essentielles sur la conception de rseaux 57
Configuration FDDI
avec routeurs
Routeur A
redondants. FDDI 1
Routeur R1
Site distant
Routeur B
Routeur R3 Routeur X
FDDI 2
Routeur R2
Routeur C
Routeur Y
Routeur R4
Routeur Z
Le protocole HSRP (Hot Standby Router Protocol) est une solution qui rend les changements de
topologie de rseau transparents pour les htes. Ce protocole autorise les htes changer de route
en dix secondes environ. Il est support sur Ethernet, Token Ring, FDDI, Fast Ethernet et ATM.
Un groupe HSRP peut tre dfini sur chaque rseau local. Tous les membres du groupe connaissent
ladresse IP et ladresse MAC de secours. Un membre est lu pour faire office de routeur leader. Il
traite tous les paquets envoys vers ladresse du groupe HSRP. Les autres routeurs surveillent le
routeur leader et agissent en tant que routeurs HSRP. Si le leader devient inutilisable pour une
raison quelconque, un nouveau leader est lu et hrite des adresses MAC et IP HSRP.
Les routeurs Cisco haut de gamme (des familles 4500, 7000, et 7500) peuvent supporter plusieurs
adresses MAC sur la mme interface Ethernet ou FDDI, ce qui leur permet de grer simultanment
le trafic envoy vers ladresse MAC de secours et ladresse MAC prive. Les commandes qui
permettent dactiver HSRP et de configurer un groupe HSRP sont : standby ip et standby group.
ponts pour crer des rseaux. Cest pourquoi cette section se consacre au rle des commutateurs et
des routeurs.
Les commutateurs peuvent, sur le plan fonctionnel, tre diviss en deux groupes principaux : les
commutateurs de niveau 2 et les commutateurs multicouches, qui offrent des services de commuta-
tion des niveaux 2 et 3. Aujourdhui, les concepteurs ont tendance remplacer les hubs dans les
armoires de cblage par des commutateurs, dans le but damliorer les performances de rseau et de
prserver les investissements existants au niveau du cblage.
Les routeurs permettent de segmenter le trafic du rseau en se fondant sur ladresse de destination
de la couche rseau (niveau 3) la place de ladresse MAC. En consquence, les routeurs sont
dpendants des protocoles.
Peut-tre vous demandez-vous pourquoi implmenter une pine dorsale monoprotocole ? Le choix
de se limiter un rseau fdrateur protocole unique convient lorsquun nombre relativement
faible de protocoles diffrents doit tre gr, sur un nombre rduit de rseaux isols. Toutefois,
lencapsulation ajoutera une surcharge de trafic. En revanche, si plusieurs protocoles sont largement
utiliss sur lensemble du rseau, un rseau fdrateur multiprotocole donnera vraisemblablement
les meilleurs rsultats.
En gnral, vous devriez grer tous les protocoles de couche rseau au sein dun rseau adoptant un
routage natif et en implmenter un nombre aussi faible que possible.
Types de commutateurs
Les commutateurs peuvent tre classs de la faon suivante :
m Commutateurs LAN. Les commutateurs de cette catgorie peuvent encore tre classs dans
deux sous-catgories, savoir les commutateurs de niveau 2 et les commutateurs multicouches.
m Commutateurs ATM. La commutation ATM et les routeurs ATM fournissent une bande
passante de rseau fdrateur plus importante, afin de satisfaire aux exigences des services de
donnes haut dbit.
Les administrateurs de rseau ajoutent des commutateurs LAN dans leurs armoires de cblage, afin
daugmenter la bande passante et de rduire la congestion au niveau des hubs de mdia partag
existants, tout en exploitant de nouvelles technologies au niveau de lpine dorsale, telles que Fast
Ethernet et ATM.
Commutateurs LAN
Les commutateurs LAN, hautement performants et rentables, procurent aujourdhui aux adminis-
trateurs de rseau les avantages suivants :
m une meilleure microsegmentation ;
m une meilleure transmission des agrgats de donnes ;
m davantage de bande passante sur les rseaux fdrateurs dentreprise.
Les commutateurs LAN rpondent aux besoins des utilisateurs en matire de bande passante. En
dployant des commutateurs plutt que des hubs partags traditionnels, les concepteurs de rseaux
peuvent amliorer les performances et accrotre la rentabilit des investissements existants au
niveau du mdia et des cartes LAN. Ces quipements proposent galement des fonctionnalits
jusqualors inexistantes, tels les rseaux locaux virtuels (VLAN), qui apportent une certaine
souplesse, car ils permettent dutiliser des logiciels pour dplacer, ajouter, et modifier des utilisa-
teurs travers le rseau.
Les commutateurs LAN conviennent galement pour fournir un service de commutation de
segments et une bande passante volutive au niveau des centres de traitement de donnes de rseau,
en implmentant des liaisons commutes pour interconnecter les hubs existants dans les armoires
de cblage, les hubs locaux et les fermes de serveurs. Cisco commercialise une famille de commu-
tateurs multicouches, appele Catalyst, qui permet de relier plusieurs commutateurs darmoires de
cblage ou hubs partags dans une configuration de rseau fdrateur.
Chapitre 2 Notions essentielles sur la conception de rseaux 61
Commutateurs ATM
Mme si tous les commutateurs ATM assurent le relais de trames, ils diffrent sensiblement par les
caractristiques suivantes :
m varit des interfaces et services supports ;
m redondance ;
m tendue des applications de rseau ATM ;
m sophistication des mcanismes de gestion de trafic.
De la mme faon quil existe des routeurs et des commutateurs LAN qui possdent des caractris-
tiques diverses en termes de prix, de performances et de niveau de fonctionnalits, les commuta-
teurs ATM peuvent tre classs en quatre types distincts, qui refltent les besoins dapplications et
de marchs particuliers :
m commutateurs ATM de groupe de travail ;
m commutateurs ATM de campus ;
m commutateurs ATM dentreprise ;
m commutateurs daccs multiservices.
Cisco propose un ventail complet de commutateurs ATM.
lon peut rencontrer sur les rseaux fdrateurs dentreprise lheure actuelle. Lintgration de tous
ces services au niveau dune plate-forme et dune infrastructure de transport ATM communes offre
aux concepteurs de rseaux une plus grande aisance pour administrer le rseau et limine le besoin
de superposer de multiples rseaux.
Le BPX/IGX de Cisco est un puissant commutateur ATM large bande, conu pour rpondre aux
exigences de trafic lev de grandes entreprises prives ou de fournisseurs de services publics. Pour
plus dinformations sur le dploiement des commutateurs ATM dentreprise sur un rseau, reportez-
vous au Chapitre 5.
Les commutateurs et les routeurs ont chacun un rle important dans la conception dun VLAN. Le
commutateur reprsente le dispositif central qui contrle les VLAN individuels, alors que le routeur
leur permet de communiquer entre eux (voir Figure 2.23).
Etage 3
Etage 2
Contrle d'accs
entre rseaux VLAN
Etage 1
Les commutateurs liminent les contraintes physiques associes une structure avec hubs partags,
car ils relient logiquement les utilisateurs et les ports au niveau de lentreprise. En tant que disposi-
tifs de remplacement des hubs, ils suppriment les barrires physiques imposes au niveau de chaque
armoire de cblage. De plus, le rle du routeur volue au-del des services traditionnels de pare-feu
et de suppression des diffusions broadcast, pour offrir un contrle fond sur des rgles, une gestion
du trafic broadcast, ainsi que le traitement et la distribution des routes. Tout aussi important, le
routeur conserve une place vitale au sein darchitectures configures en rseaux VLAN, car il
permet ces derniers de communiquer. Il reprsente galement le point daccs VLAN aux ressour-
ces partages, tels que serveurs et htes. Pour plus dinformations sur le dploiement de rseaux
VLAN, reportez-vous au Chapitre 12.
Cependant, si vous avez besoin de services de rseau avancs, les routeurs sont ncessaires. Ils four-
nissent les services suivants :
m protection par pare-feu contre les diffusions broadcast ;
m adressage hirarchique ;
m communication entre rseaux locaux de types diffrents ;
m convergence rapide ;
m routage fond sur des rgles ;
m routage avec qualit de service (QoS) ;
m scurit ;
m redondance et quilibrage de charge ;
m gestion de flux du trafic ;
m gestion dappartenance un groupe multimdia.
Certains de ces services de routeur seront assurs lavenir par des commutateurs. Par exemple, le
support du multimdia ncessite souvent un protocole tel IGMP pour permettre aux stations de
travail dadhrer un groupe qui reoit des paquets multimdias multidestinataires. Les commuta-
teurs Cisco peuvent participer ce processus au moyen du protocole CGMP (Cisco Group Manage-
ment Protocol). Les commutateurs CGMP communiquent avec le routeur pour savoir si lun de
leurs utilisateurs connects fait ou non partie dun groupe multicast.
Le traitement assur par les commutateurs et les ponts peut parfois entraner un routage non optimal
des paquets, car chaque paquet doit passer par le pont racine de larbre recouvrant. Lorsque des
routeurs sont utiliss, le routage peut tre contrl et labor travers des chemins optimaux. Cisco
fournit maintenant un support pour un routage et une redondance amliors dans les environne-
ments commuts, grce la gestion dune instance de larbre recouvrant par VLAN.
Les Figures 2.24 2.27 illustrent la faon dont les concepteurs de rseaux peuvent utiliser les commu-
tateurs et les routeurs afin de faire voluer leurs rseaux de mdia partag en rseaux de commutation.
En gnral, lvolution vers une architecture de rseau de campus commut comprend quatre phases :
m La phase 1 concerne la microsegmentation, au cours de laquelle les concepteurs de rseaux
conservent leurs hubs et routeurs, mais ajoutent un commutateur LAN, afin damliorer les
performances. La Figure 2.24 fournit un exemple de lutilisation dun commutateur LAN pour
segmenter un rseau.
m La phase 2 est lajout dune technologie dpine dorsale haute vitesse et du routage entre
commutateurs. Les commutateurs assurent la commutation et fournissent une bande passante
ddie aux ordinateurs et aux hubs partags. Les routeurs dpine dorsale sont connects des
commutateurs Fast Ethernet ou ATM. Laugmentation de bande passante sur lpine dorsale
correspond celle de la bande passante au niveau de larmoire de cblage. La Figure 2.25 illus-
tre de quelle faon vous pouvez implmenter une technologie de rseau fdrateur haute
vitesse, et le routage entre commutateurs existants.
Chapitre 2 Notions essentielles sur la conception de rseaux 65
Figure 2.24
Lemploi de commutateurs
pour la microsegmentation.
Commutateur Hub partag
LAN
Routeur Cisco
Figure 2.25
Lajout dune technologie dpine
dorsale haute vitesse et du routage
entre les commutateurs.
Commutateur LAN
Commutateur
ATM de campus
m Dans la phase 3, les routeurs sont distribus entre les commutateurs LAN dans larmoire de
cblage et le commutateur central haute vitesse. Lpine dorsale du rseau nest plus quun
mcanisme de transport haute vitesse, avec tous les autres quipements, tels les routeurs distri-
bus, la priphrie. La Figure 2.26 illustre un tel rseau.
m La phase 4, la phase finale, implique la commutation de bout en bout avec des fonctionnalits
compltes de commutation VLAN et multicouche. A ce stade, les quipements de commutation
intgrs de niveau 2 et 3 sont distribus sur tout le rseau et connects au commutateur central
haute vitesse. La Figure 2.27 illustre la phase finale.
66 Partie I Architecture de rseaux
Figure 2.26
Distribution des routeurs entre le
commutateur central haute
vitesse et les commutateurs LAN.
Commutateur
LAN
Commutateur central
haute vitesse
Figure 2.27
Commutation de bout en bout, avec Si
fonctionnalits de commutation VLAN
et multicouche.
Si
Commutateur
LAN
Rsum
Ce chapitre vous a prsent les principes de conception gnrale de base des rseaux, ainsi que les
quipements ncessaires. Les prochains chapitres de cette partie sont consacrs aux diffrentes
technologies disponibles pour les concevoir.
3
Conception de rseaux IP tendus
avec protocoles de routage interne
Ce chapitre dcrit les implications de lutilisation des protocoles EIGRP (Enhanced Interior
Gateway Routing Protocol), OSPF (Open Shortest Path First) et ODR (On-Demand Routing) lors
de la conception de rseaux IP tendus, travers ltude des lments suivants :
m topologie de rseau ;
m adressage et synthse de routage ;
m slection de route ;
m convergence ;
m volutivit du rseau ;
m scurit.
EIGRP et OSPF sont des protocoles de routage pour IP (Internet Protocol). Nous commencerons par
une introduction aux problmes dordre gnral concernant les protocoles de routage et poursuivrons
avec les directives de conception permettant la mise en uvre de protocoles spcifiques pour IP.
comprhension du contenu des prochaines sections qui examinent les caractristiques spcifiques
de ces protocoles.
Topologie de rseau
La topologie physique dun rseau est reprsente par lensemble complet des routeurs et des
rseaux quils relient. Les divers protocoles de routage apprennent diffremment les informations
de topologie. Certains requirent une notion de hirarchie et dautres pas. Cette hirarchie est
ncessaire aux rseaux pour tre volutifs. Par consquent, les protocoles ne requrant pas de
hirarchie devraient nanmoins limplmenter un certain degr, au risque de ne pas tre volutifs.
Certains protocoles exigent la cration explicite dune topologie hirarchique par ltablissement
dun rseau fdrateur et de zones logiques (voir Figure 3.1). Les protocoles OSPF et IS-IS (Inter-
mediate System-to-Intermediate System) sont des exemples de protocoles de routage qui utilisent
une telle structure. Une topologie explicite selon un schma hirarchique est prioritaire sur une
topologie cre par un systme dadressage.
Figure 3.1
Un rseau hirarchique.
Rseau fdrateur
Quel que soit le protocole de routage utilis, la topologie dadressage devrait tre dfinie de faon
reflter la hirarchie. Deux mthodes sont recommandes pour assigner les adresses sur un rseau
hirarchique. La plus simple est dattribuer chaque zone, y compris au rseau fdrateur, une
adresse de rseau unique. Lautre solution consiste rserver des plages dadresse pour chaque zone.
Une zone est un ensemble logique de rseaux et dhtes contigus. Elle comprend aussi tous les
routeurs dots dune interface sur lun des rseaux inclus. Chaque zone excute une copie distincte de
lalgorithme de routage de base, et possde, par consquent, sa propre base de donnes topologique.
doivent grer et la complexit apparente du rseau. Limportance de ce processus crot avec la taille
du rseau. Lorsquil nest pas utilis, chaque routeur sur un rseau doit mmoriser un chemin vers
chaque sous-rseau.
La Figure 3.2 illustre un exemple de la synthse de routes. Dans cet environnement, le routeur R2
mmorise un seul chemin vers tous les rseaux commenant par la lettre B. Le routeur R4 fait de
mme pour les rseaux commenant par la lettre A. Cest la base de la synthse de routage. Le
routeur R1 conserve tous les chemins, car il se trouve la lisire des rseaux A et B.
B1
Token B4
Routeur R1 FDDI Routeur R4
Ring
A1 A2 B2 B3
Ethernet Ethernet
A3
Routeur R2 Routeur R3
A4 Token
Ethernet Ring
A5
La rduction de la surcharge lie aux informations de routage et leur propagation peut tre signifi-
cative. La Figure 3.3 illustre les conomies potentielles. Laxe vertical dans lillustration indique le
nombre dentres dans la table de routage et laxe horizontal reprsente le nombre de sous-
rseaux. Sans le processus de synthse, chaque routeur situ sur un rseau compos de mille sous-rseaux
devrait mmoriser autant de routes. Avec la synthse, le rsultat est trs diffrent. Si vous prenez,
par exemple, un rseau de classe B avec huit bits despace dadresse de sous-rseau, chaque routeur
doit connatre tous les itinraires vers les sous-rseaux de son adresse de rseau 250 routes si
lon suppose que 1 000 sous-rseaux sintgrent dans une structure de 4 rseaux principaux de
250 sous-rseaux chacun plus une route pour chacun des autres rseaux (trois), ce qui donne un
total de 253 routes mmoriser par routeur. Cela reprsente peu prs une rduction de 75 % de la
taille de la table de routage.
70 Partie I Architecture de rseaux
Lexemple prcdent illustre le type de synthse de routage le plus simple, o tous les accs aux
sous-rseaux sont ramens un seul chemin vers un rseau donn. Certains protocoles de routage
supportent galement la synthse de routes au niveau de nimporte quelle limite binaire (plutt que
seulement au niveau des limites principales des adresses de rseaux). Un protocole de routage ne
peut raliser une synthse au niveau bit que sil supporte les masques de sous-rseau de longueur
variable (VLSM, Variable-Length Subnet Mask).
Certains protocoles de routage effectuent une synthse automatique et dautres ncessitent une
configuration manuelle (voir Figure 3.3).
Figure 3.3
Avantages de la
synthse de routage. 1000
Sans synthse
750
Entres
de table
de routage
500
Avec synthse
250
Slection ditinraire
La slection de route est insignifiante lorsquil nexiste quun seul chemin vers la destination.
Cependant, si une section du chemin unique devient impraticable, aucun rtablissement nest possi-
ble. Par consquent, la plupart des rseaux sont conus avec des chemins multiples pour quune
autre solution puisse tre envisage en cas de dfaillance dun lien.
Les protocoles de routage comparent les mtriques de distance pour slectionner le meilleur chemin
parmi plusieurs solutions. Elles sont calcules en se fondant sur une caractristique ou sur un
ensemble de caractristiques dfinies pour chaque rseau. Une mtrique est donc un agrgat des
caractristiques de chaque rseau physique rencontr sur une route. La Figure 3.4 illustre un rseau
maill avec une mtrique assigne chaque lien avec le meilleur itinraire identifi pour aller de la
source la destination.
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 71
Figure 3.4 8
Routeur 1 Routeur 4
Mtriques de routage
5 1
et slection ditinraire. 3 3
8 7
Source Routeur 3 Destination
6 4 3 5
2
Routeur 2 Routeur 5
Les protocoles de routage utilisent diverses techniques pour attribuer une mtrique un rseau et
chaque protocole possde une manire propre de former un agrgat mtrique. La plupart dentre
eux sont capables dutiliser plusieurs chemins lorsquils sont de mme cot. Seuls certains protoco-
les peuvent exploiter plusieurs chemins de cot ingal. Dans tous les cas, cet quilibrage de charge
contribue amliorer lallocation globale de la bande passante du rseau.
Lorsque plusieurs itinraires sont utiliss, il est possible de distribuer les paquets de diffrentes
faons. Les deux mcanismes les plus courants sont lquilibrage de charge par paquet et lquili-
brage de charge par destination. Le premier rpartit les paquets sur tous les itinraires possibles
proportionnellement aux mtriques de distance. Lorsque les chemins ont des cots gaux, la
rpartition sapparente une distribution o chacun est servi tour de rle. Un paquet (ou une desti-
nation selon le mode de commutation) est alors distribu chaque itinraire possible. Le second
mcanisme rpartit les paquets sur toutes les routes possibles pour une destination donne. Chaque
nouvelle destination se voit assigner la route suivante disponible. Cette technique tend prserver
lordre des paquets.
NOTE
La plupart des implmentations TCP peuvent grer les paquets sans prendre en compte leur ordre. Toute-
fois, cela peut entraner des dgradations de performances.
Lorsque la commutation rapide est active sur un routeur (par dfaut), la slection de route est
effectue en se fondant sur la destination. Dans le cas contraire, le choix seffectue par rapport aux
paquets. Pour des vitesses de liaison de 56 Kbit/s ou plus, la commutation rapide est recommande.
Convergence
Lorsque la topologie de rseau change, le trafic doit tre raiguill rapidement. Lexpression "temps
de convergence" dsigne le dlai ncessaire un routeur pour prendre en compte une nouvelle
route. Un routeur ragit en trois temps suite un changement de topologie :
m Il dtecte le changement.
m Il choisit un nouvel itinraire.
m Il retransmet les informations de changement ditinraire.
72 Partie I Architecture de rseaux
Certains changements sont immdiatement dtectables. Par exemple, la dfaillance dune ligne
srie entranant la perte de la porteuse est immdiatement dtecte par un routeur. Dautres probl-
mes sont plus difficiles dcouvrir, comme une ligne srie qui nest plus fiable alors que la porteuse
nest pas perdue. De plus, certains mdias comme Ethernet ne fournissent pas dindications physi-
ques telles que la perte de la porteuse. Lorsquun routeur est rinitialis, les autres routeurs ne le
voient pas non plus immdiatement. En gnral, la capacit des routeurs dtecter les problmes
dpend du mdia et du protocole de routage exploits.
Lorsquune rupture de lien est dtecte, le protocole doit choisir un nouvel itinraire puis propager
linformation de changement de route. Dans les deux cas, les mcanismes employs dpendent du
protocole.
Evolutivit du rseau
La capacit faire voluer un rseau est lie en partie aux proprits dadaptabilit des protocoles
de routage utiliss et la qualit de conception du rseau.
Deux facteurs limitent les possibilits dvolution dun rseau : les problmes fonctionnels et les
problmes techniques. Les premiers sont gnralement plus significatifs que les seconds. Les consi-
drations lies laspect fonctionnel encouragent lemploi de grandes zones ou de protocoles qui
ne requirent pas de structure hirarchique. Lorsque des protocoles hirarchiques sont ncessaires,
les considrations concernant laspect technique favorisent lexploitation de zones dont la taille est
base sur les ressources disponibles (CPU, mmoire, etc.). Rechercher lquilibre appropri, voil
tout lart de la conception de rseau.
Dun point de vue technique, on peut dire que les protocoles de routage sadaptent bien lorsque leur
consommation en ressources ne crot pas proportionnellement au dveloppement du rseau. Trois
ressources essentielles sont exploites par les protocoles de routage : mmoire, processeur et bande
passante.
Mmoire
Les protocoles de routage utilisent la mmoire pour y stocker des tables de routage et des informations
sur la topologie. La synthse de routage permet tous ces protocoles de raliser des conomies de
mmoire. Maintenir des zones de petit taille permet de rduire la consommation de mmoire dans le
cas de protocoles de routage hirarchiques.
Processeur
Lutilisation du processeur est dpendante du protocole. Les protocoles de routage exploitent les
cycles processeur pour calculer les routes. Le fait de limiter au minimum les informations de
routage au moyen de la synthse de routage permet de rduire cette consommation, car les effets
dun changement de topologie ont une porte limite et le nombre de routes devant tre recalcules
aprs un changement est plus faible.
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 73
Bande passante
La consommation de la bande passante est galement dpendante du protocole. Trois facteurs
influent sur la quantit de bande passante utilise par les protocoles de routage :
m Le moment o les informations de routage sont envoyes. Des mises jour priodiques sont
mises intervalles rguliers. Les mises jour flash ne sont transmises que lorsquun change-
ment a eu lieu.
m Les informations de routage elles-mmes. Les mises jour compltes contiennent toutes les
informations de routage. Les mises jour partielles ne contiennent que les informations modifies.
m La destination des informations de routage. Les mises jour par inondation sont envoyes
tous les routeurs. Les mises jour lies ne sont transmises quaux routeurs qui sont concerns
par un changement.
NOTE
Les trois facteurs prcits affectent galement lutilisation des ressources du processeur.
Les protocoles par vecteur de distance tels que RIP (Routing Information Protocol) et IGRP (Inte-
rior Gateway Routing Protocol) diffusent de faon priodique la totalit de leur table de routage en
mode broadcast, indpendamment du fait quelle ait chang ou non. Lintervalle dannonce varie
entre 10 secondes pour RIP et 90 secondes pour IGRP. Lorsque le rseau est stable, les protocoles
par vecteur de distance fonctionnent bien, mais gchent de la bande passante en raison de leurs
annonces priodiques. Lorsquune dfaillance se produit sur un lien du rseau, ils ne provoquent
pas une charge supplmentaire excessive sur le rseau, mais sont longs converger vers un nouvel
itinraire ou liminer le lien dfectueux.
Les protocoles de routage par tat de lien tels que OSPF, IS-IS et NLSP (NetWare Link Services
Protocol) ont t conus pour apporter une solution aux limitations des protocoles par vecteur de
distance (convergence lente et utilisation inutile de la bande passante). Ils sont plus complexes et
exploitent davantage les ressources processeur et la mmoire. Cette surcharge additionnelle dter-
mine le nombre de voisins quun routeur peut supporter et qui peuvent se trouver dans une zone. Ce
nombre varie dun rseau un autre et dpend de variables comme la puissance du processeur, le
nombre de routes et la stabilit des liens.
Lorsque le rseau est stable, les protocoles par tat de lien minimisent lexploitation de la bande
passante en transmettant des mises jour uniquement dans le cas de changements. Un mcanisme
de signalisation Hello vrifie laccessibilit des voisins. Lorsquune panne se produit sur le rseau,
ce type de protocole inonde la zone concerne avec des annonces dtat de lien LSA (Link-State
Advertisement). Dans ce cas, tous les routeurs au sein de la zone dfaillante doivent recalculer leurs
itinraires. Le fait que les annonces doivent tre envoyes par inondation sur la totalit de la zone et
que tous les routeurs doivent mettre jour leur table de routage limite le nombre des voisins
pouvant se trouver dans une zone.
EIGRP est un protocole par vecteur de distance avanc qui possde certaines des proprits des
protocoles par tat de lien. Il apporte une solution aux limitations vues plus haut relatives aux proto-
coles plus conventionnels de sa catgorie. Lorsque le rseau est stable, il envoie des mises jour
74 Partie I Architecture de rseaux
uniquement en cas de changement sur le rseau. A linstar des protocoles par tat de lien, il utilise
un mcanisme de signalisation Hello pour dterminer laccessibilit de ses voisins. En cas de
dysfonctionnement, il recherche de nouveaux successeurs lorsquil nen existe aucun de disponible
dans sa table topologique, en envoyant des messages ses voisins. Cette recherche de nouveaux
successeurs peut engendrer un fort trafic (mises jour, requtes et rponses) avant daboutir une
convergence. Un tel comportement limite le nombre de voisins possibles.
Sur les rseaux tendus, la question de la bande passante est capitale. Par exemple, la technologie
Frame Relay, qui multiplexe de faon statistique de nombreuses connexions logiques (circuits
virtuels) sur un seul lien physique, permet la cration de rseaux qui se partagent la bande passante.
Les rseaux publics intgrant cette technologie exploitent le partage de bande passante tous les
niveaux du rseau. Cest--dire quil peut tre mis en uvre aussi bien sur le rseau Frame Relay
dune entreprise quentre les rseaux de deux entreprises.
Deux facteurs influent considrablement sur la conception des rseaux publics Frame Relay :
m Les utilisateurs sont facturs pour chaque circuit virtuel permanent (PVC, Permanent Virtual
Circuit), ce qui pousse les concepteurs de rseaux rduire le nombre de ces circuits.
m Les rseaux des oprateurs publics incitent parfois les utilisateurs viter lutilisation des
circuits CIR (Committed Information Rate), qui reposent sur un contrat de dbit moyen que les
utilisateurs doivent respecter. Bien que les fournisseurs de services tentent de garantir une bande
passante suffisante, la perte de paquets reste possible.
En gnral, les paquets peuvent tre perdus sur les rseaux tendus en raison dune bande passante
insuffisante. Pour les rseaux Frame Relay, ce risque est aggrav, car il nexiste pas de service de
reproduction de diffusions broadcast. Aussi chaque paquet envoy en diffusion broadcast sur une
interface Frame Relay doit tre reproduit par le routeur au niveau de cette interface pour chaque
circuit virtuel permanent. Cette exigence limite le nombre de circuits pouvant tre grs efficace-
ment par un routeur.
Outre le problme de la bande passante, les concepteurs doivent considrer la question de la taille
des tables de routage qui doivent tre propages. En clair, les considrations de conception pour une
interface comptant 50 voisins et 100 routes de propagation sont trs diffrentes de celles envisages
pour une interface avec 50 voisins et 10 000 routes.
Scurit
Le contrle de laccs aux ressources dun rseau est essentiel. Certains protocoles de routage four-
nissent des techniques pouvant tre exploites dans le cadre dune stratgie de scurit. Avec
certains protocoles, il est possible de placer un filtre pour que des itinraires spcifiques ne soient
pas annoncs dans certaines parties du rseau.
Certains protocoles de routage peuvent authentifier les routeurs qui utilisent le mme protocole. Les
mcanismes dauthentification sont spcifiques aux protocoles et gnralement insuffisants. Malgr
cela, il est nanmoins conseill de tirer profit des techniques qui existent. Lauthentification peut
amliorer la stabilit du rseau en empchant des routeurs ou des htes non autoriss de participer
au protocole de routage, que la tentative de participation soit accidentelle ou dlibre.
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 75
NOTE
Bien que les informations de cette section sappliquent IP, IPX et AppleTalk EIGRP, il sera davantage ques-
tion de IP. Reportez-vous au Chapitre 17 pour les tudes de cas sur la faon dintgrer EIGRP avec les rseaux
IP, IPX et AppleTalk et obtenir des exemples de configuration dtaills ainsi que des informations sur les
problmes spcifiques aux protocoles.
Adressage EIGRP
La premire tape dans la conception dun rseau EIGRP consiste dcider de la faon dont son
adressage doit tre ralis. Dans de nombreuses situations, une entreprise reoit une seule adresse
du NIC (Network Information Center), comme une adresse de Classe B, quelle doit allouer son
rseau. La division en sous-rseaux et les masques de sous-rseaux de longueur variable (VLSM)
servent optimiser lexploitation de lespace dadresse. EIGRP pour IP supporte lutilisation de
VLSM.
Imaginez un rseau sur lequel une adresse de Classe B a t divise en sous-rseaux, et supposez
que des groupes contigus de ces sous-rseaux aient t synthtiss par EIGRP. Un rseau de
Classe B 156.77.0.0 pourrait tre subdivis (voir Figure 3.5).
76 Partie I Architecture de rseaux
Dans la Figure 3.5, les lettres x, y et z reprsentent les bits des deux derniers octets du rseau de
Classe B :
m Les quatre bits x reprsentent la limite de la synthse de routes.
m Les cinq bits y reprsentent jusqu 32 sous-rseaux par route synthtise.
m Les sept bits z permettent dadresser jusqu 126 (128 2) htes par sous-rseau.
LAnnexe A fournit un exemple complet de subdivision dune adresse 150.100.0.0 de Classe B en
sous-rseaux.
m Charge. La charge est dfinie dynamiquement sous la forme dune moyenne pondre calcule
sur 5 secondes.
Lorsque EIGRP synthtise un groupe de routes, il utilise la mtrique de la meilleure route incluse
dans la synthse comme mtrique pour la synthse.
Convergence EIGRP
Le protocole EIGRP implmente un nouvel algorithme de convergence appel DUAL. Celui-ci
utilise deux techniques qui permettent au protocole de converger trs rapidement. Tout dabord,
chaque routeur EIGRP cre une table topologique EIGRP partir des tables de routage reues de
ses voisins. Un routeur peut ainsi emprunter instantanment un nouvel itinraire vers une destina-
tion donne, condition quil en existe un, connu daprs les informations recueillies au pralable
auprs de ses voisins. Sil nen existe pas, un routeur exploitant EIGRP devient actif pour cette
destination et envoie une requte vers chacun de ses voisins, demandant une autre route possible
vers la destination en question. Ces requtes se propagent jusqu ce quun autre chemin soit loca-
lis. Les routeurs qui ne sont pas affects par le changement de topologie demeurent passifs et nont
pas besoin dtre impliqus dans ce processus de recherche.
Un routeur qui utilise EIGRP reoit les tables de routage compltes de la part de ses voisins lorsquil
communique la premire fois avec eux. Ensuite, seuls les changements apports dans les tables sont
envoys, et uniquement aux routeurs affects par ces changements. Un successeur est un routeur
voisin actuellement utilis pour la transmission de paquets qui fournit la route de plus faible cot
vers une destination donne, et qui nest pas impliqu dans une boucle de routage. Lorsque la route
passant par ce routeur est perdue, le successeur possible, sil en existe un pour cette route, devient le
successeur.
La table de routage maintient une liste des cots calculs pour atteindre diffrents rseaux. La table
topologique maintient toutes les routes annonces par les voisins. Pour chaque rseau, un
routeur conserve le cot rel qui lui est associ, ainsi que celui annonc par son voisin. En cas de
panne, la convergence est instantane si un successeur possible peut tre localis. Un voisin peut
accder au rang de successeur possible sil satisfait aux conditions de faisabilit dfinies par lalgo-
rithme DUAL. Lalgorithme identifie un successeur possible au moyen de la procdure suivante :
m Il dtermine lappartenance un ensemble V1. V1 reprsente tous les voisins dont la distance
annonce vers le rseau x est infrieure DP DP est la distance possible et est dfinie comme
tant la mtrique la plus intressante durant une transition dtat, actif vers passif.
m Il calcule Dmin qui est le cot minimal calcul pour joindre le rseau x.
m Il dtermine lappartenance V2. V2 est lensemble des voisins qui appartiennent V1 et qui
offrent un cot calcul vers le rseau x gal Dmin.
La condition de faisabilit est satisfaite lorsque V2 possde un ou plusieurs membres. Le concept de
successeur possible est illustr Figure 3.6. Observez les entres de la table de topologie du
routeur A pour le rseau 7. Le routeur B est le successeur avec un cot calcul de 31 pour atteindre
le rseau 7, compar aux cots des routeurs D (230) et H (40).
78 Partie I Architecture de rseaux
Rseau 3 Rseau 6
Anneau
Routeur B double FDDI Routeur C
Rseau 1
(1)
(10) (10) (10)
Routeur A
Rseau 4 Rseau 5
Si le routeur B devient indisponible, le routeur A ralise les trois tapes suivantes pour localiser un
successeur possible pour le rseau 7 :
1. Il dtermine quels sont les voisins qui ont annonc une distance vers le rseau 7 infrieure la
distance possible (DP) du routeur A, qui est gale 31. Comme le routeur H remplit cette condi-
tion, il est membre de V1.
2. Il calcule le cot minimal calcul vers le rseau 7. Le routeur H fournit un cot de 40, et le
routeur D un cot de 230. La valeur de Dmin est par consquent de 40.
3. Il dtermine lensemble des voisins appartenant V1 et qui offrent un cot calcul vers le
rseau 7 gal Dmin (40). Le routeur H satisfait cette condition.
Le successeur possible est le routeur H qui offre un accs de plus faible cot (40) vers le rseau 7
partir du routeur A. Si pour une raison quelconque il devenait galement inutilisable, le routeur A
procderait lvaluation suivante :
1. Il dtermine les voisins qui possdent une distance annonce vers le rseau 7 infrieure la
valeur de DP pour ce rseau. Comme les routeurs B et H ne sont plus accessibles, seul le routeur D
reste utilisable. Toutefois, le cot offert par ce routeur pour le rseau en question est de 220, une
valeur suprieure celle de DP (31) enregistre par A. Le routeur D ne peut donc pas tre un
membre de V1. DP reste 31, car sa valeur ne peut changer que durant une transition dtat,
actif vers passif, ce qui nest pas le cas ici. Le rseau 7 na connu aucune transition vers un tat actif,
une situation qui est dsigne par le terme calcul local.
2. Comme il nexiste aucun membre de V1, il ny a aucun successeur possible. Le routeur A passe
alors dans une phase de transition dtat, passif vers actif, pour le rseau 7 et interroge ses
voisins son sujet. Cette phase transitoire vers un tat actif est connue sous lappellation calcul
par diffusion.
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 79
NOTE
Reportez-vous lAnnexe H pour obtenir une liste de sources dinformations sur la convergence EIGRP.
Lexemple et les graphiques suivants illustrent la faon dont EIGRP supporte la convergence quasi-
ment instantane dans un environnement de rseau changeant. Dans la Figure 3.7, tous les routeurs
communiquent entre eux et avec le rseau N. Le cot calcul pour atteindre les autres routeurs et le
rseau N est indiqu. Par exemple, le cot pour aller du routeur E au routeur B est 10 et le cot entre
le routeur E et le rseau N est 25 (cot calcul 10 + 10 + 5).
(10) 30
Routeur B Routeur C
(15)
25 (10) (15)
(15)
Routeur
Routeur E E Routeur D
40
Dans la Figure 3.8, la connexion entre les routeurs B et E est interrompue. Le routeur E envoie une
requte multidestinataire tous ses voisins et place le rseau N dans un tat actif.
Routeur B Routeur C
Routeur E Routeur D
E interroge
80 Partie I Architecture de rseaux
Ensuite, comme illustr Figure 3.9, le routeur D dtermine un successeur possible. Il transfre la
succession du routeur E sur le routeur C et envoie une rponse au routeur E.
Routeur B Routeur C
Routeur E Routeur D
D rpond
Dans la Figure 3.10, le routeur E a reu les rponses de la part de ses voisins et fait passer le rseau N
dans un tat passif. Le routeur E place le rseau N dans sa table de routage avec une distance de 60.
30
Routeur B Routeur C
45
Routeur E Routeur D
60
NOTE
Les routeurs A, B et C nont pas t impliqus dans le calcul de route. Le routeur D a recalcul son chemin
vers le rseau N sans avoir obtenir de nouvelles informations de la part de ses voisins en aval.
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 81
Mmoire
Un routeur excutant EIGRP stocke les routes annonces par ses voisins afin de pouvoir sadapter
rapidement tout changement de topologie et exploiter les itinraires alternatifs. Plus un routeur a
de voisins, plus il consomme de mmoire. La fonction dagrgation automatique de routes de
EIGRP limite de faon naturelle la taille de la table de routage. Une limitation supplmentaire est
possible avec une configuration manuelle de cette fonction.
Processeur
EIGRP utilise lalgorithme DUAL pour fournir une convergence rapide. Il ne recalcule que les routes
qui sont affectes par un changement de topologie. DUAL nentrane pas de calcul complexe, mais le
pourcentage dutilisation du processeur dpend de la stabilit du rseau, des limites des requtes et
de la fiabilit des liens.
Bande passante
EIGRP utilise des mises jour partielles. Elle ne sont gnres que lorsquun changement se
produit ; seules les informations modifies sont envoyes, et uniquement aux routeurs concerns par
le changement. En raison de ce comportement, ce protocole est trs efficace dans son utilisation de
la bande passante. Le protocole Hello de EIGRP induit une consommation supplmentaire de la
bande passante pour maintenir les informations dactivit des routeurs voisins.
Pour crer un rseau EIGRP volutif, il est conseill dimplmenter la synthse de routage. Pour
quun environnement soit capable de supporter cette fonction, limplmentation dun schma
dadressage hirarchique efficace est ncessaire. La raison est que les performances et lvolutivit
dun rseau EIGRP peuvent tre considrablement affectes par la structure dadressage mise en
uvre.
(AS, Autonomous System). Un systme autonome est un groupe de routeurs qui changent des
informations de routage via un protocole de routage commun. OSPF sappuie sur un algorithme de
routage par le plus court chemin (SPF, Shortest Path First) ou par tat de lien.
Il a t dvelopp par le groupe de travail OSPF de lIETF (Internet Engineering Task Force). Il a
t conu expressment pour tre exploit dans un environnement IP, avec un support explicite des
sous-rseaux IP et du marquage des informations de routage provenant de lextrieur. La version 2
du protocole est documente dans le RFC 1247.
Si vous concevez un rseau OSPF en partant de rien ou faites migrer votre rseau existant vers
OSPF, les directives suivantes vous aideront mettre en uvre un environnement OSPF fiable et
volutif.
Limplmentation russie dun environnement OSPF implique deux phases importantes :
m la dfinition des limites de zones ;
m lassignation des adresses.
Une planification et une excution efficaces de ces deux phases garantiront le succs de votre impl-
mentation. Elles sont dtailles dans les sections suivantes :
m Topologie de rseau OSPF ;
m Adressage et synthse de routes OSPF ;
m Slection de route OSPF ;
m Convergence OSPF ;
m Evolutivit dun rseau OSPF ;
m Scurit avec OSPF ;
m Fonctionnalits NSSA (Not-So-Stubby Area) de OSPF;
m OSPF ODC (On-Demand Circuit) ;
m OSPF sur les rseaux non broadcast (sans diffusion).
NOTE
Reportez-vous au Chapitre 16 pour travailler sur une tude de cas concernant la dfinition et la configura-
tion de la redistribution OSPF.
plus grandes sont les chances de rencontrer des problmes de performances lors des calculs du
protocole de routage. Le nombre de routeurs dans une zone dpend de leur processeur, de leur
mmoire et du nombre de liens dans la zone.
m Le nombre de voisins pour chaque routeur. OSPF envoie par inondation tous les changements
dtat de lien tous les routeurs dune zone. Les routeurs dots de nombreux voisins ont le plus
de travail accomplir lorsque des modifications ont lieu. Le nombre de voisins par routeur
dpend du processeur de celui-ci, du nombre de liens dans une zone, du processeur des routeurs
voisins, et de la bande passante des liens menant vers les voisins.
m Le nombre de zones supportes par chaque routeur. Un routeur doit excuter lalgorithme
LSA pour chaque changement dtat de lien qui intervient dans une zone laquelle il participe.
Chaque routeur interzones (Area Border Router) est impliqu dans au moins deux zones (celle
de lpine dorsale et celle quil connecte lpine dorsale).
m Choix du routeur dsign. En gnral, le routeur dsign et le routeur dsign de secours sur
un LAN sont voisins de tous les autres routeurs. Ils sont chargs de gnrer les inondations LSA
sur les routes adjacentes et de dfinir ltat des liens pour le compte du rseau. Il est donc
conseill de choisir pour ces rles des routeurs qui ne sont pas dj fortement sollicits par des
activits consommatrices en ressources processeur.
Les explications qui suivent traitent des problmes de topologie en rapport avec lpine dorsale et
les zones.
NOTE
Maintenez une stratgie dadressage aussi simple que possible, mais veillez ne pas exagrer dans ce sens.
Bien que cette simplicit puisse vous faire gagner du temps lors de lexploitation ou du dpannage de votre
rseau, lutilisation de certains raccourcis peut avoir des consquences graves. Lors de llaboration dun
environnement dadressage volutif, adoptez une approche structure. Si ncessaire, utilisez des masques
de sous-rseaux binaires, mais assurez-vous que la synthse de routes peut tre accomplie par les routeurs
interzones.
Figure 3.11
Exemple dassignation
dadresses NIC.
Rseau fdrateur
82.0.0.0
Routeurs
inter-zones
Voici quelques avantages lis lattribution dune adresse unique chaque zone :
m Lassignation des adresses est relativement facile mmoriser.
m La configuration des routeurs est assez simple ce qui limite le risque derreur.
m Lexploitation du rseau est simplifie, car chaque zone possde une adresse de rseau unique et
simple.
Dans lexemple illustr Figure 3.11, la configuration de la synthse de routes au niveau des routeurs
interzones est grandement simplifie. Les routes de la zone 4 qui convergent vers lpine dorsale
peuvent tre synthtises de la manire suivante : toutes les routes commenant avec 150.98 se
trouvent dans la zone 4.
Le principal inconvnient de cette approche est un gaspillage de lespace dadresse. Si vous adoptez
cette mesure, veillez ce que les routeurs interzones soient configurs pour assurer la synthse de
routes. Celle-ci doit tre explicitement dfinie.
Dans la Figure 3.12, les lettres x, y et z reprsentent les bits des deux derniers octets du rseau de
Classe B :
m Les quatre bits x sont utiliss pour identifier 16 zones.
m Les cinq bits y reprsentent jusqu 32 sous-rseaux par zone.
m Les sept bits z permettent dadresser jusqu 126 (128 2) htes par sous-rseau.
LAnnexe A fournit un exemple complet de subdivision dune adresse 150.100.0.0 de Classe B en
sous-rseaux. Elle dcrit le concept de masques de zones et la division de grands sous-rseaux
en sous-rseaux plus petits au moyen de masques VLSM.
Adressage priv
Ladressage priv est une autre option souvent cite comme tant plus simple que le dveloppement
dune stratgie dadressage de zone au moyen de masques de sous-rseaux binaires. Bien que
ladressage priv apporte un excellent niveau de souplesse et ne limite pas la croissance dun rseau
OSPF, il saccompagne de certains inconvnients. Par exemple, le dveloppement dun rseau trs
tendu compos de nuds dots dadresses IP prives empche toute connexion lInternet et
ncessite limplmentation dune zone dmilitarise (DMZ). Lorsque vous avez besoin de vous
connecter lInternet, la Figure 3.13 illustre de quelle faon une zone dmilitarise peut fournir un
tampon de nuds dadresses NIC valides entre le rseau mondial et un rseau priv.
NOTE
Reportez-vous au Chapitre 22 pour travailler sur une tude de cas concernant la scurit de rseau et
incluant des informations sur la faon dinstaller des routeurs pare-feu et des serveurs de communication.
Figure 3.13
Connexion lInternet
partir dun rseau Environnement Internet
avec adressage priv. sous administration du NIC
Routeur A
Noeuds Internet communiquant
avec l'hte Garp IP
dans la zone
DMZ
Type de zone Route par dfaut Routes intrazone Routes interzones Routes externes
NOTE
Les zones stub sont configures au moyen de la commande de configuration de routeur : area id-zone
stub. Les routes sont synthtises au moyen de la commande de configuration de routeur : area id-
zone range masque_adresse. Reportez-vous aux manuels Router Products Configuration Guide et Router
Products Command Reference, pour plus dinformations concernant lutilisation de ces commandes.
trafic quitte la zone le plus tard possible), les routeurs interzones doivent injecter les synthses dans
la zone au lieu de ne lui transmettre que la route par dfaut.
La plupart des concepteurs de rseaux prfrent viter un routage asymtrique (cest--dire lutili-
sation dun chemin pour les paquets passant de A vers B diffrent de celui quempruntent les
paquets allant de B vers A). Il est important de comprendre de quelle faon le routage se produit
entre des zones pour viter un routage asymtrique.
Convergence OSPF
Lune des fonctionnalits les plus attrayantes de OSPF est sa capacit sadapter rapidement aux
changements de topologie. Deux composantes du protocole participent la convergence des infor-
mations de routage :
m Dtection des changements de topologie. OSPF utilise deux mcanismes pour dtecter les
changements qui interviennent au niveau de la topologie. La surveillance des changements
dtat dinterface (tels quun problme de porteuse sur une ligne srie) constitue le premier
mcanisme. Le second mcanisme est la surveillance de lchec de rception dun paquet Hello
de la part du voisin au sein dune fentre de temporisation appele temporisateur dinactivit.
Aprs expiration du temporisateur, le routeur suppose que le routeur voisin est inactif. Le tempo-
risateur est configur au moyen de la commande de configuration dinterface ip ospf dead-
interval. La valeur par dfaut de ce temporisateur est de quatre fois la valeur de lintervalle
Hello. Cela nous donne une valeur par dfaut de 40 secondes pour les rseaux broadcast et de
deux minutes pour les rseaux non broadcast.
m Calcul de routes. Aprs quun routeur a dtect une panne, il envoie un paquet dtat de lien
avec les informations de changement tous les routeurs situs dans la zone. Tous les routeurs
procdent un nouveau calcul des itinraires au moyen de lalgorithme Dykstra (ou SPF). Le
temps requis pour lexcution de lalgorithme dpend dune combinaison qui prend en compte
la taille de la zone et le nombre de routes dans la base de donnes.
capacit de votre rseau voluer. Cette adaptabilit est affecte par des considrations fonctionnel-
les et techniques :
m Sur un plan fonctionnel, un rseau OSPF devrait tre conu de manire que les zones naient pas
besoin dtre divises pour sadapter sa croissance. Lespace dadresse devrait tre rserv
pour autoriser lajout de nouvelles zones.
m Sur le plan technique, ladaptabilit est conditionne par lutilisation de trois ressources :
mmoire, processeur et bande passante. Ces trois lments sont traits ci-dessous.
Mmoire
Un routeur OSPF conserve tous les tats de liens pour toutes les zones dans lesquelles il se trouve.
De plus, il stocke galement les synthses et les routes externes. Un emploi prudent de la synthse
de routes et des zones stub permet de rduire de faon substantielle lutilisation de la mmoire.
Processeur
Un routeur OSPF utilise les cycles du processeur chaque fois quun changement dtat de lien se
produit. Le maintien de zones de petite taille et lemploi de la synthse de routes rduit de faon
considrable lutilisation des ressources processeur et permet dobtenir un environnement plus
stable.
Bande passante
OSPF envoie des mises jour partielles chaque fois quun changement dtat de lien intervient. Les
mises jour sont envoyes par inondation vers tous les routeurs de la zone. Sur un rseau stable,
OSPF est stable lui aussi. Sur un rseau changeant frquemment, le protocole minimise la quantit
de bande passante utilise.
La RFC 1587 dfinit une zone hybride appele NSSA. Une telle zone est semblable une zone
stub, mais autorise les fonctionnalits suivantes :
m importation (redistribution) de routes externes en tant quannonces LSA Type 7 dans les zones
NSSA par les routeurs intersystmes autonomes (ASBR) de ces zones ;
m traduction dannonces de routes spcifiques LSA Type 7 en LSA Type 5 par les routeurs interzo-
nes NSSA.
Figure 3.14 4
NSSA 1
Exploitation de zones 3
10.10.0.0/16
NSSA de OSPF. 10.10.0.0/16 10.11.0.0/16
10.11.0.0/16 20.0.0.0/8
20.0.0.0/8
Type 5
1 Type 7
Zone 0 d'pine
RIP ou EIGRP
dorsale
10.10.0.0/16
B 172.19.89.0/24
10.11.0.0/16
A 19.2 Kbit/s
20.0.0.0/8
Dans ce scnario, le routeur A est dfini en tant que routeur intersystmes autonomes. Il est confi-
gur pour redistribuer toutes les routes du domaine RIP/EIGRP vers la zone NSSA. Lorsque la zone
entre les deux routeurs de connexion est dfinie en tant que zone NSSA, voici ce qui se produit :
1. Le routeur A reoit les informations de routes pour RIP ou EIGRP pour les rseaux 10.10.0.0/16,
10.11.0.0/16 et 10.0.0.0/8.
94 Partie I Architecture de rseaux
2. Comme le routeur A est aussi connect une zone NSSA, il redistribue les routes RIP ou EIGRP
en tant quannonces LSA Type 7 vers la zone NSSA.
3. Le routeur B, un routeur interzones entre la zone NSSA et la zone 0 dpine dorsale, reoit les
annonces LSA Type 7.
4. Aprs le calcul SPF, le routeur B traduit les annonces Type 7 en annonces Type 5 et les envoie
par inondation travers la zone 0 dpine dorsale. A cette tape, le routeur B synthtise les
routes 10.10.0.0/16 et 10.11.0.0/16 en tant que 10.0.0.0/8 ou filtre les informations dune ou
plusieurs routes.
172.19.92.0/24
NSSA 1
RIP ou EIGRP Zone 0 d'pine
10.10.0.0/16 dorsale
B
10.11.0.0/16 172.19.88.0/24
A 19.2 Kbit/s
20.0.0.0/8
200.0.0.62
200.0.0.63 ID Routeur
ID Routeur
Lorsquil est configur, le routeur gnre une annonce Type 7 de route par dfaut dans la zone NSSA
via le routeur interzones NSSA. Tous les routeurs dune mme zone doivent accepter la zone
NSSA, sinon ils ne seront pas capables de communiquer entre eux.
Si possible, vitez une redistribution explicite sur le routeur interzones NSSA, car vous pourriez ne
plus distinguer quels sont les paquets traduits par tel ou tel routeur.
de donnes sous-jacente, lorsque la topologie de rseau est stable, et de maintenir des cots mini-
maux pour un circuit la demande.
OSPF ODC est un mcanisme fond sur des standards semblables la fonction Snapshot de Cisco
utilise pour les protocoles vecteur de distance tels que RIP.
cas, il met jour les entres LSA existantes, mais ne transmet pas les informations au routeur B.
Par consquent, les deux routeurs ont les mmes entres, mais leurs numros de squence
dentres peuvent ne pas tre identiques.
3. Lorsque le routeur A reoit une annonce LSA pour une nouvelle route, ou qui contient des
donnes modifies, il met jour sa base de donnes LSA, tablit le circuit la demande et envoie
les informations vers le routeur B. A cette tape, les deux routeurs possdent des numros de
squence identiques pour cette entre LSA.
4. Lorsquil ny a pas de donnes transfrer alors que la ligne est ouverte pour des mises jour,
elle est libre.
5. Lorsquun hte dun ct ou de lautre doit transfrer des donnes un autre hte sur le site
distant, la ligne est tablie.
3. Nactivez pas cette fonction sur une topologie de rseau broadcast, car les messages Hello ne
peuvent pas tre supprims de faon efficace, ce qui signifie que la ligne sera toujours active.
Mode NBMA
Le mode NBMA reprsente la mthode la plus efficace dexploitation de OSPF sur un rseau non
broadcast, aussi bien en termes de taille de base de donnes dtat de liens quen termes de quantit
de trafic gnr par le protocole de routage. Toutefois, ce mode souffre dune restriction significa-
tive ; il ncessite que tous les routeurs soient connects au rseau NBMA pour pouvoir communi-
quer entre eux. Bien que cette restriction peut tre rencontre sur certains rseaux non broadcast tels
quun sous-rseau ATM utilisant des circuits virtuels commuts (SVC), on ne la rencontre pas
souvent sur les rseaux Frame Relay circuits virtuels permanents (PVC).
Sur les rseaux non broadcast, les routeurs ne communiquent pas tous directement. Pour permettre
une communication directe, divisez le rseau en sous-rseaux logiques. Chaque sous-rseau peut
ensuite tre exploit comme rseau NBMA ou point--point si chaque circuit virtuel est dfini en
tant que sous-rseau logique spar. Cette configuration entrane toutefois une certaine surcharge
administrative, et est propice aux erreurs de configuration. Il est probablement prfrable dexploi-
ter un tel rseau non broadcast en mode point-multipoint.
Mode point-multipoint
Les rseaux point-multipoint ont t conus pour fonctionner simplement et naturellement
lorsquils reposent sur une connectivit partiellement maille. Dans ce mode, OSPF traite toutes les
connexions de routeur routeur sur le rseau non broadcast comme si elles reprsentaient des
liaisons point--point. Aucun routeur dsign nest lu et aucune annonce LSA nest gnre pour
le rseau. Il peut se rvler ncessaire de configurer lensemble des voisins qui sont directement
accessibles travers le rseau point-multipoint. Sur ce type de rseau, chaque voisin est identifi
Chapitre 3 Conception de rseaux IP tendus avec protocoles de routage interne 99
par son adresse IP. Comme aucun routeur dsign nest lu, lligibilit des routeurs voisins confi-
gurs est indfinie.
Alternativement, des voisins peuvent tre dynamiquement dcouverts par des protocoles dun
niveau infrieur comme ARP inverse. A la diffrence des rseaux NBMA, les rseaux point-multi-
point prsentent les caractristiques suivantes :
1. Des dpendances sont tablies entre tous les routeurs voisins. Il ny a pas de routeur dsign ou
de routeur dsign de secours. Aucune annonce LSA nest gnre pour le rseau. La priorit de
routage nest pas configure pour les interfaces, ni pour les voisins.
2. Lors de la gnration dune annonce LSA de routeur, linterface point-multipoint est prsente
comme un ensemble de "liens point--point" vers linterface de tous ses voisins adjacents, et poss-
dant en mme temps un seul lien stub annonant ladresse IP de linterface avec un cot de 0.
3. Lors dune inondation sur une interface non broadcast (en mode NBMA ou point-multipoint), le
paquet de mise jour ou dacquittement dtat de lien doit tre reproduit afin dtre envoy
chacun des voisins de linterface.
Voici un exemple de configuration de rseau point-multipoint sur un rseau NBMA (Frame Relay
dans ce cas). La table de routage rsultante et les informations dtat de lien de routeur, ainsi que
dautres donnes pertinentes suivent galement :
interface Ethernet0
ip address 130.10.6.1 255.255.255.0
!
interface Serial0
no ip address
encapsulation frame-relay
frame-relay lmi-type ansi
!
interface Serial0.1 multipoint
ip address 130.10.10.3 255.255.255.0
ip ospf network point-to-multipoint
ip ospf priority 10
frame-relay map ip 130.10.10.1 140 broadcast
frame-relay map ip 130.10.10.2 150 broadcast
!
router ospf 2
network 130.10.10.0 0.0.0.255 area 0
network 130.10.6.0 0.0.0.255 area 1
R6#sh ip ospf ne
R6#sh ip ro
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
E1 - OSPF external type 1, E2 - OSPF external type 2, E - EGP
i - IS-IS, L1 - IS-IS level-1, L2 - IS-IS level-2, * - candidate default
U - per-user static route
LS age: 806
Options: (No TOS-capability)
LS Type: Router Links
Link State ID: 140.10.1.1
Advertising Router: 140.10.1.1
LS Seq Number: 80000009
Checksum: 0x42C1
Length: 60
Area Border Router
Number of Links: 3
Aucune configuration nest ncessaire sur les routeurs distants, car CDP est activ par dfaut.
Avec la technologie Frame Relay, une configuration de sous-interface point--point peut tre utili-
se sur le nuage Frame Relay, car les routeurs distants sont configurs avec des routes statiques
pointant de lautre ct du nuage, cest--dire vers ladresse IP du routeur hub. Lorsque le circuit
virtuel permanent entre le routeur distant et le routeur hub devient inactif, la sous-interface point-
-point nest plus exploitable et la route statique par dfaut nest plus valide. Si une configuration
point-multipoint est utilise, linterface sur le nuage reste accessible lorsquun circuit virtuel
permanent est inactif et la route statique par dfaut reste valide.
Avantages de ODR
ODR prsente les avantages suivants :
m ODR est un mcanisme qui permet de router IP avec une surchage minimale au niveau des sites
stub. La surchage lie un protocole de routage dynamique typique est ainsi vite, sans pour
autant entraner une surchage additionnelle due la configuration et la gestion du routage statique.
m ODR simplifie limplmentation de rseaux stub IP puisque les routeurs hub maintiennent dyna-
miquement des routes vers ces rseaux. Pour cela, il nest pas ncessaire de configurer un proto-
cole de routage pour IP sur les routeurs stub. Avec ODR, le routeur stub annonce les prfixes IP
102 Partie I Architecture de rseaux
correspondant aux rseaux IP configurs sur les interfaces qui lui sont directement connectes.
Comme ODR annonce les prfixes IP la place des adresses de rseau IP, il peut transporter des
informations de masques de sous-rseaux de longueur variable (VLSM).
m ODR limite la surchage de configuration et de bande passante lie une connectivit de routage
totale. De plus, il limine le besoin de configurer un protocole de routage pour IP sur les routeurs
stub.
Rsum
Nous avons vu dans ce chapitre que les implications de lutilisation des protocoles EIGRP et OSPF
pour la conception de rseaux IP tendus portent sur les aspects suivants :
m topologie de rseau ;
m adressage et synthse de routage ;
m slection de route ;
m convergence ;
m volutivit du rseau ;
m scurit.
Ce chapitre a galement abord le mcanisme de routage la demande, ou ODR, qui prsente le
principal avantage dliminer une grande partie de la surchage lie au routage du protocole IP.
4
Conception de rseaux IP
tendus avec BGP
Le protocole BGP (Border Gateway Protocol) est un protocole de routage intersystme autonome
(AS, Autonomous System). La principale fonction dun systme qui utilise ce protocole est dchan-
ger des informations daccessibilit de rseau avec dautres systmes BGP. Ces informations
incluent la liste des systmes autonomes quelles traversent. BGP 4 fournit un ensemble de
mcanismes permettant de supporter le routage interdomaine sans distinction de classe ou CIDR
(Classless InterDomain Routing). Ces mcanismes comprennent la gestion dannonce de prfixe IP
et liminent le concept de classe de rseau au sein de BGP. BGP 4 introduit aussi des fonctionnali-
ts qui permettent la formation dagrgats de routes, incluant les agrgats de chemins dAS. Ces
changements permettent de supporter la stratgie de super-rseau propose. Ce chapitre dcrit le
fonctionnement de BGP et la faon dont il peut tre utilis pour participer au processus de routage
avec dautres rseaux qui lexploitent galement. Les sujets suivants seront abords :
m fonctionnement de BGP ;
m attributs de BGP ;
m critres de slection de chemin BGP ;
m comprhension et dfinition des stratgies de routage BGP.
Fonctionnement de BGP
A travers les sujets suivants, cette section prsente les informations de base relatives BGP :
m BGP interne (IBGP) ;
104 Partie I Architecture de rseaux
Figure 4.1
EBGP, IBGP et AS 100 AS 300
plusieurs systmes
autonomes. Routeur A Routeur D
129.213.1.2 192.208.10.1
EBGP EBGP
129.213.11 192.208.102.
IBGP
Routeur B Routeur C
175.220.212.1 175.220.12
AS 200
Avant dchanger des informations avec un AS externe, BGP sassure que les rseaux quil inclut sont
accessibles. Pour cela, il sappuie sur le peering des routeurs IBGP au sein de lAS et sur la redistribu-
tion des informations de routage BGP vers les protocoles de routeurs internes (IGP, Interior Gateway
Protocol) qui sexcutent au sein de lAS, tels que IGRP (Interior Gateway Routing Protocol), IS-IS
(Intermediate System-to-Intermediate System), RIP (Routing Information Protocol), et OSPF (Open
Shortest Path First).
BGP utilise TCP (Transmission Control Protocol) comme protocole de transport (plus prcisment,
le port 179). Deux routeurs ayant tabli une connexion TCP afin dchanger des informations de
Chapitre 4 Conception de rseaux IP tendus avec BGP 105
routage sont dsigns par le terme homologues (peer) ou voisins (neighbor). Dans le cas de la
Figure 4.1, les routeurs A et B sont des homologues BGP, de mme que les routeurs B et C, ou C
et D. Les informations de routage consistent en une srie de numros de AS qui dcrivent le chemin
complet vers le rseau de destination. BGP les exploite pour construire une carte exempte de boucle
de AS. Notez que, au sein dun AS, les homologues BGP nont pas besoin dtre directement
connects.
Les homologues BGP changent au dpart leurs tables de routage BGP compltes. Ensuite, seules
les mises jour diffrentielles sont envoyes. Ils changent aussi des messages keepalive pour
vrifier lactivit des lignes ainsi que des messages de notification en rponse des erreurs ou des
conditions spciales.
NOTE
A la Figure 4.1, les routeurs A et B excutent EBGP et les routeurs B et C utilisent IBGP. Notez que les homo-
logues EBGP sont directement connects, mais pas les homologues IBGP. Ds lors quun protocole IGP est
excut, permettant ainsi deux voisins de communiquer, les homologues IBGP nont pas besoin dtre
directement connects.
Tous les nuds supportant BGP au sein dun AS doivent tablir une relation dhomologues entre
eux, cest--dire quils doivent tre totalement maills logiquement. Pour cela, BGP 4 fournit deux
mthodes : les confdrations et les rflecteurs de routes. Pour plus dinformations sur ces sujets,
reportez-vous aux sections "Confdrations" et "Rflecteurs de routes" de ce chapitre.
LAS 200 est un systme autonome de transit pour les AS 100 et 300. Il sert en fait transfrer des
paquets entre ces deux derniers.
Figure 4.2
Exemple dexploitation 190.10.30.1 AS 100.....
de IBGP. EBGP
Routeur D
IBGP
150.10.30.1
190.10.50.1
Routeur A IGBP Routeur B
170.10.20.1 175.10.40.2
170.10.20.2 175.10.40.1
Routeur E
Routeur C
AS 300 AS 400
AS 500 170.10.0.0 175.10.0.0
Les interfaces de bouclage sont souvent utilises par les homologues IBGP. Lavantage de ces inter-
faces est quelles permettent dliminer une dpendance qui, sinon, pourrait se produire lorsque
vous employez ladresse IP dune interface physique pour configurer BGP. La Figure 4.3 illustre un
rseau dans lequel lutilisation dune interface de bouclage est avantageuse.
Figure 4.3
Lemploi dinterfaces Interface de bouclage 0.150.212.1.1
de bouclage. E0 192.208.102.
IBGP E1
190.225.11.1 Routeur A Routeur B
E2
E3
AS 100
Dans le cas de la Figure 4.3, les routeurs A et B excutent IBGP dans lAS 100. Si le routeur A
devait spcifier ladresse IP de linterface Ethernet 0, 1, 2, ou 3 dans la commande neighbor
remote-as, et que linterface en question ne soit pas disponible, le routeur A ne serait pas en mesure
dtablir une connexion TCP avec le routeur B. Au lieu de cela, A spcifie ladresse IP de linterface
de bouclage dfinie par B. Lorsque linterface de bouclage est utilise, BGP na pas besoin de
sappuyer sur la disponibilit dune interface particulire pour tablir des connexions TCP.
Chapitre 4 Conception de rseaux IP tendus avec BGP 107
NOTE
Les interfaces de bouclage sont rarement utilises entre des homologues EBGP, car ils sont gnralement
directement connects et dpendent par consquent dune interface spcifique pour la connectivit.
Synchronisation
Lorsquun AS assure un service de transit pour dautres AS alors que ses routeurs ne supportent pas
BGP, le trafic de transit risque dtre ignor, si ces routeurs intermdiaires nont pas pris connais-
sance ditinraires praticables pour ce trafic via un protocole IGP. La rgle de synchronisation de
BGP stipule que, si un AS fournit un service de transit un autre AS, BGP ne devrait pas annoncer
de route tant que tous les routeurs au sein de lAS de transit nont pas pris connaissance de la route
via un protocole IGP. La topologie de la Figure 4.4 illustre cette rgle de synchronisation.
A la Figure 4.4, le routeur C envoie des mises jour concernant le rseau 170.10.0.0 au routeur A.
Les routeurs A et B excutent IBGP, aussi B peut recevoir des mises jour propos du rseau en
question via IBGP. Si le routeur B souhaite atteindre ce rseau, il envoie le trafic au rseau E. Si A
ne redistribuait pas les informations concernant ce rseau via un protocole IGP, le routeur E naurait
aucun moyen de connatre lexistence du rseau et ignorerait par consquent les paquets.
Figure 4.4
AS 100
Rgle de
150.10.0.0
synchronisation
EBGP.
Routeur E
IGP IGP
2.2.2.2
2.2.2.1
Routeur C
Routeur D
AS 300
170.10.0.0 AS 400
108 Partie I Architecture de rseaux
Si le routeur B annonce au systme autonome 400 quil peut atteindre le rseau 170.10.0.0 avant
que le routeur E nen prenne connaissance via IGP, le trafic en provenance de D vers B destination
170.10.0.0 circulera vers E et sera ignor.
La situation est gre par la rgle de synchronisation de BGP dcrite prcdemment. Dans le cas de
notre figure, comme lAS 100 est le systme autonome de transit, le routeur B doit attendre de rece-
voir des informations concernant le rseau 170.10.0.0 via un IGP avant denvoyer une mise jour
au routeur D.
Dsactivation de la synchronisation
Dans certains cas, vous pourriez avoir besoin de dsactiver la synchronisation. Cette action permet
au protocole BGP de converger plus rapidement, mais peut galement entraner la perte de paquets
en transit. Vous pouvez la dsactiver dans lune des situations suivantes :
m Votre AS ne sert pas de systme de transit entre deux autres AS.
m Tous les routeurs de transit dans lAS excutent BGP.
autres jusqu ce quune action soit entreprise ou quil ny ait plus dinstances de carte de routage
appliquer. Si la mise jour ne correspond aucun critre, elle nest ni redistribue ni contrle.
Quand une mise jour satisfait une condition et que la carte de routage spcifie le mot cl deny,
BGP interrompt lvaluation de la liste dinstances et la mise jour nest ni redistribue ni contr-
le. La Figure 4.5 prsente une topologie qui illustre lutilisation dune carte de routage.
Figure 4.5
Exemple de carte
de routage. 3.3.3.3 RIP
3.3.3.4
Routeur A Routeur B
AS 100
2.2.2.2
150.10.0.0 EBGP
2.2.2.3.
Routeur C
AS 300
170.10.0.0
A la Figure 4.5, 1es routeurs A et B communiquent via RIP et les routeurs A et C via BGP. Si vous
voulez que le routeur A redistribue les routes du rseau 170.10.0.0 avec une mtrique de 2, et toutes
les autres routes avec une mtrique de 5, utilisez les commandes suivantes sur le routeur A :
!Routeur A
router rip
network 3.0.0.0
network 2.0.0.0
network 150.10.0.0
passive-interface serial 0
redistribute bgp 100 route-map SETMETRIC
!
router bgp 100
neighbor 2.2.2.3 remote-as 300
network 150.10.0.0
!
route-map SETMETRIC permit 10
match ip-address 1
set metric 2
!
route-map SETMETRIC permit 20
set metric 5
!
access-list 1 permit 170.10.0.0 0.0.255.255
Lorsquune route correspond ladresse IP 170.10.0.0, elle est redistribue avec une mtrique
de 2. Lorsquil ny a pas de correspondance, sa mtrique est dfinie 5 et la route est redistribue.
110 Partie I Architecture de rseaux
Supposez que vous vouliez dfinir 300 lattribut de communaut des mises jour sortantes
concernant le rseau 170.10.0.0 sur le routeur C. Les commandes suivantes appliquent une carte de
routage aux mises jour sortantes sur le routeur C :
!Routeur C
router bgp 300
network 170.10.0.0
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
set community 300
!
access-list 1 permit 0.0.0.0 255.255.255.255
La liste daccs 1 rejette toutes les mises jour pour le rseau 170.10.0.0 et les autorise pour tout
autre rseau.
Annonces de rseaux
Un rseau situ sur un systme autonome est dit originaire de ce rseau. Pour informer les autres AS
de lexistence de ses rseaux, un AS les annonce. Pour cela, BGP offre trois mthodes :
m redistribution de routes statiques ;
m redistribution de routes dynamiques ;
m utilisation de la commande network.
Cette section utilise la topologie illustre Figure 4.6 pour dmontrer de quelle faon les rseaux
originaires dun systme autonome peuvent tre annoncs.
Figure 4.6
AS 300
Exemple 1 dannonce
de rseau.
Routeur D
1.1.1.1
1.1.1.2
129.213.1.0 2.2.2.2
Routeur A Routeur B Routeur C
IBGP
175.220.0.0.
AS 100 AS 200
NOTE
En dpit du type de route (statique ou dynamique), la commande redistribute est la seule mthode permet-
tant dinjecter les informations de route BGP dans un IGP.
La commande redistribute avec le mot cl eigrp redistribue les routes EIGRP pour lidentifiant de
processus 10 dans BGP (normalement, la distribution de BGP dans IGP devrait tre vite, car trop
dinformations de routes seraient injectes dans le systme autonome). La commande neighbor
distribute-list applique la liste daccs 1 aux annonces sortantes en direction du voisin dont
ladresse IP est 1.1.1.1 (cest--dire, le routeur D). La liste daccs 1 spcifie que le rseau
175.220.0.0 doit tre annonc. Tous les autres rseaux, comme celui dadresse 129.213.1.0, sont
empchs implicitement dtre annoncs. La liste daccs empche ainsi le rseau 129.213.1.0
dtre rinject en amont dans BGP comme sil provenait de lAS 200 et permet BGP dannoncer
le rseau 175.220.0.0 comme tant originaire de cet AS.
Avec la commande network, le routeur C gnre une entre pour le rseau 175.220.0.0 dans la table
de routage BGP. La Figure 4.7 prsente une autre topologie qui illustre les effets de cette commande.
Figure 4.7
AS 100 AS 200
Exemple 2 dannonce 150.10.0.0 160.10.0.0
de rseau.
Routeur A Routeur B
150.10.20.1 160.10.20.1
150.10.20.2 160.10.20.2
Routeur C
AS 300
170.10.0.0
Chapitre 4 Conception de rseaux IP tendus avec BGP 113
La commande network est utilise ici pour configurer les routeurs prsents la Figure 4.7 :
!Routeur A
router bgp 100
neighbor 150.10.20.2 remote-as 300
network 150.10.0.0
!Routeur B
router bgp 200
neighbor 160.10.20.2 remote-as 300
network 160.10.0.0
!Routeur C
router bgp 300
neighbor 150.10.20.1 remote-as 100
neighbor 160.10.20.1 remote-as 200
network 170.10.0.0
Pour garantir une topologie interdomaine exempte de boucle, BGP naccepte pas les mises jour
qui proviennent de son propre AS. Par exemple, la Figure 4.7, si le routeur A gnre une mise
jour pour le rseau 150.10.0.0 avec comme origine lAS 100 et lenvoie au routeur C, celui-ci la
transmettra au routeur B avec la mme origine. Le routeur B enverra la mise jour, toujours avec
la mme origine, vers le routeur A, qui reconnatra son propre AS et lignorera.
Attributs de BGP
Lorsquun routeur BGP reoit des mises jour en provenance de plusieurs systmes autonomes qui
dcrivent diffrents chemins vers une mme destination, il doit choisir le meilleur et unique itin-
raire pour latteindre, puis le propager vers ses voisins. La dcision est fonde sur la valeur des attri-
buts (comme le prochain saut, les poids administratifs, la prfrence locale, lorigine de la route et
la longueur du chemin) que la mise jour contient, ainsi que sur dautres facteurs configurables par
BGP. Cette section dcrit les attributs et les facteurs que ce protocole utilise dans son processus de
prise de dcision :
m attribut de chemin de systme autonome (AS_path) ;
m attribut dorigine (Origin) ;
m attribut de prochain saut (Next Hop) ;
m attribut de poids (Weight) ;
m attribut de prfrence locale (Local Preference) ;
m attribut de prfrence daccs AS (Multi-Exit Discriminator) ;
m attribut de communaut (Community).
Routeur C
AS 300
180.10.10.0
Figure 4.9
AS 100
Attribut dorigine.
150.10.30.1 175.10.40.2
190.10.50.1
IBGP
Routeur A Routeur B
170.10.20.1
EBGP
170.10.20.2
Routeur E
AS 300
170.10.0.0
Figure 4.10
AS 100
Attribut de
150.10.0.0
prochain saut.
150.10.30.1
150.10.50.1
IBGP
Routeur A Routeur B
170.10.20.1
EBGP
170.10.20.2
Routeur C
AS 300
170.10.0.0
BGP spcifie que le prochain saut vers une destination apprise via EBGP devrait tre achemin sans
modification dans IBGP. Selon cette rgle, le routeur A annonce le rseau 170.10.0.0 au routeur B,
son homologue IBGP, avec un attribut de prochain saut spcifiant 170.10.20.2. En consquence,
116 Partie I Architecture de rseaux
selon le routeur B, le prochain saut pour atteindre ladresse 170.10.0.0 est 170.10.20.2, au lieu de
150.10.30.1. Pour cette raison, la configuration doit sassurer que le routeur B peut atteindre
170.10.20.2 via un IGP. Sinon, le routeur B ignorera les paquets destination de 170.10.0.0, car
ladresse de lattribut de prochain saut est inaccessible.
Par exemple, si le routeur B excute IGRP, le routeur A devrait excuter IGRP sur le rseau
170.10.0.0. Si vous le souhaitez, vous avez la possibilit de dsactiver IGRP sur le lien vers le
routeur C afin que seules les mises jour BGP soient changes.
Figure 4.11
Rseau avec mdia
multiaccs.
150.10.30.1 150.10.50.1
Routeur A Routeur B
170.10.20.1
AS 100
150.10.0.0
170.10.20.2 170.10.20.3
Routeur C Routeur D
180.20.0.0
AS 300
Figure 4.12
AS 100
Attribut de prochain 150.10.0.0
saut et accs au mdia
non broadcast.
150.10.30.1 150.10.50.1 150.10.50.1
Routeur A Routeur B
170.10.20.1
PVC
PVC
170.10.20.2 170.10.20.3
Routeur C Routeur D
AS 300 180.20.0.0
Si les routeurs A, C et D utilisent un mdia commun tel que le Frame Relay (ou nimporte quel
nuage NBMA), C annonce 180.20.0.0 A avec 170.10.20.3 comme prochain saut, comme il le
ferait si le mdia partag tait Ethernet. Le problme est que A ne dispose pas dune connexion
virtuelle permanente (PVC, Permanent Virtual Connection) vers le routeur D et ne peut donc pas
atteindre ladresse stipule par lattribut de prochain saut, ce qui se traduit par un chec de routage.
Pour remdier cette situation, utilisez la commande neighbor next-hop-self, comme illustr dans
la configuration suivante pour le routeur C :
!Routeur C
router bgp 300
neighbor 170.10.20.1 remote-as 100
neighbor 170.10.20.1 next-hop-self
175.10.0.0 175.10.0.0
Routeur C
AS 300
A la Figure 4.13, les routeurs A et B prennent connaissance du rseau 175.10.0.0 du systme auto-
nome 400 et propagent chacun la mise jour vers le routeur C. Ce dernier dispose donc de deux
routes pour atteindre 175.10.0.0 et doit dcider de celle emprunter. Si, sur C, le poids des mises
jour en provenance de A est suprieur celui des mises jour de B, C utilisera alors A comme
prochain saut pour atteindre le rseau 175.10.0.0. Il existe trois mthodes pour dfinir lattribut de
poids pour les mises jour provenant de A :
m liste daccs ;
m carte de routage ;
m commande neighbor weight.
Dans cet exemple, 2000 est la valeur assigne lattribut de poids des mises jour provenant du
voisin situ ladresse IP 1.1.1.1, et qui sont autorises par la liste daccs 5. Celle-ci accepte les
mises jour dont lattribut de cheminement AS_path commence par 100 (comme spcifi par le
symbole ^) et se termine par 100 (comme spcifi par le symbole $). Ces deux symboles sont
utiliss pour former des expressions rgulires. Cet exemple assigne galement la valeur 1000
lattribut de poids des mises jour transmises par le voisin situ ladresse IP 2.2.2.2, et qui sont
Chapitre 4 Conception de rseaux IP tendus avec BGP 119
acceptes par la liste daccs 6. Celle-ci accepte les mises jour dont lattribut de cheminement
commence par 200 et se termine par 200.
Dans la pratique, cette configuration assigne la valeur 2000 lattribut de poids de toutes les mises
jour de route reues de lAS 100, et la valeur 1000 lattribut de poids de toutes les mises jour
transmises par lAS 200.
AS 100 AS 300
Routeur A Routeur B
1.1.1.1. 3.3.3.4
1.1.1.2. 3.3.3.3
129.213.11.1 129.213.11.2
Routeur C IBGP Routeur D AS 34
AS 256
A la Figure 4.14, lAS 256 reoit des mises jour de route pour le rseau 170.10.0.0 de la part des
AS 100 et 300. Il existe deux faons de dfinir lattribut de prfrence locale :
m commande bgp default local-preference ;
m carte de routage.
La configuration du routeur C assigne une prfrence locale de 150 pour toutes les mises jour
provenant de lAS 100 et la configuration du routeur D assigne une prfrence locale de 200 pour
toutes les mises jour transmises par lAS 300. Comme les informations de prfrence locale sont
changes au sein de lAS, les routeurs C et D dterminent que les mises jour concernant le rseau
170.10.0.0 possdent une valeur de prfrence locale plus intressante lorsquelles transitent par
lAS 300. Rsultat : tout le trafic dans lAS 256 destination du rseau 170.10.0.0 est envoy vers
le routeur D comme point de sortie.
Chapitre 4 Conception de rseaux IP tendus avec BGP 121
Avec cette configuration, nimporte quelle mise jour provenant de lAS 300 reoit une valeur de
prfrence locale de 200. Linstance 20 de la carte de routage SETLOCALIN accepte toutes les
autres routes.
NOTE
Dans la version 4 de BGP, lattribut MED est connu sous lappellation Inter-AS_Metric.
A la diffrence de lattribut de prfrence locale, lattribut MED est chang entre les AS et, une
fois arriv dans un AS, il nest pas retransmis. Lorsquune mise jour pntre dans un AS avec
une certaine valeur dattribut MED, cette dernire est utilise pour effectuer les prises de dcision
au sein de lAS. Lorsque BGP renvoie cette mise jour un autre AS, lattribut est rinitialis avec
la valeur 0.
Sauf sil est explicitement configur, le routeur dun AS compare les attributs MED des itinraires
provenant de voisins externes situs dans un mme AS. Si vous voulez forcer la comparaison des
attributs MED de voisins dAS diffrents, vous devez configurer le routeur avec la commande bgp
always-compare-med. Le rseau de la Figure 4.15 illustre lemploi de lattribut MED.
122 Partie I Architecture de rseaux
Figure 4.15
AS 100 180.10.0.0 AS 400
Exemple demploi 170.10.0.0 MED =.50
de lattribut MED.
4.4.4.4 4.4.4.3
Routeur A 3.3.3.2 Routeur B
2.2.2.2 5.5.5.5..
180.10.0.0 180.10.0.0
MED =.120 MED =.200
2.2.2.1 5.5.5.4
3.3.3.3
Routeur C 1.1.1.2 Routeur D
1.1.1.1
AS 300
180.10.0.0
A la Figure 4.15, lAS 100 reoit des mises jour concernant le rseau 180.10.0.0 de la part des
routeurs B, C et D. C et D se trouvent dans lAS 300 et B dans lAS 400. Les commandes suivantes
permettent de configurer les routeurs A, B, C et D :
!Routeur A
router bgp 100
neighbor 2.2.2.1 remote-as 300
neighbor 3.3.3.3 remote-as 300
neighbor 4.4.4.3 remote-as 400
!Routeur B
router bgp 400
neighbor 4.4.4.4 remote-as 100
neighbor 4.4.4.4 route-map SETMEDOUT out
neighbor 5.5.5.4 remote-as 300
!
route-map SETMEDOUT permit 10
set metric 50
!Routeur C
router bgp 300
neighbor 2.2.2.2 remote-as 100
neighbor 2.2.2.2 route-map SETMEDOUT out
neighbor 1.1.1.2 remote-as 300
!
route-map SETMEDOUT permit 10
set metric 120
!Routeur D
router bgp 300
neighbor 3.3.3.2 remote-as 100
neighbor 3.3.3.2 route map SETMEDOUT out
neighbor 5.5.5.5 remote-as 400
neighbor 1.1.1.1 remote-as 300
route-map SETMEDOUT permit 10
set metric 200
Chapitre 4 Conception de rseaux IP tendus avec BGP 123
Par dfaut, BGP compare les attributs MED des routes provenant de voisins situs dans un mme
AS externe (tel que lAS 300 la Figure 4.15). Le routeur A peut comparer uniquement les attributs
MED provenant des routeurs C (120) et D (200), mme si la mise jour transmise par le routeur B
possde la valeur MED la plus faible.
Le routeur A choisira le routeur C comme meilleur chemin pour atteindre le rseau 180.10.0.0.
Pour obliger le routeur A inclure dans cette comparaison les mises jour achemines par B pour
le mme rseau, utilisez la commande bgp always-compare-med, comme dans lexemple suivant
de configuration modifie pour le routeur A :
!Routeur A
router bgp 100
neighbor 2.2.2.1 remote-as 300
neighbor 3.3.3.3 remote-as 300
neighbor 4.4.4.3 remote-as 400
bgp always-compare-med
Le routeur A choisira le routeur B comme le meilleur prochain saut pour atteindre le rseau
180.10.0.0 (en supposant que tous les autres attributs soient rests identiques).
Vous pouvez aussi dfinir lattribut MED lorsque vous configurez la redistribution de routes dans
BGP. Sur le routeur B, vous pouvez par exemple injecter dans BGP une route statique avec un attri-
but MED de 50, comme dans lexemple de configuration suivant :
!Routeur B
router bgp 400
redistribute static
default-metric 50
!
ip route 160.10.0.0 255.255.0.0 null 0
La configuration prcdente provoque lenvoi par le routeur B de mises jour pour le rseau 160.10.0.0
avec un attribut MED de 50.
Communaut Signification
Si vous spcifiez le mot cl additive, la valeur spcifie est ajoute la valeur existante de lattribut
de communaut. Autrement, la valeur de communaut spcifie remplace toute valeur dfinie prc-
demment. Pour envoyer lattribut de communaut un voisin, vous devez utiliser la commande de
neighbor send-community, comme dans lexemple suivant :
router bgp 100
neighbor 3.3.3.3 remote-as 300
neighbor 3.3.3.3 send-community
neighbor 3.3.3.3 route-map setcommunity out
Distances administratives
Normalement, les informations de routage peuvent tre communiques par plusieurs protocoles. La
distance administrative est utilise pour faire un choix entre les routes transmises par diffrents
protocoles. Celle qui comprend la distance administrative la plus faible est place dans la table de
routage IP. Par dfaut, BGP utilise les distances administratives illustres au Tableau 4.2.
NOTE
La distance na aucun effet sur lalgorithme de slection de chemin BGP, mais elle influe sur la dcision de
placer ou non les routes communiques par BGP dans la table de routage.
Filtrage BGP
Vous pouvez contrler lenvoi et la rception des mises jour au moyen des mthodes de filtrage
suivantes :
m filtrage de prfixe ;
m filtrage dattribut de cheminement AS_path ;
m filtrage par carte de routage ;
m filtrage de communaut.
Ces mthodes conduisent toutes au mme rsultat. Le choix de la mthode approprie dpend de
votre configuration de rseau spcifique.
126 Partie I Architecture de rseaux
Filtrage de prfixe
Limplmentation dune liste de prfixes vise amliorer lefficacit du filtrage de route (actuelle-
ment seulement avec BGP). En comparaison avec lutilisation de listes daccs (tendues), une liste
de prfixes prsente les avantages suivants :
m une amlioration significative des performances lors du chargement et du contrle de route dans
le cas de longues listes ;
m un support des mises jour incrmentielles ;
m une plus grande convivialit de linterface en lignes de commande.
Plusieurs fonctionnalits essentielles des listes daccs sont reprises par les listes de prfixes :
m possibilit de configurer lacceptation (permit) ou le rejet (deny) ;
m dpendance de lordre des entres (lvaluation sarrte la premire correspondance trouve) ;
m possibilit de filtrer un prfixe exact ou une plage de prfixes.
Toutefois, les listes de prfixes ne supportent pas lutilisation de masques non contigus.
La syntaxe complte pour configurer une liste de prfixes est la suivante :
ip prefix-list [seq] deny|permit prfixe le|ge valeur
La commande suivante peut tre utilise pour supprimer une liste de prfixes :
no ip prefix-list
Largument seq est optionnel et peut servir spcifier le numro de squence dune entre dans une
liste de prfixes.
Par dfaut, les entres dune liste de prfixes reoivent successivement les valeurs 5, 10, 15, etc.,
comme numros de squence. Si aucune valeur de squence nest spcifie, lentre reoit un
numro gal (Max_Actuel + 5).
Si un prfixe donn correspond plusieurs entres dans une liste de prfixes, celle possdant le
numro de squence le plus faible est considre comme correspondante.
Les instructions deny ou permit spcifient laction excuter lorsquune correspondance est trouve.
Plusieurs stratgies (correspondance exacte ou de plage) avec diffrents numros de squence
peuvent tre configures pour un mme prfixe.
Lattribut ge signifie suprieur ou gal et le signifie infrieur ou gal . Ces deux attributs sont
optionnels et peuvent tre utiliss pour spcifier la plage de prfixes value pour trouver une
correspondance. En labsence de ces attributs, une correspondance exacte est prsume.
La plage est cense stendre de ge valeur 32, mais seulement si lattribut ge est spcifi. La plage
est cense stendre de longueur le valeur, mais seulement si lattribut le est spcifi.
A linstar des listes daccs, une liste de prfixes se termine par une instruction implicite de rejet de
tout le trafic.
Voici deux exemples de configuration pour une correspondance de prfixe exacte :
ip prefix-list aaa deny 0.0.0.0/0
ip prefix-list aaa permit 35.0.0.0/8
Chapitre 4 Conception de rseaux IP tendus avec BGP 127
La liste suivante prsente des commandes de configuration pour une correspondance de plages de
prfixes :
Dans 192/8, accepter jusqu /24 :
ip prefix-list aaa permit 192.0.0.0/8 le 24
Dans 192/8, rejeter /25+ :
ip prefix-list aaa deny 192.0.0.0/8 ge 25
Dans tout lespace dadresse, rejeter de /0 /7 :
ip prefix-list aaa deny 0.0.0.0/0 le 7
Dans tout lespace dadresse, rejeter /25+ :
ip prefix-list aaa deny 0.0.0.0/0 ge 25
Dans 10/8, rejeter tout :
ip prefix-list aaa deny 10.0.0.0/8 le 32
Dans 204.70.1/24, rejeter /25+ :
ip prefix-list aaa deny 204.70.1.0/24 ge 25
Accepter tout :
ip prefix-list aaa permit 0.0.0.0/0 le 32
Les mises jour incrmentielles sont supportes par les listes de prfixes. Contrairement aux listes
daccs normales dans lesquelles la commande no efface la liste complte, une liste de prfixes peut
tre progressivement modifie. Par exemple, pour adapter la liste de prfixes du routeur A pour le
routeur B, il suffit de changer les points de divergence :
Depuis A :
ip prefix-list aaa deny 0.0.0.0/0 le 7
ip prefix-list aaa deny 0.0.0.0/0 ge 25
ip prefix-list aaa permit 35.0.0.0/8
ip prefix-list aaa permit 204.70.0.0/15
Vers B :
ip prefix-list aaa deny 0.0.0.0/0 le 7
ip prefix-list aaa deny 0.0.0.0/0 ge 25
ip prefix-list aaa permit 35.0.0.0/8
ip prefix-list aaa permit 198.0.0.0/8
En apportant les modifications suivantes :
no ip prefix-list aaa permit 204.70.0.0/15
ip prefix-list aaa permit 198.0.0.0/8
Figure 4.16
Filtrage dattribut AS 100 AS 200
AS_path. 150.10.0.0 160.10.0.0
AS 400
Routeur A Routeur B
2.2.2.2. 3.3.3.3
160.10.0.0
160.10.0.0
3.3.3.1
2.2.2.1
Routeur C
AS 300
170.10.0.0
Dans cet exemple, la liste daccs 1 rejette toutes les mises jour dont lattribut AS_path commence
par 200 (comme spcifi par le symbole ^) et se termine par 200 (comme spcifi par le symbole $).
Comme le routeur B envoie des mises jour concernant le rseau 160.10.0.0 dont les attributs
AS_path correspondent aux valeurs stipules dans la liste daccs, elles seront dtectes et rejetes.
En spcifiant que la mise jour doit aussi se terminer par 200, la liste daccs autorise les mises
jour de lAS 400 (dont lattribut AS_path est 200,400). Si elle spcifiait ^200 comme expression,
les informations de lAS 400 seraient aussi rejetes.
Dans la seconde instruction de la liste daccs, le point (.) dsigne nimporte quel caractre et
lastrisque (*) signifie une rptition de ce caractre. Combins (.*), ces caractres correspondent
nimporte quelle valeur de lattribut AS_path qui, en pratique, autorise toute mise jour qui
naura pas t rejete par linstruction prcdente de la liste daccs. Si vous voulez vrifier que vos
expressions fonctionnent comme prvu, utilisez la commande EXEC suivante :
show ip bgp regexp expression-rgulire
Le routeur affiche tous les chemins qui correspondent lexpression rgulire spcifie.
Figure 4.17
AS 600
Filtrage BGP par cartes AS 400
190.10.0.0
de routage.
AS 100 AS 200
150.10.0.0 160.10.0.0
Routeur A Routeur B
2.2.2.2. 3.3.3.3
3.3.3.1
2.2.2.1
Routeur C
AS 300
170.10.0.0
Dans la configuration prcdente, la liste daccs 1 autorise toutes les mises jour dont lattribut
AS_path commence par 200 et se termine par 200 (cest--dire quelle autorise les mises jour
provenant de lAS 200). Lattribut de poids des mises jour autorises est dfini avec la valeur 20.
Toutes les autres informations de routage sont rejetes et supprimes.
Filtrage de communaut
Le rseau illustr Figure 4.18 dmontre lutilit des filtres de communaut.
Supposez que vous ne vouliez pas que le routeur C propage vers le routeur A les routes communiques
par le routeur B.
130 Partie I Architecture de rseaux
Routeur A Routeur B
2.2.2.2. 3.3.3.3
2.2.2.1
3.3.3.1
Routeur C
AS 300
170.10.0.0
Vous pourriez raliser cela en dfinissant lattribut de communaut des mises jour que C reoit
de B, comme dans la configuration suivante pour le routeur B :
!Routeur B
router bgp 200
network 160.10.0.0
neighbor 3.3.3.1 remote-as 300
neighbor 3.3.3.1 send-community
neighbor 3.3.3.1 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 1
set community no-export
!
route-map SETCOMMUNITY permit 20
!
access list 1 permit 0.0.0.0 255.255.255.255
Pour les routes qui sont envoyes au voisin situ ladresse IP 3.3.3.1 (routeur C), le routeur B
applique la carte de routage nomme SETCOMMUNITY. Cette carte spcifie une valeur dattribut
de communaut no-export (au moyen de la liste daccs 1) pour toutes les mises jour destina-
tion de 3.3.3.1. La commande neighbor send-community est ncessaire pour inclure lattribut de
communaut dans les mises jour envoyes au voisin situ ladresse IP 3.3.3.1. Lorsque C reoit
des mises jour de routage de la part de B, il ne les propage pas vers A, car la valeur de lattribut de
communaut est no-export.
Une autre mthode de filtrage des mises jour base sur la valeur de lattribut de communaut
consiste utiliser la commande de configuration globale ip community-list. Supposez que le
routeur B ait t configur de la manire suivante :
!Routeur B
router bgp 200
Chapitre 4 Conception de rseaux IP tendus avec BGP 131
network 160.10.0.0
neighbor 3.3.3.1 remote-as 300
neighbor 3.3.3.1 send-community
neighbor 3.3.3.1 route-map SETCOMMUNITY out
!
route-map SETCOMMUNITY permit 10
match ip address 2
set community 100 200 additive
route-map SETCOMMUNITY permit 20
!
access list 2 permit 0.0.0.0 255.255.255.255
Dans la configuration prcdente, toutes les routes dont lattribut de communaut est gal 100
correspondent la liste daccs 1 et reoivent 20 comme valeur de poids. Toutes celles dont la
valeur de communaut nest que de 200 (en raison du mot cl exact) correspondent la liste
daccs 2 et reoivent la valeur 10 comme attribut de poids. Dans la liste daccs de la dernire
communaut (liste 3), lemploi du mot cl internet autorise toutes les autres mises jour sans
modifier de valeur dattribut. Ce mot cl spcifie toutes les routes, car elles sont toutes membres de
la communaut Internet.
Les membres dun groupe dhomologues hritent de toutes les options de configuration dfinies
pour le groupe, mais ils peuvent aussi tre configurs pour redfinir les options qui naffectent pas
les mises jour sortantes. Autrement dit, vous pouvez redfinir les options qui sont configures
uniquement pour les informations entrantes. Lemploi des groupes dhomologues BGP est illustr
la Figure 4.19.
2.2.2.1 3.3.3.2
1.1.1.1 Routeur E
5.5.5.2
Routeur C 5.5.5.1 Routeur F
6.6.6.1
6.6.6.2 Routeur G
AS 300
170.10.0.0
Les commandes suivantes configurent un groupe dhomologues BGP nomm INTERNALMAP sur
le routeur C et lappliquent aux autres routeurs dans lAS 300 :
!Routeur C
router bgp 300
neighbor INTERNALMAP peer-group
neighbor INTERNALMAP remote-as 300
neighbor INTERNALMAP route-map INTERNAL out
neighbor INTERNALMAP filter-list 1 out
neighbor INTERNALMAP filter-list 2 in
neighbor 5.5.5.2 peer-group INTERNALMAP
neighbor 6.6.6.2 peer-group INTERNALMAP
neighbor 3.3.3.2 peer-group INTERNALMAP
neighbor 3.3.3.2 filter-list 3 in
La configuration prcdente dfinit les stratgies suivantes pour le groupe dhomologues INTER-
NALMAP :
Une carte de routage nomme INTERNALMAP
Une liste de filtrage pour les mises jour sortantes (filter-list 1)
Une liste de filtrage pour les mises jour entrantes (filter-list 2)
La configuration applique le groupe dhomologues tous les voisins internes, cest--dire aux
routeurs E, F, et G. Elle dfinit aussi une liste de filtrage pour les mises jour entrantes reues du
voisin ladresse IP 3.3.3.2, le routeur E. Cette liste peut tre uniquement utilise pour redfinir les
options qui affectent les mises jour entrantes.
Chapitre 4 Conception de rseaux IP tendus avec BGP 133
2.2.2.1 3.3.3.1
Routeur C
AS 300
160.10.0.0
134 Partie I Architecture de rseaux
A la Figure 4.20, le routeur B dans lAS 200 annonce le rseau 160.11.0.0 au routeur C dans lAS
300. Pour configurer le routeur C afin quil propage lagrgat dadresse 160.0.0.0 vers le routeur A,
utilisez les commandes suivantes :
!Routeur C
router bgp 300
neighbor 3.3.3.3 remote-as 200
neighbor 2.2.2.2 remote-as 100
network 160.10.0.0
aggregate-address 160.0.0.0 255.0.0.0
Cette commande transmet le prfixe (160.0.0.0/8) et supprime toutes les routes plus spcifiques que
le routeur peut avoir dans sa table de routage BGP. Si vous voulez liminer des routes spcifiques
lors de la formation dagrgats de routes, vous pouvez dfinir une carte de routage et lappliquer
un agrgat. Par exemple, si vous voulez que le routeur C de la Figure 4.20 forme un agrgat
160.0.0.0 et supprime la route 160.20.0.0, mais propage la route 160.10.0.0, utilisez les commandes
suivantes :
!Routeur C
router bgp 300
neighbor 3.3.3.3 remote-as 200
neighbor 2.2.2.2 remote-as 100
network 160.10.0.0
aggregate-address 160.0.0.0 255.0.0.0 suppress-map CHECK
!
route-map CHECK permit 10
match ip address 1
!
access-list 1 deny 160.20.0.0 0.0.255.255
access-list 1 permit 0.0.0.0 255.255.255.255
Si vous souhaitez que le routeur dfinisse la valeur dun attribut lorsquil distribue lagrgat de
routes, utilisez une carte dattribut comme lillustrent les instructions suivantes :
route-map SETORIGIN permit 10
set origin igp
!
aggregate-address 160.0.0.0 255.0.0.0 attribute-map SETORIGIN
NOTE
Lorsque des agrgats sont gnrs partir de routes plus spcifiques, leurs attributs AS_path sont combins
pour former un ensemble appel AS-SET. Il est utile pour prvenir les boucles de routage.
Confdrations
Une confdration est une technique permettant de rduire un maillage IBGP au sein dun AS.
Examinez le rseau illustr Figure 4.21.
Chapitre 4 Conception de rseaux IP tendus avec BGP 135
LAS 500 consiste en neuf routeurs BGP (bien quil puisse y en avoir dautres non configurs pour
BGP). En labsence de confdration, BGP exigerait que les routeurs de lAS 500 soient totalement
maills. Ce qui signifie que chaque routeur devrait communiquer avec les huit autres via IBGP, tre
connect un AS externe et excuter EBGP. Ce qui donnerait un total de neuf homologues pour
chaque routeur.
Exemple de
confdrations. Routeur A
5.5.5.5 6.6.6.6
ASG 5070
5.5.5.4
129.210.1.1.1
Routeur C 129.213.301 Routeur D 135.212.14.1
129.213.10.1
129.210.302
129.213.20.1
AS 500
Les confdrations rduisent le nombre dhomologues au sein dun AS, comme le montre la
Figure 4.21. Elles servent diviser un AS en plusieurs mini-AS et assigner ces derniers une
confdration. Chaque mini-AS est totalement maill et ses membres utilisent IBGP pour commu-
niquer entre eux. Tous les mini-AS possdent une connexion vers les autres mini-AS dans le cadre
de la confdration. Mme si ces mini-AS comprennent des homologues EBGP relis des AS au
sein mme de la confdration, ils changent des mises jour de routage comme sils utilisaient
IBGP. Autrement dit, les informations dattributs de prochain saut, MED et de prfrence locale
sont prserves. Pour le monde extrieur, la confdration apparat comme un seul AS. Les
commandes suivantes configurent le routeur C :
!Routeur C
router bgp 65050
bgp confederation identifier 500
bgp confederation peers 65060 65070
neighbor 128.213.10.1 remote-as 65050
136 Partie I Architecture de rseaux
La commande router bgp spcifie que le routeur D appartient lAS 65060. La commande bgp
confederation identifier indique que le routeur D appartient la confdration 500.
La premire commande neighbor remote-as tablit une connexion IBGP vers lautre routeur au
sein de lAS 65060. Les deux commandes neighbor remote-as suivantes tablissent les connexions
BGP avec les homologues 65050 et 65070. La dernire commande neighbor remote-as tablit une
connexion EBGP avec lAS 600. Les commandes suivantes configurent le routeur A :
!Routeur A
router bgp 100
neighbor 5.5.5.4 remote-as 500
La commande neighbor remote-as tablit une connexion EBGP avec le routeur C. Le routeur A
na pas connaissance des AS 65050, 65060, et 65070 et ne connat que lAS 500.
Rflecteurs de route
Les rflecteurs de route (route reflector) reprsentent une autre solution permettant de limiter le
peering de routeurs IBGP dans un systme autonome. Comme dcrit plus haut la section
"Synchronisation", un routeur BGP ne fait pas lannonce dune route vers un routeur IBGP sil en a
pris connaissance par lintermdiaire dun autre routeur IBGP. Les rflecteurs de route attnuent
cette limitation et autorisent un routeur annoncer (reflter) les routes reues via IBGP vers
dautres routeurs IBGP, rduisant du mme coup le nombre dhomologues IBGP au sein dun AS.
La Figure 4.22 illustre le fonctionnement des rflecteurs de route.
En labsence de rflecteur de route, le rseau de cette figure ncessiterait un rseau IBGP totalement
maill : le routeur A devrait aussi tre homologue du routeur B. Si le routeur C est configur en tant
que rflecteur de route, le peering IBGP entre A et B nest pas ncessaire, car C refltera vers B les
mises jour reues de la part de A.
Chapitre 4 Conception de rseaux IP tendus avec BGP 137
Figure 4.22
Exemple de rflecteur
de route.
AS 100
Routeur C
Rflecteur de route
1.1.1.1
Routeur A
2.2.2.2
Routeur B
Rsum
La fonction principale dun systme BGP est dautoriser lchange dinformations daccessibilit
avec dautres systmes BGP. Ces informations sont utilises pour laborer une reprsentation de la
connectivit de systme autonome (SA) partir de laquelle les boucles sont limines et permettent
lapplication des dcisions stratgiques au niveau SA. BGP fournit un certain nombre de techniques
pour contrler le flux des mises jour, telles que le filtrage de route ou de communaut. Il offre
aussi des fonctionnalits de regroupement dinformations de routage telles que les agrgats dadres-
ses CIDR, les confdrations et les rflecteurs de route. BGP est un outil puissant de routage inter-
domaine permettant dviter les boucles au sein dun AS ou entre plusieurs AS.
5
Conception de rseaux ATM
Ce chapitre dcrit la technologie ATM (Asynchronous Transfer Mode, mode de transfert asyn-
chrone) actuelle sur laquelle les concepteurs peuvent sappuyer pour construire leurs rseaux, mais
aborde galement son futur. Il couvre aussi les considrations dimplmentation pour une exploita-
tion optimale des produits Cisco lors du dploiement de solutions ATM dans des environnements
LAN et WAN existants.
Prsentation dATM
ATM est une technologie arrive maturit, mais nanmoins en constante volution, conue pour
assurer un transport rentable de la voix, de la vido et des donnes sur des rseaux publics et privs.
Elle est le rsultat des travaux du groupe dtude XVIII de lUIT-T (Union internationale des tl-
communications, section normalisation), anciennement CCITT (Consultative Committee for Inter-
national Telegraph and Telephone, Comit consultatif international pour la tlgraphie et la
tlphonie) et de lANSI (American National Standards Institute, Institut national de standards
amricain), visant appliquer la technologie VLSI (Very Large Scale Integration, intgration trs
grande chelle) au transfert de donnes sur les rseaux publics.
Les efforts actuels pour porter ATM vers les rseaux privs et favoriser une interoprabilit entre
ces rseaux et les rseaux publics sont luvre du Forum ATM, fond conjointement par Cisco
Systems, NET/ADAPTIVE, Northern Telecom et Sprint, en 1991. Le Forum ATM compte actuelle-
ment plus de 600 organisations membres uvrant pour la promotion de cette technologie et de solu-
tions adaptes. Parmi ses membres figurent des fabricants de systmes dexploitation de rseau, des
140 Partie I Architecture de rseaux
Figure 5.1
Application
Relation entre les couches
fonctionnelles ATM et le
modle de rfrence OSI.
Rseau
Couches Liaison de
d'adaptation ATM donnes
Couche ATM
Couche physique
Physique
ATM
Couches Couches OSI
ATM
Couche physique
La couche physique ATM contrle la transmission et la rception des bits sur le mdia physique.
Elle se charge galement du suivi des limites des cellules ATM et les empaquette dans le type de
trame appropri pour le support physique utilis. Cette couche se dcompose en deux parties :
m sous-couche de mdia physique ;
m sous-couche de convergence de transmission.
inclut uniquement des fonctions dpendantes du mdia physique, sa spcification dpend donc du
support physique utilis. Parmi les standards qui transportent les cellules ATM figurent le cblage
en cuivre de catgorie 5, SONET/SDH (Synchronous Optical Network/Synchronous Digital Hierarchy),
DS-3/E3, la fibre locale 100 Mbit/s (FDDI, Fiber Distributed Data Interface) et la fibre locale
155 Mbit/s (Fiber Channel).
Couche ATM
La couche ATM tablit des connexions virtuelles et transmet les cellules par lintermdiaire du
rseau ATM. Pour cela, elle utilise les informations contenues dans len-tte de chaque cellule. Cette
couche est responsable de lexcution des fonctions suivantes :
m Livraison de la charge utile de 48 octets sur une connexion ATM tablie.
m Multiplexage et dmultiplexage des cellules de diffrentes connexions virtuelles, celles-ci tant iden-
tifies par les valeurs des champs VCI (Virtual Channel Identifier) et VPI (Virtual Path Identifier).
m Identification des cellules afin de dterminer leur type et leur niveau de priorit.
Cette couche est complexe pour les concepteurs de rseau habitus dautres principes essentiels
de gestion de rseau. Cette complexit provient de problmes de qualit de service gnralement
rencontrs avec les commutateurs de tlcommunication uniquement, et a tendance saccentuer en
raison du niveau de granularit ncessaire pour supporter les diffrents besoins QoS (allant des plus
stricts une absence de qualit de service).
La qualit de service est fonde sur des paramtres de performances initialement dfinis par le
Forum ATM. Les paramtres suivants peuvent tre ngocis durant linitialisation de session :
m peak-to-peak CDV (peak-to-peak Cell Delay Variation, cart de dlais de transfert de cellules
entre pointes). La diffrence entre le dlai de transfert de cellules le plus lev et le plus faible.
Le plus faible est reprsent par une valeur prdfinie base sur une probabilit.
m maxCTD (Maximum Cell Transmission Delay, dlai maximal de transmission de cellules).
Le dlai maximal de transmission de cellules.
Chapitre 5 Conception de rseaux ATM 143
m CLR (Cell Loss Ratio, pourcentage de perte de cellules). Le pourcentage de perte de cellules
sur le total des cellules. Un paramtre CLR peut tre ngoci pour chaque classe de cellules (prio-
rit leve ou faible) ou pour toutes les cellules.
Outre ces paramtres ngociables, il en existe dautres, fonds sur des donnes statistiques, et non
ngociables :
m CER (Cell Error Ratio, pourcentage derreurs de cellules). Le pourcentage derreurs de cellu-
les sur le total de cellules.
m CMR (Cell Misinsertion Rate, pourcentage derreurs dinsertion de cellules). Le pourcen-
tage de cellules mal insres. Il sagit du nombre de cellules reues, mais qui auraient d tre
transmises un autre quipement ATM.
m SECBR (Severely Errored Cell Block Ratio, pourcentage de blocs de cellules trs altrs). Le
pourcentage de blocs de cellules qui contiennent de nombreuses erreurs sur le total des blocs de
cellules.
AAL1
La couche AAL1 convient pour transporter le trafic tlphonique et vido non compress. Comme
elle ncessite une synchronisation entre la source et la destination, elle est dpendante dun mdia
qui supporte la temporisation, tel que SONET. Le rtablissement de la synchronisation est ralis
par le rcepteur, au moyen du bit correspondant de len-tte.
AAL1 utilise les bits de la charge utile pour dfinir des champs supplmentaires. Les donnes de la
charge utile consistent en un chantillon synchrone (par exemple, un octet de donnes gnr un
taux dchantillonnage de 125 microsecondes), un champ de numro de squence (SN, Sequence
Number) et des champs de protection de numro de squence (SNP, Sequence Number Protection)
qui fournissent les informations ncessaires la couche AAL1 de destination, afin deffectuer un
rassemblage correct des donnes. Un contrle de redondance cyclique (CRC, Cyclic Redondancy
Check) sur 3 bits assure galement la dtection derreur et la rcupration.
AAL2
La couche AAL2 offre des services pour des applications faible dbit et sensibles aux dlais, telles
que des services de voix avec qualit tlphone. Puisque les paquets sont de longueur variable avec
ces types dapplications, les sous-couches de contrle LLC (Logical Link Control) ont t conues
pour fournir des connexions virtuelles point--point qui utilisent le champ LLC et le champ de
longueur afin dassembler les paquets de longueur variable de plus petite taille en des cellules ATM.
AAL3/4
La couche AAL3/4 est ddie aux fournisseurs de services de rseau et saligne troitement sur les
caractristiques de SMDS (Switched Multimegabit Data Service, service de donnes multimgabit
commut). Elle est utilise pour transmettre des paquets SMDS sur un rseau ATM. Cette couche
utilise quatre identifiants de champs :
m Type. Dtermine si la cellule reprsente le dbut, le corps ou la fin dun message.
m Numro de squence. Dtermine lordre dans lequel les cellules devraient tre rassembles.
m Identifiant de multiplexage. Identifie les cellules de diffrentes sources multiplexes sur la
mme connexion de circuit virtuel (VCC, Virtual Circuit Connection) afin que les cellules appro-
pries soient rassembles sur la destination.
m En-queue CRC. Assure la dtection et la correction derreurs.
La Figure 5.2 illustre la prparation de cellules, effectue par la couche AAL3/4.
AAL5
La couche AAL5 prpare une cellule pour sa transmission (voir Figure 5.3).
Tout dabord, la sous-couche de convergence (CS, Convergence Sublayer) de la couche AAL5
ajoute la trame un bloc de remplissage de longueur variable et un suffixe de 8 octets. La partie
de remplissage est suffisamment longue pour garantir que la PDU (Protocol Data Unit, unit de
donnes de protocole) atteindra les 48 octets dlimitant la cellule ATM. Len-queue inclut un champ
pour la longueur de la trame et un champ CRC de 32 bits calcul sur toute la longueur de la PDU,
ce qui permet la couche AAL5 de destination de dtecter les erreurs, les cellules perdues ou les
cellules dsordonnes.
Chapitre 5 Conception de rseaux ATM 145
PDU SAR
PDU SAR
PDU SAR
Figure 5.3
Trame de Trame
Prparation
donnes
dune cellule par
Sous-couche
la couche AAL5. PDU CS de convergence
PDU SAR
AAL5
PDU SAR
Sous-couche SAR
PDU SAR
PDU SAR
Cellule
ATM 0 Donnes
Cellule
ATM 0 Donnes
Couche
ATM Cellule
ATM 0 Donnes
Cellule
ATM 1 Donnes
Dans la dernire cellule, le champ PT est mis 1. Lorsque la cellule arrive destination, la couche
ATM extrait le champ de donnes de la cellule, la sous-couche SAR (Segmentation And Reassem-
bly) rassemble la PDU CS, puis la sous-couche CS utilise les champs CRC et de longueur afin de
vrifier que la trame a t transmise et rassemble correctement.
La couche AAL5 est la couche dadaptation utilise pour transfrer la plupart des donnes non
SMDS, comme dans le cas de IP sur ATM et de lmulation LAN (LANE).
Adressage ATM
Ladressage ATM utilise la couche ATM. A linverse dun nud IP, cet adressage requiert que le
nud dextrmit ATM connaisse le chemin complet vers la destination, ce qui vite la surcharge
associe aux dcisions de routage en cours de transmission. Toutefois, les quipements ATM, ou
tout au moins les commutateurs ATM de frontire (edge switch), doivent assurer un adressage logi-
que de niveau 3.
Plusieurs formats dadresses ATM ont t dvelopps. Les rseaux ATM publics utilisent gnrale-
ment des adresses E.164, qui sont aussi utilises par les rseaux RNIS bande troite.
La Figure 5.4 illustre le format des adresses ATM de rseau priv. Les trois formats sont DCC (Data
Country Code, code de pays), ICD (International Code Designator, dsignation de code international)
et des adresses E.164 encapsules NSAP (Network Service Access Point, point daccs au service de
rseau).
AFI
Format d'adresse ICD (47) ICD DFI AA Rserv RD Zone ESI Sel
AFI
Format d'adresse E.164 E.164 RD Zone ESI Sel
(45)
Mdias ATM
Le Forum ATM a dfini plusieurs standards pour encoder ATM sur divers types de mdias. Le
Tableau 5.2 fournit le type de dlimitation de trames et le dbit pour diffrents mdias, y compris le
cble paire torsade non blind (UTP, Unshielded Twisted Pair) support par les produits Cisco.
Mdia
DS-1 1,544
E1 2,048
DS-3 45
E3 34
STS-1 51
SONET STS3c 155
SDH STM1
SONET STS12c 622
SDH STM4
TAXI 4B/5B 100
8B/10B 155
(Fiber Channel)
Il existe deux standards qui permettent dexploiter ATM sur du cble de cuivre : la catgorie 3 et la
catgorie 5. La catgorie 5 supporte 155 Mbit/s avec lencodage NRZI ; la catgorie 3 supporte
51 Mbit/s avec lencodage CAP-16, qui est plus difficile implmenter. Par consquent, bien que la
148 Partie I Architecture de rseaux
pose de cble UTP-3 puisse sembler moins coteuse, les cartes de station de travail conues pour du
cble UTP-3 bas sur CAP-16 peuvent tre plus chres et offrir moins de bande passante.
Le support ATM de la fibre et du cble de cuivre facilitera la migration future des entreprises ayant
largement investi dans ces mdias.
Rseaux multiservices
ATM est apparu comme lune des technologies dintgration de services et de fourniture de services
WAN pour la connexion de rseaux LAN. ATM est galement un LAN, mais son utilisation en tant
que tel nest pas largement rpandue en raison de lvolution continue dEthernet vers des dbits
atteignant des centaines de mgabits, voire de gigabits. ATM supporte divers types de trafics sur des
flux spars ou mixtes, ainsi que le trafic sensible ou non aux dlais (voir Figure 5.5).
SNA
Trames Paquet Q
LAN
Cellules
Cellules ATM
ATM supporte galement diffrentes vitesses, allant de 1,54 Mbit/s 622 Mbit/s. Ce standard a
t adopt par les constructeurs dquipements industriels, du LAN au PBX (Private Branch
Exchange, autocommutateur priv), en passant par les oprateurs internationaux. Grce ATM, aux
commutateurs ATM de Cisco et aux commutateurs ATM de frontire, les concepteurs de rseaux
peuvent intgrer des services, fournir une connectivit LAN-WAN et mettre en uvre un support
rentable pour les applications mergentes des entreprises.
Solutions intgres
La tendance de conception de rseaux est de fournir aux concepteurs une plus grande souplesse
dans la rsolution des problmes de mise en rseau, sans avoir crer plusieurs rseaux ou perdre
les investissements existants en matire de communication de donnes. Les routeurs peuvent four-
nir un rseau fiable et scuris, et servir de protection contre les temptes de broadcast accidentelles
sur les rseaux locaux. Les commutateurs (que lon peut diviser en deux catgories principales :
Chapitre 5 Conception de rseaux ATM 149
LAN et WAN) peuvent tre dploys aux niveaux groupe de travail, pine dorsale de campus ou WAN
(voir Figure 5.6).
LightStream
1010
ATM Entreprise
routeurs Cisco
WAN
StrataCom
Le support et lintgration de tous les produits Cisco sont grs par le systme IOS (Internet-
working Operating System, systme dinterconnexion de rseaux) de Cisco. Il permet dintgrer des
groupes disparates, des quipements divers et de nombreux protocoles, afin de former un rseau trs
fiable et volutif.
de commutateurs ATM qui permettent de supporter lintgration de la technologie ATM avec des
groupes de travail, des campus et des entreprises.
Commutateurs doprateur
Au-del des rseaux privs, les plates-formes ATM sont aussi largement dployes par les fournis-
seurs de services, la fois au niveau de lquipement de tlcommunication du client (CPE, Customer
Premises Equipment) et au sein de rseaux publics. Un tel quipement supporte plusieurs services
WAN, incluant la commutation Frame Relay, les services fonds sur IP, linterconnexion ATM NNI et
les services ATM publics qui exploitent une infrastructure ATM commune. Ces commutateurs ATM
dentreprise haut de gamme, appels galement commutateurs doprateur, seront souvent utiliss
pour ces applications de rseaux publics en raison de leurs grandes disponibilit et redondance, leur
support de nombreuses interfaces et leur facult intgrer la voix et les donnes. Le Cisco
BPX 8600, mentionn plus haut, est un exemple de commutateur ATM doprateur. Avec le dve-
loppement de lindustrie des tlcommunications, plus particulirement en Europe, la demande
pour ce type de commutateurs va augmenter.
Figure 5.7
Composants
dun rseau ATM. UNI NNI
La connexion UNI est constitue dun quipement dextrmit et dun commutateur ATM priv ou
public. Les premiers dveloppeurs de la technologie ATM taient principalement confronts cette
interface lors de la conception de produits pour le march. Quant la connexion NNI, elle est
tablie entre deux commutateurs ATM. Ces deux interfaces peuvent tre supportes par des
connexions physiques diffrentes.
Outre les protocoles UNI et NNI, le Forum ATM a dfini un ensemble de protocoles pour supporter
lmulation LAN, appel LANE (LAN Emulation). LANE est une technologie de rseau employe
Chapitre 5 Conception de rseaux ATM 153
par les concepteurs afin de connecter des rseaux locaux existants, tels quEthernet ou Token Ring,
au moyen dquipements relis ATM. La principale demande du march en ce qui concerne les
commutateurs ATM de frontire est ne du besoin de relier des rseaux Ethernet et Token Ring
des rseaux ATM. Les premiers dveloppeurs dATM pensaient quEthernet et Token Ring seraient
remplacs par ATM au fur et mesure que cette technologie gagnerait en popularit, mais les tech-
nologies Ethernet commut 100 Mbit/s et Gigabit Ethernet ont assur la continuit de ces rseaux.
Connexion vers B ?
Routeur B
Commutateur Oui
ATM 3
Comme le montre la Figure 5.8, les tapes suivantes doivent tre accomplies afin que le routeur A
puisse se connecter au routeur B :
1. Le routeur A envoie un paquet de requte de signalisation vers le commutateur ATM auquel il
est directement connect (commutateur ATM 1).
Cette requte contient ladresse ATM du routeur B, ainsi que tout paramtre de qualit de service
(QoS) requis pour la connexion.
2. Le commutateur ATM 1 rassemble le paquet de signalisation du routeur A et lexamine.
3. Si le commutateur ATM 1 dispose dune entre pour ladresse ATM du routeur B dans sa table
de commutation et quil peut grer la qualit de service demande pour la connexion, il tablit la
connexion virtuelle et transmet la requte au commutateur suivant (commutateur ATM 2) sur le
chemin.
4. Chaque commutateur le long de litinraire vers le routeur B rassemble et examine le paquet
de signalisation avant de le transmettre au commutateur suivant si les paramtres de qualit de
service peuvent tre grs. Chaque commutateur tablit galement la connexion virtuelle lorsque
le paquet de signalisation est transmis.
154 Partie I Architecture de rseaux
Si lun des commutateurs sur le chemin ne peut pas grer les paramtres de qualit de service
demands, la requte est rejete et un message est renvoy vers le routeur A, proposant une
qualit de service disponible plus faible.
5. Lorsque le paquet de signalisation arrive sur le routeur B, celui-ci le rassemble et lvalue. Sil
peut grer la qualit de service requise, il rpond avec un message dacceptation. Au fur et
mesure que ce message est retransmis vers le routeur A, les commutateurs tablissent un circuit
virtuel.
NOTE
Un canal virtuel est lquivalent dun circuit virtuel. Il dsigne une connexion logique entre les deux extr-
mits dune connexion. Un chemin virtuel est un groupement logique de circuits virtuels, qui permet un
commutateur ATM deffectuer des oprations sur des groupes de circuits virtuels.
6. Le routeur A reoit le message dacceptation de la part du commutateur ATM auquel il est direc-
tement connect (commutateur ATM 1), ainsi que les valeurs didentifiant de chemin virtuel
(VPI, Virtual Path Idendifier) et didentifiant de canal virtuel (VCI, Virtual Channel Identifier)
qui doivent tre utilises avec les cellules envoyes vers le routeur B.
NOTE
Les cellules ATM se composent de 5 octets dinformations den-tte et de 48 octets de donnes utiles. Les
champs VPI et VCI dans len-tte sont utiliss pour router les cellules travers les rseaux ATM. Ils permet-
tent didentifier le prochain segment de rseau quune cellule doit emprunter, en direction de sa destina-
tion finale.
Rle de LANE
Le Forum ATM a dfini un standard pour lmulation LAN : LANE (LAN Emulation). Comme
mentionn prcdemment, LANE est une technologie que les concepteurs de rseaux peuvent
dployer afin de relier des rseaux locaux Ethernet et Token Ring existants des rseaux ATM. Elle
utilise lencapsulation MAC (couche 2 du modle OSI) pour supporter le plus grand nombre possi-
ble de protocoles de couche 3 OSI. Le rsultat final est que tous les quipements connects un
LAN mul (ELAN, Emulated LAN) semblent situs sur un seul segment pont. De cette manire,
AppleTalk, IPX, IP et dautres protocoles peuvent prsenter des caractristiques de performances
semblables celle dun environnement pont traditionnel qui utilise le mme mdia. Toutefois, les
communications entre rseaux ELAN impliquent toujours lutilisation de routeurs de niveau 3,
ajoutant une latence inutile sur le rseau ATM qui naurait normalement jamais besoin des services
de niveau 3, sauf pour supporter des rseaux LAN Ethernet et Token Ring existants. En rponse ce
problme, le Forum ATM a dfini la spcification MPOA (Multiprotocol over ATM).
La Figure 5.9 illustre un exemple de rseau LANE ATM qui utilise des routeurs pour les communi-
cations inter-ELAN.
Chapitre 5 Conception de rseaux ATM 155
Serveurs d'entreprises
et de dpartements
Rseau
principal ATM
Clients
d'mulation LAN Catalyst
3000
Catalyst
5000
Catalyst
5000
Lorsque MPOA est utilis, les stations ATM ont limpression que les communications inter-ELAN
mettent en uvre un raccourci direct vers la station de destination, ce qui vite le phnomne de
latence qui se produit sur la topologie illustre.
Composants LANE
Les dispositifs suivants figurent parmi les composants LANE :
m Client dmulation LAN (LEC, LAN Emulation Client). Systmes ATM qui supportent la
fois les rseaux LAN, comme Ethernet et Token Ring, et les rseaux LANE ATM. Parmi eux figu-
rent la famille de commutateurs Catalyst et les sries de routeurs Cisco 7500, 7000, 4500 et 4000,
qui acceptent les connexions ATM. Le LEC mule une interface vers un LAN existant pour les
protocoles de plus haut niveau, et assure la rsolution dadresse, la transmission de donnes et
lenregistrement dadresses MAC auprs du serveur LANE (LES). Il communique avec dautres
LEC, via des connexions de canaux virtuels (VCC, Virtual Channel Connection) ATM.
m Serveur de configuration dmulation LAN (LECS, LAN Emulation Configuration Server).
Les LECS maintiennent une base de donnes de rseaux locaux muls (ELAN) et les adresses
ATM des serveurs dmulation LAN (LES) qui contrlent les ELAN. Ils acceptent les requtes
de la part de clients LEC et rpondent avec ladresse ATM du serveur LES qui sert le ELAN.
m Serveur dmulation LAN (LES, LAN Emulation Server). Le LES fournit un point de
contrle central pour tous les LEC. Les LEC maintiennent une connexion VCC Control Direct
vers le LES afin de transmettre les informations denregistrement et de contrle. Le LES main-
tient une connexion VCC point-multipoint, connue sous lappellation Control Distribute, vers
156 Partie I Architecture de rseaux
tous les LEC. Cette connexion est utilise uniquement pour transmettre des informations de
contrle. Lorsque de nouveaux LEC rejoignent le ELAN ATM, ils sont ajouts en tant que
feuilles larbre Control Distribute.
m Serveur BUS (Broadcast and Unknown Server). Le serveur BUS agit comme point central
pour la distribution des diffusions broadcast (diffusions gnrales) et multicast (diffusions
restreintes). ATM est une technologie point--point, sans support pour la communication broad-
cast. LANE rsout ce problme en centralisant le support de la diffusion broadcast sur le BUS.
Chaque LEC doit dfinir une connexion VCC Multicast Send vers le BUS. Celui-ci ajoute
ensuite le LEC en tant que feuille sa connexion VCC point-multipoint, galement appele VCC
Multicast Forward.
Le BUS agit galement comme serveur multicast. LANE est dfini au niveau de la couche
dadaptation ATM ALL5, qui spcifie un suffixe simple devant tre ajout une trame avant de
la diviser en cellules ATM. Le problme est quil nexiste aucun moyen de distinguer les cellules
qui proviennent de diffrents metteurs lorsquelles sont multiplexes sur un canal virtuel. Puis-
que lon suppose que les cellules sont reues en squences, lorsque la cellule de fin de message
(EOM, End Of Message) arrive, toutes les cellules dj arrives devraient simplement tre
rassembles.
Le BUS prlve les squences de cellules sur chaque VCC Multicast Send et les rorganise en
trames. Lorsquune trame complte est reue, elle est place en file dattente afin dtre envoye
vers tous les clients LEC de la connexion VCC Multicast Forward. De cette manire, toutes les
cellules dune trame de donnes spcifique sont assures dtre transmises dans lordre, et non
intercales avec des cellules dautres trames sur la connexion VCC point-multipoint.
Etant donn que LANE est dfini au niveau de la couche 2 du modle OSI, le serveur LECS est le
seul point de contrle de scurit disponible. Lorsquil sait o est situ le LES et quil a russi
joindre le rseau ELAN, le LEC est libre denvoyer nimporte quel trafic (malveillant ou non) sur
le ELAN pont. Des filtres de scurit de niveau 3 peuvent tre implments uniquement sur le
routeur qui assure le routage de lELAN en question vers dautres ELAN. Mais, une fois que
MPOA a tabli un raccourci pour contourner le routeur, cette scurit nest plus effective. Par
consquent, plus le ELAN est grand, plus il est expos aux risques de violation de la scurit.
Fonctionnement de LANE
Un ELAN fournit une communication de niveau 2 entre tous ses utilisateurs. Un ou plusieurs
rseaux ELAN peuvent tre excuts sur le mme rseau ATM. Toutefois, chaque ELAN est ind-
pendant des autres, et leurs utilisateurs respectifs ne peuvent communiquer directement. Comme
mentionn prcdemment, la communication entre rseaux ELAN nest possible que par linterm-
diaire de MPOA ou de routeurs.
Un ELAN fournit une communication de niveau 2, il peut donc tre assimil un domaine de broad-
cast. De plus, les sous-rseaux IP et les rseaux IPX qui sont dfinis sur des quipements de niveau 3,
tels que des routeurs, sont frquemment mis en correspondance avec des domaines de broadcast (
lexception de ladressage secondaire). Cela permet dassigner un sous-rseau IP ou un rseau IP
un ELAN.
Chapitre 5 Conception de rseaux ATM 157
Un ELAN est contrl par un seul couple de serveurs LES/BUS, et lassignation de ladresse ATM
de son serveur dmulation LES est dfinie dans la base de donnes LECS. Un ELAN se compose de
plusieurs LEC ; il peut sagir dun rseau Ethernet ou Token Ring, mais non des deux la fois.
Afin quun ELAN puisse fonctionner correctement, ses clients LEC doivent tre oprationnels.
Chaque LEC doit passer par une squence dinitialisation, dcrite dans les sections suivantes.
Interrogation du LECS
Le LEC cre un paquet de signalisation avec ladresse ATM du LECS. Il signale une connexion VCC
Configure Direct et met une requte LE_CONFIGURE_REQUEST sur cette connexion. Les infor-
mations contenues dans cette requte sont compares celles de la base de donnes du LECS.
Ladresse ATM source est plus couramment utilise pour placer un LEC dans un ELAN spcifique.
Si une entre correspondante est localise, une rponse LE_CONFIGURE_RESPONSE est
renvoye avec ladresse ATM du serveur LES qui sert le rseau ELAN recherch.
0800.200c.1001.01
name marketing server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.02
default-name finance
m Configurer une assignation LEC-ELAN dans la base de donnes LECS. Dans cette configu-
ration, toutes les informations sont centralises dans la base de donnes LECS. Les clients LEC
nont pas de manipulations faire et peuvent simplement interroger le LECS pour dterminer
quel ELAN joindre. Bien quil sagisse dune configuration plus coteuse en temps, elle permet
dassurer un meilleur contrle sur tous les rseaux ELAN. Par consquent, elle peut tre utile
pour renforcer la scurit.
Avec cette mthode, les clients LEC sont identifis par leur adresse ATM ou leur adresse MAC.
Puisque lemploi de prfixes dadresse ATM avec caractres de substitution est support, il peut
tre utile de prvoir des relations du type : "Pour tout LEC qui se joint, assigner un prfixe A
lELAN X". Voici un exemple dassignation LEC-ELAN dans la base de donnes LECS :
lane database test-2
name finance server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.01
name marketing server-atm-address 47.0091.8100.0000.0800.200c.1001.
0800.200c.1001.02
default-name finance
m Combinaison hybride. Vous pouvez configurer une combinaison des deux mthodes prcdentes.
Figure 5.11
Serveur BUS
Connexions BUS.
AIP
VCC Multicast
Forward de BUS
(point-multipoint) VCC Multicast
Send de BUS
(unidirectionnelle)
160 Partie I Architecture de rseaux
Rsolution dadresse
Le rel intrt de LANE se situe au niveau du chemin de transmission ATM quil fournit pour le
trafic dirig (unicast) entre clients LEC. Lorsquun client LEC possde un paquet de donnes
envoyer vers une destination inconnue, il met une requte LE_ARP_REQUEST vers le LES sur la
connexion VCC Control Direct. Le LES transmet la requte sur la connexion VCC Control Distri-
bute afin que toutes les stations LEC en prennent connaissance. En parallle, les paquets de donnes
unicast sont envoys vers le BUS pour tre transmis vers tous les points terminaux. Cette inondation
ne reprsente pas un chemin optimal pour le trafic dirig, et son dbit est limit 10 paquets par
seconde (selon le standard LANE). Les paquets unicast continuent dutiliser le serveur BUS,
jusqu ce que la requte LE_ARP_REQUEST soit rsolue.
Si un quipement tel un pont ou un commutateur excutant le client LEC participe au rseau
ELAN, il traduit et transmet le protocole ARP sur son interface LAN. Lun des LEC devrait mettre
une rponse LE_ARP_RESPONSE et lenvoyer vers le LES, qui le transmettrait sur la connexion
VCC Control Distribute afin que tous les clients LEC prennent connaissance de la nouvelle associa-
tion dadresse MAC-ATM. Linondation raison de 10 paquets par seconde peut ensuite cesser.
Lorsque le LEC demandeur reoit la rponse la requte ARP, il possde ladresse ATM du LEC
qui reprsente ladresse MAC recherche. Il doit alors se signaler directement auprs de lautre
LEC et dfinir une connexion VCC Data Direct utiliser ensuite pour le trafic dirig entre les LEC.
En attendant la rponse de rsolution sa requte ARP, le LEC transmet le trafic unicast vers le
BUS. En revanche, aprs rsolution de la requte, un nouveau chemin optimal devient disponible.
Mais si le LEC converge immdiatement vers ce nouveau chemin, les paquets risquent darriver
dans le dsordre. Pour prvenir une telle situation, le standard LANE prvoit un paquet de terminai-
son (flush).
Figure 5.12
Rseau ELAN entirement reli.
Sous-interfaces AIP
LES BUS
Lorsque la connexion VCC Data Direct devient disponible, le LEC gnre un paquet flush et
lenvoie au serveur BUS. Lorsque le LEC reoit son propre paquet flush sur la connexion VCC
Multicast Forward, il en dduit que tous les paquets unicast prcdemment envoys ont dj t
transmis. Le nouveau chemin, via la connexion VCC Data Direct, peut alors tre emprunt en toute
scurit. La Figure 5.12 prsente un exemple de rseau ELAN entirement reli.
Implmentation de LANE
Comme le montre le Tableau 5.3, les fonctionnalits de LANE (LECS, LEC, LES et BUS) peuvent
tre implmentes sur diffrents quipements Cisco.
Srie de commutateurs LECS, LES, BUS, LEC Module ATM version 2.0 ou ultrieure
Catalyst 5000
Srie de commutateurs LECS, LES, BUS, LEC Module ATM version 2.1 ou ultrieure
Catalyst 3000
Srie de routeurs Cisco 7000 LECS, LES, BUS, LEC Cisco IOS version 11.0 ou ultrieure
Srie de routeurs Cisco 7500 LECS, LES, BUS, LEC Cisco IOS version 11.1 ou ultrieure
Srie de routeurs Cisco 4500 LECS, LES, BUS, LEC Cisco IOS version 11.1 ou ultrieure
et 4000
Ces fonctions seront dfinies sur les interfaces et sous-interfaces ATM. Une sous-interface est une
interface logique qui fait partie dune interface physique, comme la fibre optique Optical Carrier 3
(OC-3). Les interfaces ATM sur les routeurs Cisco et le module ATM sur le commutateur Catalyst
5000 peuvent tre diviss logiquement en un maximum de 255 sous-interfaces logiques.
Cette section aborde donc limplmentation de rseaux LANE ATM. Elle couvre les sujets suivants :
m considrations sur la conception LANE ;
m redondance LANE.
m Les fonctionnalits LES et BUS doivent tre dfinies sur la mme sous-interface et ne peuvent
tre spares.
m Il ne peut y avoir quun seul couple de serveurs LES/BUS actif par sous-interface.
m Il ne peut y avoir quun seul couple de serveurs LES/BUS actif par ELAN.
m Le standard LANE Phase 1 actuel ne fournit pas de redondance LES/BUS.
m Les dispositifs LECS et LES/BUS peuvent tre reprsents par diffrents routeurs, ponts ou stations
de travail.
m Les connexions VCC peuvent tre, soit des circuits virtuels commuts (SVC), soit des circuits
virtuels permanents (PVC), sachant que la configuration et la complexit de conception dun PVC
peuvent transformer un petit rseau en un environnement complexe et difficile administrer.
m Si un LEC sur une sous-interface de routeur reoit une adresse IP, IPX ou AppleTalk, le proto-
cole en question est routable par lintermdiaire de ce LEC. Sil y a plusieurs LEC sur un routeur
et quils reoivent des adresses de protocoles, le routage interviendra entre les ELAN. Pour que
le routage entre rseaux ELAN fonctionne correctement, un ELAN ne devrait se trouver
que dans un seul sous-rseau pour un protocole particulier.
NOTE
Bien que PNNI soit un protocole de routage avanc et quil supporte le routage fond sur la qualit de
service (QoS), cet aspect particulier de PNNI nest pas trait dans ce chapitre, car la plupart des rseaux LANE
sont bass sur un service de livraison "au mieux" (best-effort delivery).
PNNI prsente certaines fonctionnalits qui peuvent permettre de faire voluer les rseaux LANE,
parmi lesquelles :
m support de lquilibrage de charge des demandes de connexion sur plusieurs chemins situs entre
deux stations terminales ;
m support de lquilibrage de charge sur plusieurs liaisons parallles ;
m support de la redondance de liaisons et de chemins avec convergence rapide ;
m excellentes performances pour les demandes de connexion travers plusieurs tronons, au
moyen de la fonction de routage darrire-plan (background routing).
La Figure 5.13 illustre la faon dont le commutateur LightStream 1010 supporte lquilibrage de charge.
Chapitre 5 Conception de rseaux ATM 163
LightStream LEC
LEC 1010 Rseau
principal ATM
LEC
LightStream LEC
LEC 1010 Rseau
principal ATM
Comme le montre la Figure 5.13, lquilibrage de charge des appels est activ par dfaut sur le
commutateur LightStream 1010, linverse du routage darrire-plan. Ce type de routage peut-tre
vu comme lacheminement des demandes via un chemin choisi partir dune base ditinraires
calculs au pralable. Le processus de routage darrire-plan tablit une liste de tous les itinraires
possibles vers toutes les destinations, par le biais de toutes les catgories de service, par exemple
CBR (Constant Bit Rate), VBR-RT (Virtual Bit Rate-Real Time), VBR-NRT (Virtual Bit Rate-Non
Real Time) et ABR-UBR (Available Bit Rate-Unspecified Bit Rate).
Lorsquun appel a lieu depuis un point A vers un point B, le protocole PNNI choisit une route en cache
partir de la table de routage darrire-plan, au lieu de calculer une route la demande. Ce procd
allge la charge du processeur et permet un traitement plus rapide des demandes de connexion.
Le routage darrire-plan peut tre utile sur les rseaux qui possdent une topologie stable quant la
qualit de service (QoS). Il nest cependant pas efficace sur les rseaux dont la topologie change
rapidement, tels les rseaux de fournisseurs de services Internet ou les rseaux doprateurs. Les
rseaux LANE de campus peuvent exploiter efficacement cette fonctionnalit, car tous les SVC
appartiennent aux catgories UBR ou ABR. Pour activer cette fonctionnalit, excutez la commande
suivante :
atm router pnni
node 1 level 56
bg-routes
Limplmentation actuelle de PNNI sur le commutateur LightStream 1010 est totalement conforme
la spcification PNNI version 1 du Forum ATM. La licence dimage PNNI par dfaut du Light-
Stream supporte un seul niveau de hirarchie, dans lequel plusieurs groupes dhomologues peuvent
tre interconnects par lintermdiaire de IISP ou dautres commutateurs grant la hirarchie PNNI.
164 Partie I Architecture de rseaux
Des licences dimage PNNI supplmentaires permettent de supporter plusieurs niveaux de hirar-
chie de routage.
Les protocoles PNNI ont t conus pour pouvoir sadapter diffrentes tailles de rseaux ATM,
depuis les petits rseaux de campus qui comprennent quelques commutateurs jusqu lensemble
du rseau Internet et ses millions de commutateurs. Ce degr dvolutivit, suprieur celui de
nimporte quel protocole de routage existant, induit une trs grande complexit au niveau du proto-
cole PNNI.
Plus particulirement, il exige le support de plusieurs niveaux de hirarchie de routage bas sur
lemploi de prfixes de lespace dadresse ATM de 20 octets. Le niveau le plus bas de la hirarchie
consiste en un seul groupe dhomologues, au sein duquel tous les commutateurs se communiquent
lensemble des mtriques daccessibilit et de qualit de service (QoS). Cette situation est analo-
gue, par exemple, une seule zone du protocole OSPF.
Ensuite, plusieurs groupes dhomologues un certain niveau de la hirarchie sont rassembls en des
groupes dhomologues de niveau suprieur, au sein desquels chaque groupe de niveau infrieur est
reprsent par un seul leader de groupe dhomologues. Toute la hirarchie PNNI est ainsi forme
par itrations de ce processus de rassemblement de groupes. Chaque niveau de la hirarchie est
identifi par un prfixe de lespace dadresse ATM, ce qui signifie que PNNI pourrait en thorie
contenir plus de 100 niveaux de hirarchie de routage. Toutefois, quelques niveaux suffisent pour la
plupart des rseaux. Afin de bnficier dune telle volutivit, il faut implmenter des mcanismes
trs complexes afin de supporter et mettre en uvre les nombreux niveaux de hirarchie, et dlire
les leaders de groupes dhomologues, au sein de chaque groupe, chaque niveau.
Evolution dun ELAN : problmes engendrs par le protocole par arbre recouvrant
Le protocole par arbre recouvrant (Spanning Tree) est un protocole de niveau 2, support par les
commutateurs et les ponts afin dviter les risques dapparition de boucles temporaires sur les rseaux
qui comprennent des liaisons redondantes. Etant donn quun LEC ponte le trafic Ethernet/Token
Ring au-dessus dune pine dorsale ATM, les units de donnes du protocole de pontage par arbre
recouvrant (BPDU, Bridge Protocol Data Units) sont transmises sur la totalit de lELAN. Le rseau
ATM apparat comme un rseau Ethernet/Token Ring partag pour le processus darbre recouvrant
la frontire des commutateurs de niveau 2.
La topologie darbre recouvrant dun rseau fond sur la technologie LANE est beaucoup plus
simple que celle dun rseau commutation de trames pur qui emploie le protocole Spanning Tree.
Il sensuit que les temps de convergence avec un arbre recouvrant, qui peuvent constituer un
problme majeur sur de grands rseaux commutation de trames, ne prsentent pratiquement
aucune difficult sur des rseaux LANE. Notez que le protocole Spanning Tree doit effectuer une
reconvergence en cas de dfaillance au niveau des dispositifs de frontire ou lintrieur du rseau
ATM. Sil se rvle ncessaire doptimiser le temps de convergence avec une valeur infrieure ou
suprieure, le paramtre de dlai de transmission peut tre utilis.
Redondance LANE
Bien que la technologie LANE permette aux concepteurs de connecter leurs rseaux locaux exis-
tants un rseau ATM, la version 1.02 de LANE ne dfinit pas de mcanismes pour implmenter la
redondance et la tolrance aux pannes au niveau des services LANE. En consquence, ces services
Chapitre 5 Conception de rseaux ATM 165
peuvent reprsenter une source de pannes. De plus, la redondance de routeurs et des chemins-
liaisons est galement un facteur prendre en compte.
Les concepteurs peuvent employer diffrentes techniques pour implmenter des rseaux LANE
fiables et tolrants envers les pannes :
m Le protocole SSRP (Simple Server Replication Protocol) assure une redondance des services
LANE avec Cisco et tout LEC dun fabricant tiers.
m Le protocole HSRP (Hot Standby Router Protocol) sur LANE assure la redondance du routeur
par dfaut configur sur les stations terminales IP.
m Des modules redondants supports par les commutateurs ATM de Cisco.
m Le protocole darbre recouvrant Spanning Tree sur les commutateurs Ethernet-ATM.
Nous allons examiner ces diffrentes techniques, ainsi que les rgles de conception et les problmes
considrer lors de limplmentation de rseaux LANE redondants. Nous commencerons par le
protocole SSRP, qui a t dvelopp pour fournir des services LANE redondants.
Bien que de nombreux fabricants proposent des implmentations de services LANE redondants
depuis un certain temps, aucune ne respecte la spcification LANE 1.0. Elles ne peuvent donc pas
interoprer avec dautres implmentations tierces. Le protocole SSRP, qui respecte cette spcifica-
tion, peut assurer linteraction avec des implmentations tierces, garantissant ainsi linteroprabilit
des rseaux ATM.
rseaux ATM bass sur la technologie LANE. De plus, dautres considrations peuvent avoir des
implications sur lensemble de la rsistance dun environnement LANE, comme le placement
des composants de services LANE au sein du rseau ATM.
Redondance LECS
Selon la spcification LANE 1.0, la premire tape de linitialisation dun LEC est la connexion au
LECS, afin dobtenir ladresse ATM du LES du rseau ELAN auquel le LEC souhaite se joindre.
Pour que ce dernier puisse se connecter au LECS, plusieurs mcanismes sont dfinis. Tout dabord,
le LEC doit interroger le commutateur ATM auquel il est connect, afin dobtenir ladresse du
serveur LECS. Ce processus de dcouverte dadresse est ralis au moyen du protocole ILMI sur
VPI, VCI - 0, 16.
Voici un exemple de commande de configuration qui permet dajouter une adresse de serveur LECS
sur un commutateur LightStream 1010 :
atm lecs-address <adresse_NSAP_LECS> <index>
Avec SSRP, plusieurs adresses LECS sont configures sur les commutateurs ATM. Un LEC qui
demande ladresse LECS dun commutateur ATM obtient en rponse la table entire des adresses
LECS. Le LEC doit ensuite tenter de se connecter ladresse de plus haut rang. En cas dchec, il
doit essayer ladresse suivante dans la liste, et ainsi de suite jusqu la russite de la connexion avec
le serveur LECS.
Alors que le LEC tente toujours de se connecter au LECS de plus haut rang disponible, le protocole
SSRP sassure quun seul serveur principal rpond aux requtes de configuration provenant dun
LEC. Ltablissement dun serveur LECS principal et dautres serveurs de secours est la fonction
essentielle du protocole SSRP. Voyons comment procde SSRP pour tablir un serveur LECS prin-
cipal. A linitialisation, un serveur LECS obtient la table dadresses LECS auprs de son commuta-
teur. Il tente ensuite de se connecter tous les autres serveurs LECS dont le rang est infrieur au
sien. Le rang est fonction de la valeur dindex dans la table dadresses LECS.
Si un serveur LECS dispose dune connexion de circuit virtuel (VCC) en provenance dun LECS
dont le rang est suprieur au sien, il est dans le mode de secours. Aucun LECS provenant dun rang
suprieur nest connect au LECS de plus haut rang, lequel joue le rle de serveur LECS principal.
La Figure 5.14 illustre la procdure de secours utilise en cas de dfaillance dun serveur LECS
principal. Le rseau LANE donn en exemple possde quatre serveurs LECS : A, B, C et D. Tous
les commutateurs ATM du rseau sont configurs avec la mme table dadresses LECS. Aprs le
Chapitre 5 Conception de rseaux ATM 167
dmarrage, le LECS A obtient la table dadresses auprs du commutateur ATM qui lui est connect,
dcouvre quil possde trois serveurs LECS de rang infrieur et tente par consquent de se connec-
ter aux LECS B, C et D. Le serveur B se connecte aux serveurs C et D, et le serveur C au serveur D.
Les connexions VCC sont tablies vers le bas. Puisque le serveur A ne possde pas de connexion en
provenance dun serveur de rang suprieur, il devient le serveur LECS principal.
Figure 5.14
Redondance LECS. Les circuits virtuels sont tablis
en partant des serveurs LECS
de plus haut rang vers ceux
de rang infrieur.
A
Etape 1 Le LECS A perd sa
connectivit avec le
rseau. X
B Etape 2a Le LECS B ne possde B
aucune connexion en
provenance d'un serveur
de rang suprieur. Il
devient le nouveau
serveur principal
C C
Etape 2b Les LECS C et D
continuent de possder
une connexion en
provenance du serveur
D B et restent donc des D
serveurs de secours
(a) (b)
Au cours du fonctionnement normal du rseau, le serveur A rpond toutes les requtes de configu-
ration, alors que les serveurs de secours, B, C et D, ne rpondent aucune requte. Si, pour une
raison quelconque, le serveur principal tombe en panne, le serveur B perd sa connexion VCC avec
le serveur A, et il en va de mme pour les autres serveurs.
Dans ce cas, le serveur LECS B ne possde plus aucune connexion VCC en provenance dun
serveur de rang suprieur et devient donc le serveur LECS de plus haut rang disponible sur le
rseau, cest--dire le serveur principal. Les deux autres serveurs LECS, C et D, possdent toujours
des connexions en provenance de serveurs LECS de rang suprieur et continuent fonctionner dans
le mode de secours (voir ltape 2b de la Figure 5.14).
Redondance LES/BUS
La partie du protocole SSRP qui assure la redondance du couple de serveurs LES/BUS supporte la
configuration de plusieurs couples LES/BUS fonctionnant selon un modle principal-secondaire.
Toutefois, les mcanismes utiliss ici diffrent de ceux qui servent la redondance des serveurs
LECS, dcrite dans la section prcdente.
Plusieurs couples de serveurs LES/BUS pour un ELAN donn sont dabord configurs dans la base
de donnes LECS. Chaque couple reoit une priorit. Aprs linitialisation, chaque couple tablit
une connexion VCC avec le LECS principal, au moyen du mcanisme de dcouverte dadresse
LECS. Le couple LES/BUS qui possde la priorit la plus haute et dispose dune connexion VCC
ouverte vers le LECS est dsign comme couple principal par le LECS principal.
168 Partie I Architecture de rseaux
Comportement de SSRP avec ladresse LECS par dfaut (Well Known Address)
SSRP fonctionne galement avec ladresse LECS par dfaut (Well Known Address, 47.0079.),
dfinie dans la spcification LANE 1.0. Le serveur LECS Cisco peut couter au niveau de plusieurs
adresses ATM en mme temps. Par consquent, il peut couter au niveau de ladresse par dfaut et
de ladresse ATM autoconfigure, adresses que vous pouvez afficher avec la commande show lane
default.
Lorsque le LECS peut couter au niveau de ladresse par dfaut, il lenregistre auprs du commuta-
teur ATM afin que les autres commutateurs ATM puissent annoncer des routes vers cette adresse et
router toutes les demandes de connexion vers lemplacement appropri.
Avec SSRP, il peut y avoir plusieurs LECS sur le rseau. Si chaque LECS enregistre ladresse par
dfaut auprs des commutateurs auxquels il est connect, les demandes de connexion sont routes
vers les diffrents emplacements du rseau. Vous devez par consquent dfinir une adresse autocon-
figure afin que la ngociation du serveur LECS principal ait lieu en premier ; ensuite, le serveur
principal enregistrera ladresse par dfaut auprs du commutateur ATM. Sil choue, ladresse par
dfaut sera modifie avec le LECS principal.
Chapitre 5 Conception de rseaux ATM 169
Le code PNNI situ sur le commutateur LightStream 1010 se charge de lannonce de la nouvelle
route vers ladresse par dfaut lorsquintervient un changement de LECS en tant que serveur princi-
pal. Par consquent, un LEC dun fabricant tiers qui utilise uniquement ladresse par dfaut peut
galement interoprer avec SSRP. Ce protocole est la seule technique de redondance qui puisse tre
utilise avec presque nimporte quel LEC commercialis.
Pour implmenter SSRP avec ladresse par dfaut, utilisez la procdure suivante :
1. Configurez le LECS pour quil coute sur ladresse autoconfigure (ou, si vous le souhaitez, une
adresse ATM distincte que vous aurez dtermine au pralable). Cette adresse devrait tre
programme sur les commutateurs ATM pour le mcanisme de dcouverte dadresse du LECS.
2. Configurez chaque LECS au moyen de la commande lane config fixed-config-atm-address
pour quil coute sur ladresse par dfaut. Aprs avoir dtermin le LECS principal au moyen de
la procdure de redondance, celui-ci enregistre ladresse par dfaut auprs des commutateurs
ATM.
NOTE
Lemploi du protocole SSRP avec ladresse par dfaut (Well Known Address) ne donne pas de bons rsultats
dans certaines situations (lors dune dfaillance, par exemple) si deux LECS sont connects au mme commu-
tateur ATM. La raison en est quun enregistrement dadresse peut tre dupliqu sur le mme commutateur,
ce qui nest pas autoris avec ILMI. Assurez-vous que chaque LECS soit situ sur un commutateur ATM spar.
dinterface de routage principale (ou sous-interface) pour un sous-rseau donn. Lautre routeur
joue le rle de routeur de secours dynamique (hot standby). Avec HSRP, une adresse IP par dfaut
et une adresse MAC virtuelle par dfaut sont partages par les deux routeurs qui schangent le
protocole. Toutes les stations terminales IP utilisent cette adresse IP comme passerelle par dfaut
pour communiquer avec dautres stations situes en dehors de leur sous-rseau immdiat. Par
consquent, en cas de panne du routeur principal, le routeur de secours prend en charge ladresse de
passerelle par dfaut ainsi que ladresse MAC, afin que la communication puisse se poursuivre avec
les stations situes en dehors du sous-rseau.
Etant donn que HSRP est un protocole de niveau 2 qui ncessite un rseau de niveau 2 bas sur des
adresses MAC, il est possible dimplmenter une rcupration de type HSRP sur LANE. Les
mcanismes employs sont identiques ceux dune interface Ethernet et peuvent tre configurs au
niveau sous-interface.
Rsum
Ce chapitre a dcrit la technologie ATM, les rseaux ATM et lintgration dATM des rseaux
existants.
ATM possde trois couches fonctionnelles : la couche physique ATM, la couche ATM, et la couche
dadaptation ATM. ATM supporte de nombreux mdias au niveau de la couche physique. La
couche ATM est responsable de la livraison de la charge utile, des connexions virtuelles et de
lidentification des cellules. La qualit de service est gre au niveau de la couche dadaptation
ATM ; cette dernire offre quatre classes de trafic (AAL1, AAL2, AAL3/4 et AAL5) qui influent sur
les dcisions QoS.
Outre la technologie ATM, des considrations de conception concernant LANE ont t abordes,
ainsi que loffre ATM de Cisco.
6
Conception de rseaux
commutation de paquets
et de rseaux Frame Relay
Ce chapitre traite de manire gnrale de la commutation de paquets et des rseaux Frame Relay.
La technologie Frame Relay a t choisie ici, car elle illustre clairement les implications de linter-
connexion de services de commutation de paquets. Les informations fournies dans ce chapitre sont
organises autour des thmes suivants :
m conception de rseaux hirarchiques ;
m choix dune topologie ;
m problmes lis la diffusion broadcast ;
m gestion des performances.
Ce chapitre aborde galement les aspects de conception et de performances lis lintgration de
donnes et de la voix sur un rseau Frame Relay.
commutation de paquets, mais ne se traduit pas forcment par le choix de la combinaison de servi-
ces la moins coteuse. Une implmentation russie repose sur deux rgles essentielles :
m Lorsque vous implmentez une solution commutation de paquets, veillez valuer les cono-
mies potentielles, grce aux interconnexions PSDN, en tenant compte des performances requises
par votre communaut informatique.
m Crez un environnement qui soit facile grer, et qui puisse sadapter au fur et mesure que
dautres liaisons WAN se rvleront ncessaires.
Ces rgles reviendront en tant que thmes sous-jacents dans les sections suivantes.
Conception hirarchique
Lobjectif dune conception hirarchique est de rendre les lments dun grand rseau modulaires,
grce une implmentation en couches. Le modle global de cette organisation hirarchique est
dcrit au Chapitre 2. Les couches fonctionnelles essentielles de ce modle sont la couche daccs
local, la couche de distribution et la couche centrale (pine dorsale). Une approche hirarchique
tend essentiellement diviser un rseau en sous-rseaux, afin de faciliter la gestion du trafic et des
nuds. Une telle conception facilite galement lvolutivit des rseaux, car elle permet dintgrer
de nouveaux modules de sous-rseaux, ainsi que de nouvelles technologies de connexion la struc-
ture globale, sans pour autant perturber lpine dorsale existante. La Figure 6.1 illustre lapproche
de base dune conception hirarchique.
Figure 6.1
Interconnexion
Etoile-2
hirarchique avec Etoile-1
commutation de paquets.
Rseau
commutation
de paquets Routeur Routeur
Routeur
Routeur
Trois avantages majeurs font pencher les dcisions de conception en faveur dune solution hirar-
chique :
m volutivit ;
m facilit de gestion ;
m optimisation du trafic de contrle broadcast et multicast.
Chapitre 6 Conception de rseaux commutation de paquets et de rseaux Frame Relay 173
rseau tendu (WAN) chelle rgionale, que ce rseau repose sur des services de commutation de
paquets ou sur des connexions point--point, vous disposez de trois approches de base :
m topologie en toile ;
m topologie totalement maille ;
m topologie partiellement maille.
Les sections suivantes traitent des possibilits dapplication de ces topologies pour des services de
commutation de paquets spcifiques.
Les illustrations de ce chapitre utilisent des lignes, afin de reprsenter linterconnexion de routeurs
spcifiques sur le rseau PSDN. Il sagit de connexions virtuelles, mises en uvre par une associa-
tion de fonctionnalits sur les routeurs. Les connexions physiques relles sont gnralement impl-
mentes au niveau de commutateurs sur le rseau PSDN.
Topologie en toile
Une topologie en toile inclut un seul hub dinterconnexion, ou routeur central, qui fournit un accs
lpine dorsale pour les rseaux feuilles, ainsi quun accs ces derniers uniquement par son
intermdiaire. La Figure 6.2 illustre la topologie en toile dun rseau rgional commutation de
paquets.
Figure 6.2
Topologie en toile Feuille 1
dun rseau rgional. Feuille 2
Routeur
Routeur
Routeur Routeur
Feuille 4
Feuille 5
Une topologie en toile offre les avantages dune gestion simplifie et dune rduction maximale
des cots. Nanmoins, elle prsente aussi des inconvnients non ngligeables. Tout dabord, le
routeur central constitue une source de panne potentielle. Ensuite, ce routeur limite les performan-
ces globales daccs aux ressources de lpine dorsale, car le trafic qui circule dans cette direction
(ou vers les autres routeurs rgionaux) doit passer par ce seul canal. Enfin, cette topologie nest pas
volutive.
Chapitre 6 Conception de rseaux commutation de paquets et de rseaux Frame Relay 175
Figure 6.3
Topologie totalement Routeur
maille. Routeur
Rseau
commutation
de paquets
Routeur Routeur
Routeur Routeur
Lobjectif dun environnement totalement maill est de fournir un haut niveau de redondance. Bien
quune telle topologie facilite le support de tous les protocoles de rseau, elle nest pas rentable
pour de grands rseaux commutation de paquets. Les principaux problmes qui se posent concer-
nent le nombre important de circuits virtuels ncessaires (un pour chaque connexion entre
routeurs), la duplication intensive de paquets et de diffusions broadcast, ainsi que la complexit de
configuration des routeurs, en labsence de support du mode multicast dans des environnements non
broadcast.
En combinant une topologie totalement maille et une topologie en toile, de faon former un
environnement partiellement maill, on amliore le degr de tolrance aux pannes, sans rencontrer
pour autant les problmes de performances et de gestion associs une approche totalement
maille.
Figure 6.4
Topologie partiellement
Etoile-2
maille. Etoile-1
Rseau
commutation
de paquets Routeur Routeur
Routeur
Routeur
Niveau de trafic
Protocole de rseau Protocole de routage broadcast
Tableau 6.1 : Niveaux de trafic broadcast sur des rseaux tendus (suite)
Niveau de trafic
Protocole de rseau Protocole de routage broadcast
Les valeurs relatives Elev et Faible du Tableau 6.1 donnent une ide gnrale des niveaux de broad-
cast pour les protocoles rpertoris. La densit du trafic broadcast sera dtermine par vos situation
et implmentation spcifiques. Par exemple, le niveau de trafic broadcast gnr dans un environne-
ment AppleTalk/Enhanced IGRP dpend de la valeur de lintervalle du temporisateur Hello IGRP. La
taille du rseau peut galement poser problme. Sur un rseau de petite chelle, le niveau de trafic
broadcast gnr par les nuds Enhanced IGRP peut tre plus lev que celui dun rseau bas
RTMP. Cependant, sur de grands rseaux, les nuds Enhanced IGRP gnrent beaucoup moins de
trafic broadcast que les nuds RTMP.
La gestion de la duplication de paquets est un facteur de conception important, qui doit tre pris en
compte lors de lintgration de rseaux locaux de type broadcast (tel Ethernet) avec des services de
paquets non broadcast (tel X.25). Les connexions des environnements de commutation de paquets
se caractrisent par un nombre important de circuits virtuels. Par consquent, les routeurs doivent
reproduire les diffusions broadcast pour chaque circuit sur une liaison physique donne.
Dans des environnements fortement maills, la duplication des diffusions broadcast peut se rvler
coteuse en termes de bande passante et de cycles processeur. En dpit des avantages quoffrent les
topologies mailles, celles-ci ne conviennent gnralement pas pour de grands rseaux commuta-
tion de paquets. Toutefois, un certain niveau de maillage de circuits est essentiel, afin de garantir
une tolrance aux pannes. La solution consiste donc trouver un compromis entre les performances
et les exigences en matire de redondance de circuits.
une priode donne , sur les rseaux Frame Relay, et des limitations de taille de fentre sur les
rseaux X.25.
Conception hirarchique
En rgle gnrale, les arguments en faveur dune conception hirarchique pour les rseaux
commutation de paquets, prsents plus haut dans ce chapitre, sappliquent galement la concep-
tion hirarchique de rseaux Frame Relay. Ils sont au nombre de trois :
m volutivit ;
m facilit de gestion ;
m optimisation du trafic de contrle broadcast et multicast.
De nombreux fournisseurs Frame Relay facturent leurs services en se fondant sur lidentifiant
de connexion de liaison de donnes (DLCI, Data Link Connection Identifier), qui caractrise une
connexion virtuelle permanente Frame Relay. Une telle connexion est quivalente un circuit virtuel
permanent X.25 qui, dans la terminologie X.25, est identifi par un numro de canal logique (LCN,
Logical Channel Number). Lidentifiant DLCI dfinit linterconnexion dquipements Frame Relay.
Quelle que soit limplmentation dun rseau, le nombre de connexions virtuelles permanentes
Frame Relay dpend troitement des protocoles utiliss, ainsi que des modles de trafics existants.
Le nombre de DLCI configurables par port srie dpend du niveau de trafic. Vous pouvez les utiliser
tous (environ 1 000), mais 200 300 suffisent gnralement pour une utilisation courante. Si vous
envoyez des diffusions broadcast sur les DLCI, 30 50 DLCI sont des quantits plus ralistes, eu
gard la surcharge de services gnre au niveau du processeur. Il est difficile de fournir des
recommandations spcifiques, car cette surcharge varie en fonction de la configuration. Nanmoins,
sur des quipements bas de gamme, larchitecture est limite par la quantit de mmoire dentre-
sortie disponible. Le nombre de DLCI dpend de plusieurs facteurs, qui devraient tre pris en
compte conjointement :
Chapitre 6 Conception de rseaux commutation de paquets et de rseaux Frame Relay 179
m Protocoles routs. Nimporte quel protocole qui utilise les diffusions broadcast de faon inten-
sive limite le nombre de DLCI pouvant tre assigns. Par exemple, AppleTalk est un protocole
qui se caractrise par lutilisation de huit niveaux de surcharge en diffusion broadcast. Un autre
exemple est le protocole Novell IPX, qui envoie la fois des mises jour de routage et des mises
jour de service, ce qui entrane une surcharge de trafic broadcast suprieure au niveau de la
bande passante. A linverse, IGRP utilise moins la diffusion broadcast, car il envoie moins
frquemment des mises jour de routage (toutes les 90 secondes, par dfaut). Cependant, si ses
temporisateurs sont modifis, afin que les mises jour soient envoyes une frquence plus
leve, il se mettra lui aussi exploiter intensivement ce mode de diffusion.
m Trafic broadcast. Les diffusions broadcast, telles les mises jour de routage, reprsentent le
facteur le plus important prendre en compte lors de la dtermination du nombre de DLCI
pouvant tre dfinis. La quantit et le type de trafic broadcast requis vous guideront dans lassi-
gnation des DLCI, tout en demeurant dans la plage gnrale recommande. Revoyez le
Tableau 6.1, plus haut dans ce chapitre, pour obtenir une liste des niveaux relatifs de trafic broad-
cast pour des protocoles courants.
m Vitesse des lignes. Si le niveau de trafic broadcast doit tre lev, vous devriez envisager lutili-
sation de lignes plus rapides, ainsi que de DLCI dotes de valeurs suprieures pour les limites de
CIR, et de salves en excs (Be, excess burst). Vous devriez galement implmenter un nombre
moindre de DLCI.
m Routes statiques. Si le routage statique est implment, vous pouvez utiliser un plus grand
nombre de DLCI par ligne, ce qui permet de rduire le niveau de diffusion broadcast.
m Taille des mises jour de protocoles de routage et des mises jour SAP. Plus le rseau est
grand, plus la taille de ces mises jour augmente. Plus les mises jour sont importantes, plus le
nombre de DLCI pouvant tre assigns est limit.
Deux formes de conception hirarchique Frame Relay peuvent tre implmentes :
m rseaux Frame Relay maills hirarchiques ;
m rseaux Frame Relay maills hybrides.
Ces deux approches prsentent la fois des avantages et des inconvnients, mis en vidence dans
les sections suivantes.
Figure 6.5
A1 A2
Environnement Frame
Relay hirarchique
totalement maill.
Routeur
Rgion
maille A
Routeur B1
Routeur
Routeur
Epine dorsale
Rgion
Frame Relay
Routeur Routeur maille B
maille
Routeur
Routeur
B2
Routeur
Rgion
C1 maille C C2
Routeur Routeur
Les deux principaux avantages dun maillage hirarchique sont quil est relativement volutif et
quil permet disoler le trafic. En plaant des routeurs entre des portions totalement mailles du
rseau, vous limitez le nombre de DLCI par interface physique, segmentez votre rseau, et en facilitez
la gestion. Toutefois, deux problmes peuvent se prsenter :
m Duplication de diffusions broadcast et de paquets. Dans un environnement o les interfaces
de routeur sont nombreuses supporter plusieurs DLCI, une reproduction excessive des diffu-
sions broadcast et des paquets peut dgrader les performances globales. Il sagit dun problme
majeur sur les rseaux hirarchiques fortement maills. Etant donn que les exigences en
matire de dbit sont gnralement leves sur lpine dorsale, il est trs important dviter de
perdre de la bande passante.
m Augmentation des cots associs des interfaces de routeur supplmentaires. Compar
une topologie totalement maille, des routeurs supplmentaires sont ncessaires pour sparer
lpine dorsale maille des rseaux maills en priphrie. Nanmoins, lutilisation de ces
routeurs permet de crer des rseaux bien plus grands, qui peuvent voluer presque indfiniment,
ce qui nest pas le cas dun rseau totalement maill.
hybride comprend des liaisons loues mailles et redondantes au niveau de lpine dorsale WAN,
ainsi que des rseaux PSDN Frame Relay partiellement (ou totalement) maills en priphrie. Des
routeurs sparent lpine dorsale des rseaux PSDN (voir Figure 6.6).
Rseau rgional
Routeur Routeur Routeur Frame Relay
Routeur
Routeur
Epine dorsale
point point A2
Routeur
Routeur Routeur
Les maillages hybrides hirarchiques ont pour avantages de fournir un niveau de performances
suprieur sur lpine dorsale, disoler le trafic et de simplifier lvolution des rseaux. De plus, ce
type de rseau, associ au Frame Relay, reprsente une solution intressante, car il autorise un
meilleur contrle du trafic sur lpine dorsale, et permet celle-ci dtre constitue de liaisons
ddies, do une plus grande fiabilit.
Les inconvnients de ces maillages sont, entre autres, des cots levs associs aux liaisons loues,
ainsi quune duplication de diffusions broadcast et de paquets, qui peut tre intensive sur les
rseaux daccs.
Topologies rgionales
Vous pouvez adopter lune des trois approches de conception suivantes, pour un rseau rgional de
services de paquets fond sur le Frame Relay :
m topologie en toile ;
m topologie totalement maille ;
m topologie partiellement maille.
Ces trois approches sont prsentes dans les prochaines sections. En rgle gnrale, laccent est
plac sur les topologies partiellement mailles intgres un environnement hirarchique. Les
topologies en toile et totalement mailles sont examines pour leur contexte structurel.
182 Partie I Architecture de rseaux
Topologie en toile
La structure gnrale dune topologie en toile a t dcrite plus haut dans ce chapitre. Elle est int-
ressante, car elle rduit au maximum le nombre de DLCI ncessaires, et reprsente une solution peu
coteuse. Toutefois, elle est limite en matire de bande passante. Considrons un environnement
dans lequel un routeur dpine dorsale est reli un nuage Frame Relay une vitesse de 256 Kbit/s,
alors que les sites distants sont relis 56 Kbit/s. Une telle topologie ralentirait le trafic qui circule
depuis lpine dorsale jusquaux sites distants.
Nous lavons vu, une topologie en toile stricte noffre pas le niveau de tolrance aux pannes requis
dans de nombreuses situations. Si la liaison entre un routeur hub et un routeur feuille spcifique est
perdue, cest toute la connectivit vers ce dernier qui est perdue.
Figure 6.7
Rseau Frame Relay totalement maill. Routeur Routeur
DLCIs
Routeur Routeur
m La duplication de diffusions broadcast provoque des congestions sur les grands rseaux Frame
Relay maills. Les routeurs considrent le Frame Relay comme tant un mdia de type broad-
cast. Chaque fois quun routeur envoie une trame multicast (une mise jour de routage, une mise
jour darbre recouvrant ou une mise jour SAP), il doit la copier sur chaque DLCI pour cette
interface Frame Relay.
Ces problmes combins rendent les topologies totalement mailles inadaptes pour la quasi tota-
lit des implmentations de Frame Relay, lexception de celles de petite taille.
biais dtoiles redondantes) et se rvle moins coteuse quun environnement totalement maill. En
rgle gnrale, vous devriez implmenter un maillage minimal, afin dliminer les risques de sour-
ces de pannes.
La Figure 6.8 illustre une topologie partiellement maille, deux toiles. Cette organisation est
supporte sur les rseaux Frame Relay qui excutent IP, ISO CLNS, DECnet, Novell IPX, Apple-
Talk, ainsi que le pontage.
Figure 6.8
Rseau Frame Relay partiellement Etoile2
maill, deux toiles. Etoile1
Routeur Routeur
Une fonctionnalit connue sous lappellation interfaces virtuelles (introduite avec la version 9.21
de System Software) permet de crer des rseaux, laide des topologies Frame Relay partielle-
ment mailles (voir Figure 6.8).
Pour crer ce type de rseau, des interfaces physiques individuelles sont divises en plusieurs inter-
faces virtuelles (logiques). En ce qui concerne le Frame Relay, cela signifie que les DLCI peuvent
tre regroups ou spars, pour une exploitation optimale. Par exemple, des petits nuages totale-
ment maills de routeurs connects Frame Relay peuvent transiter au-dessus dun groupe de quatre
DLCI concentrs sur une seule interface virtuelle, alors quun cinquime DLCI sur une autre inter-
face virtuelle assure la connectivit vers un rseau compltement spar. Toute cette connectivit a
lieu au-dessus dune seule interface physique connecte au service Frame Relay.
Dans la version 9.21 de System Software, les interfaces virtuelles ntaient pas disponibles, et les
topologies partiellement mailles pouvaient poser des problmes selon les protocoles de rseau
utiliss. Examinez la topologie illustre la Figure 6.9.
Eu gard une configuration de routeur standard et un logiciel de routeur antrieur la version 9.21
de System Software, la connectivit disponible pour le rseau illustr la Figure 6.9 peut tre caract-
rise comme suit :
m Les routeurs centraux A et Z peuvent joindre tous les routeurs distants.
m Les routeurs distants B, C et D ne peuvent pas communiquer entre eux.
184 Partie I Architecture de rseaux
Figure 6.9
Rseau Frame Relay
partiellement maill. Central A
Central Z
Rseau
Frame
B distant Relay
DLCIs
C distant D distant
En ce qui concerne les implmentations Frame Relay qui excutent une version de System Software
antrieure la version 9.21, le seul moyen de mettre en uvre une connectivit entre tous ces
routeurs est dutiliser un protocole par vecteur de distance, qui puisse dsactiver la fonctionnalit
dhorizon clat (split horizon), tels RIP ou IGRP pour IP. Tout autre protocole de rseau (Apple-
Talk ou ISO CLNS) ne sera pas oprationnel. Le code suivant illustre une configuration IGRP
prvue pour supporter une organisation partiellement maille :
router igrp 20
network 45.0.0.0
!
interface serial 3
encapsulation frame-relay
ip address 45.1.2.3 255.255.255.0
no ip split-horizon
Cette topologie fonctionne uniquement avec des protocoles de routage par vecteur de distance en
supposant que souhaitiez tablir une connectivit entre les routeurs distants B, C et D et les routeurs
centraux A et Z uniquement , sans ncessiter de liaison directe entre les routeurs distants. Cette
topologie ne fonctionne pas avec des protocoles de routage par informations dtat de lien, car le
routeur nest pas en mesure de vrifier la contigut de ses routeurs voisins. Notez que les routes et
les services des nuds feuilles qui ne peuvent pas tre joints sont visibles.
chaque DLCI. Chaque trame SAP contient jusqu sept entres de service, et chaque mise jour
comprend 64 octets. La Figure 6.10 illustre cet exemple.
NOTE
Lune des mthodes de rduction des diffusions broadcast consiste implmenter des protocoles de
routage plus efficaces, tel Ehanced IGRP, et dajuster les intervalles des temporisateurs sur les services Frame
Relay faible vitesse.
Figure 6.10
Duplication SAP dans
un environnement
Frame Relay avec DLCI 21
interfaces virtuelles.
DLCI 22
Rseau Frame Relay
E0 S0
Routeur A
Broadcast DLCI 23
SAP
La diffusion broadcast SAP
est reproduite et retransmise
sur les trois DLCI de
l'interface S0.
Serveur Novell
DLCI 21
Les consquences relles du dpassement du CIR spcifi et des paramtres MaxR associs
dpendent du type des applications qui sont excutes sur le rseau. Par exemple, lalgorithme
de temporisation (back-off) de TCP/IP interprtera les paquets supprims en tant quindicateur de
congestion ; les htes metteurs pourront alors rduire lmission de trafic. Nanmoins, tant donn
que NFS ne possde aucun algorithme de ce type, les paquets supprims rsulteront en des
connexions perdues. Lorsque vous dterminez les mtriques CIR, Bc et Be pour une connexion
Frame Relay, vous devez prendre en compte la vitesse de liaison ainsi que les applications relles
qui doivent tre supportes.
La plupart des oprateurs Frame Relay fournissent un niveau appropri de mise en mmoire tampon,
afin de pouvoir grer les situations o le trafic excde le CIR pour un DLCI donn. Ces tampons
permettent aux paquets en excs dtre traits avec le dbit CIR, et de limiter leur perte, dans le cas
dun protocole de transport robuste, tel que TCP. Nanmoins, il peut arriver que ces tampons
dbordent. Souvenez-vous que les routeurs sont capables de grer la priorit du trafic, linverse des
commutateurs Frame Relay. Vous pouvez spcifier quels sont les paquets Frame Relay de plus faible
priorit ou le moins sensibles aux dlais de livraison ; ils seront supprims en priorit si un commuta-
teur Frame Relay est congestionn. Le mcanisme qui permet un commutateur Frame Relay
didentifier ces paquets est le bit DE (Discard Eligibility).
Cette fonctionnalit ncessite que le rseau Frame Relay soit en mesure dinterprter le bit DE.
Certains rseaux nexcutent aucune action lorsque ce bit est activ. Dautres lutilisent afin de
dterminer quels paquets supprimer. La meilleure approche consiste utiliser ce bit afin de dter-
miner quels paquets doivent tre supprims en priorit, mais galement quels sont les paquets le
moins sensibles aux dlais de livraison. Vous pouvez dfinir une liste de bits DE afin didentifier les
caractristiques des paquets qui peuvent tre supprims, et galement spcifier des groupes de bits
DE, afin didentifier le DLCI qui est affect.
188 Partie I Architecture de rseaux
Vous pouvez tablir des listes de DE en vous fondant sur le protocole ou linterface, ainsi que sur
certaines caractristiques : la fragmentation du paquet, un port TCP ou UDP (User Datagram
Protocol) spcifique, un numro de liste daccs ou une taille de paquet.
NOTE
Pour viter de perdre des paquets, implmentez des protocoles dapplication non acquitts, limage de la
vido empaquete (packetized video). Soyez prudent, ces protocoles accroissent le risque de dpassement
de capacit des tampons.
Figure 6.12
Protocoles Assignations de protocoles des DLCI
assigns IP assign au DLCI 21
Rseau Frame Relay
des interfaces DECnet assign au DLCI 22
virtuelles. IPX assign au DLCI 23
Hte numrique
Trafic IP envoy sur le
Trafic multiprotocole
rseau Frame Relay
envoy vers le routeur
DLCI 21 via DLCI 21 uniquement
Serveur Novell
Chapitre 6 Conception de rseaux commutation de paquets et de rseaux Frame Relay 189
Vous pouvez utiliser les commandes suivantes de System Software 9.1 afin de raliser une configu-
ration semblable celle prsente la Figure 6.13 :
Version 9.1
interface serial 0
ip address 131.108.3.12 255.255.255.0
decnet cost 10
novell network A3
frame-relay map IP 131.108.3.62 21 broadcast
frame-relay map DECNET 10.3 22 broadcast
frame-relay map NOVELL C09845 23 broadcast
FRF.12 UNI fragmente uniquement sur l'interface UNI et les trames sont FCS
rassembles l'entre du rseau.
FRF.12
End-to-End
Format de trame E-E
(bout en bout)
VFRAD Rseau Frame Relay VFRAD En-tte de fragmentation
V V En-tte Frame Relay
Les trames FRF.12 de bout en bout traversent le rseau sous forme de FCS
fragments qui sont rassembls au niveau du VFRAD (DTE).
dernier, tout en assurant la mme qualit voix. Le Tableau 6.2 prsente diffrents algorithmes de
compression, ainsi que leurs exigences en bande passante, extraites de la srie de spcifications G
de lUIT.
Afin de rduire au maximum les exigences en bande passante pour la parole, tout en prservant une
bonne qualit voix grce lutilisation de codeurs de parole et de codeurs hybrides, des algorithmes
de compression avance sont ncessaires. Pour pouvoir tre exploits, ces algorithmes ont besoin de
processeurs de signaux numriques (DSP, Digital Signal Processor). Un DSP est un microproces-
seur conu spcialement pour traiter les signaux numriques, tels ceux des applications de voix.
Des avances significatives dans la conception de ces microprocesseurs ont permis de dvelopper
des algorithmes de compression de la voix trs faibles dbits. Par exemple, le codeur hybride
G.729 de lUIT rduit considrablement la quantit dinformations ncessaires la compression et
la reproduction de la parole. Il parvient gnrer un flux de 8 Kbit/s, partir dun flux PCM initial
de 64 Kbit/s, ce qui donne un taux de compression 8:1. Dautres algorithmes, tel G.723 de lUIT,
offrent une compression qui atteint les 5,3 Kbit/s.
Au fur et mesure que les dbits disponibles passent de 64, 32, 16, puis 8 Kbit/s, voire en de,
les processeurs DSP et autres algorithmes de compression avance permettent dimplmenter la
compression de la voix des dbits de plus en plus faibles, sur des quipements qui supportent le
Frame Relay.
Coupleur Coupleur
2fils/4fils 2fils/4fils
Sens de la
rcption
Signal
rflchi
Sur des rseaux qui transportent la voix, les oprateurs utilisent des quipements qui supportent
lannulation dcho, appels annulateurs dcho (echo canceler), lorsque les dlais de transmission
de la voix sur des conversations de bout en bout viennent amplifier lcho. La Figure 6.16 indique
que lcho dpend des niveaux de dlai et de puissance.
Figure 6.16
Lcho dpend des niveaux
de dlai et de puissance. L'cho est imperceptible
Perte de puissance
du chemin d'cho
(Echo Path Loss)
(dB) L'cho reprsente un problme
Plus la distance parcourir est longue, plus le dlai est allong, par consquent, plus lcho
augmente. La voix transmise sur un rseau Frame Relay doit galement faire face des dlais de
propagation. Au fur et mesure que le dlai de bout en bout augmente, lcho devient perceptible
pour lutilisateur final sil nest pas annul (voir Figure 6.17).
A/E
+
Structure de
Filtre
l'annulateur
adaptatif
d'cho
classiques mettent en uvre une technique dans laquelle la voix est compresse un faible dbit.
Ds quun signal de fax est dtect, la bande passante est ralloue pour un dbit de 64 Kbit/s, afin
de pouvoir grer une transmission de fax plus rapide. Pour cela, un canal de 64 Kbit/s (qui supporte
fax groupe 3, 14,4 Kbit/s) est gnralement ncessaire. Si lquipement supporte le relais de fax,
le dbit demeure 14,4 Kbit/s tout le long du chemin de transmission.
Figure 6.18
Suppression de
silences par VAD.
- 31 dbm
Bande passante
conomise
Activit
Temporisateur
vocale Aucun trafic
Hang
(niveau de voix envoy
puissance)
Tampon SID
SID
- 54 dbm
Bruit aigu
Rsum
Ce chapitre a dcrit limplmentation de services de commutation de paquets. Nous avons trait des
sujets tels que la conception de rseaux hirarchiques, le choix dune topologie, ainsi que les
problmes de diffusion broadcast et de performances. Nous avons galement abord les aspects lis
la conception de rseaux Frame Relay et voix sur Frame Relay.
7
Conception de rseaux APPN
Larchitecture APPN (Advanced Peer-to-Peer Networking) est vue comme une version de seconde
gnration de larchitecture SNA (Systems Network Architecture) dIBM. Son objectif a t de faire
passer SNA, un environnement centralis autour dun hte, un environnement dhomologues, le
peer-to-peer. Elle apporte des fonctionnalits identiques celles des protocoles de rseaux locaux,
comme la dfinition dynamique des ressources ou la dcouverte ditinraires dacheminement du
trafic.
Ce chapitre tudie le dveloppement dun trac de rseau existant et la planification de projets de
migration vers APPN. Il traite des sujets suivants :
m volution de SNA ;
m intgration dAPPN ;
m utilisation dAPPN ou dautres mthodes de transport SNA ;
m prsentation dAPPN ;
m implmentation Cisco dAPPN ;
m problmes dvolutivit ;
m techniques de communication de secours sur un rseau APPN ;
m intgration dAPPN dans un environnement multiprotocole ;
m gestion de rseau ;
m exemples de configuration.
200 Partie I Architecture de rseaux
Bien que ce chapitre traite aussi de lexploitation dAPPN avec DLSw+, vous obtiendrez davantage
dinformations sur lemploi de DLSw+ en vous reportant au Chapitre 8.
Evolution de SNA
Introduit en 1974, le concept de sous-zone SNA a permis un mainframe excutant un dispositif
ACF/VTAM (Advanced Communications Function/Virtual Telecommunication Access Method)
dassurer le rle de hub du rseau. Le mainframe tait responsable de ltablissement de toutes les
sessions (une connexion entre deux ressources, travers laquelle les donnes pouvaient tre
envoyes), ainsi que de lactivation et de la dsactivation des ressources. Lobjectif des sous-zones
SNA tait de permettre la livraison fiable dinformations sur des lignes analogiques faible vitesse.
Les ressources taient clairement prdfinies, ce qui liminait le besoin de recourir la diffusion
broadcast et minimisait la surcharge lie la gestion den-ttes.
De nombreuses entreprises maintiennent aujourdhui deux rseaux : un rseau traditionnel hirar-
chique de sous-zones SNA et un rseau de plusieurs LAN interconnects, bas sur des protocoles
dynamiques sans connexion. Lavantage du rseau de sous-zones est quil est maniable et fournit un
temps de rponse prvisible. Linconvnient est quil ncessite une dfinition tendue de lorganisa-
tion du systme et ne tire pas profit des capacits dquipements plus intelligents, comme les PC et
les stations de travail.
Rle dAPPN
Les deux types de rseaux prcits, sous-zones SNA et LAN interconnects, ont pu tre intgrs au
moyen dAPPN, car ce protocole possde de nombreuses caractristiques propres aux rseaux LAN
et offre en mme temps les avantages de SNA. Ses principaux avantages sont :
m la possibilit dtablir des connexions entre homologues (peer-to-peer), ce qui permet un utili-
sateur final dinitier une connexion avec nimporte quel autre utilisateur final sans lintervention
du mainframe (VTAM) ;
m le support dapplications de sous-zones ainsi que de nouvelles applications peer-to-peer sur un
mme rseau ;
m la fourniture dun protocole de routage efficace pour permettre un trafic SNA natif de circuler
en mme temps que dautres protocoles sur un mme rseau ;
m la maintenance de la traditionnelle classe de service (CoS) SNA/priorit de transmission.
A mesure que SNA a volu, une fonctionnalit est reste cruciale pour bon nombre dutilisateurs :
la classe de service ou CoS (Class of Service). Elle permet une gestion de la priorit du trafic par
session SNA sur lpine dorsale. Cela permet en retour un utilisateur de bnficier de sessions
avec plusieurs applications, chacune avec une classe de service diffrente. Avec APPN, cette fonc-
tionnalit offre davantage de granularit et tend ses services jusquaux nuds dextrmit au lieu
de sarrter aux contrleurs de communication (FEP).
Chapitre 7 Conception de rseaux APPN 201
Figure 7.1 NN
Diffrents types NN NN
EN
de nuds APPN.
APPN
NN NN EN
EN
session entre points
de contrle (CP)
noeud LEN
EN = noeud d'extrmit
NN = noeud de rseau
LEN = noeud infrieur
Vous obtiendrez davantage dinformations sur APPN dans la section "Prsentation dAPPN" de ce
chapitre.
202 Partie I Architecture de rseaux
LEN (Low Entry Node*) Ce nud de niveau infrieur, antrieur APPN, est un nud de type homolo-
gue (peer-to-peer). Il peut participer sur un rseau APPN en utilisant les servi-
ces fournis par un nud de rseau adjacent (NN). Le point de contrle (CP) du
nud LEN gre les ressources locales, mais ntablit pas de session CP-CP
avec un nud adjacent. Les partenaires dune session doivent tre prdfinis au
niveau du nud LEN et celui-ci doit tre prdfini au niveau du nud de rseau
adjacent. Le nud LEN est galement appel nud SNA type 2.1, unit physi-
que (PU) type 2.1 ou PU2.1.
EN (End Node) Ce nud dextrmit contient un sous-ensemble de fonctionnalits APPN. Il
accde au rseau par lintermdiaire dun nud de rseau (NN) adjacent et en
utilise les services de routage. Il peut tablir une session CP-CP avec un nud
NN et utilise cette session pour enregistrer des informations de ressources,
rclamer des services dannuaire et demander des donnes de routage.
NN (Network Node) Ce nud englobe toutes les fonctionnalits APPN. Le point de contrle (CP)
sur un nud de rseau (NN) est responsable de la gestion des ressources de ce
nud, ainsi que des nuds dextrmit (EN) et de niveau infrieur (LEN) qui
sont relis son nud de rseau. Le CP tablit des sessions CP-CP avec des
nuds dextrmit et de rseau adjacents. Il maintient galement les informa-
tions sur la topologie du rseau et les bases de donnes dannuaire, qui sont
cres et mises jour grce une collecte dynamique de renseignements
auprs de ces nuds adjacents.
*NdT : On associe parfois dans la littrature la signification Local Entry Networking Node ce sigle.
Pour que les dcisions de routage soient possibles (par exemple, choisir un centre de donnes ou un
itinraire), APPN doit tre implment. La Figure 7.2 prsente les critres sur lesquels se fonder
pour savoir si APPN doit tre utilis ou non sur un rseau.
Figure 7.2
Choix du niveau
dintgration dAPPN.
Centres de
donnes
Token Token
Ring Ring
Epine dorsale
Succursales
A la Figure 7.2, un seul lien connecte chaque succursale lpine dorsale. Par consquent, aucune
dcision de routage nest ncessaire leur niveau et un nud de rseau APPN nest donc pas utile
sur ces sites.
Comme il y a nanmoins deux centres de donnes, une dcision de routage doit pouvoir tre prise
pour dterminer vers quel centre diriger le trafic. Cette dcision peut avoir lieu au niveau des routeurs
des centres de donnes ou de ceux de lpine dorsale. Si vous souhaitez que le routage soit dcid au
niveau des centres, tout le trafic doit tre expdi vers un seul dentre eux, via DLSw+ par exemple,
pour tre ensuite rout vers le centre appropri, et ce en utilisant APPN uniquement au niveau des
routeurs du centre voulu. Si, en revanche, vous voulez que les dcisions dacheminement aient lieu
au niveau des routeurs de lpine dorsale, placez les nuds APPN sur ces derniers. Les dcisions
ditinraire seront alors effectues en dehors des centres de donnes. Dans cet exemple, la seconde
option est prfrable, car elle permet de limiter la fonction des routeurs de centre de donnes la
connexion avec le canal, de rduire le nombre de sauts vers le second centre de donnes et de fournir
un chemin vers un centre de secours en cas de sinistre.
Comme APPN ncessite davantage de ressources mmoire et logicielles, cette solution est gnrale-
ment plus coteuse. Les avantages du routage direct APPN et de la classe de service compensent
toutefois souvent les frais supplmentaires engags. Dans notre exemple, les cots impliqus dans
une solution de routage APPN au niveau de lpine dorsale ou des centres de donnes seraient justi-
fis, alors quils ne le seraient pas pour une stratgie de routage au niveau des succursales.
204 Partie I Architecture de rseaux
Figure 7.3
Exemple de rseau sur
lequel un routage de
Centres de
trafic inter-succursales donnes
est ncessaire.
Token Token
Ring Ring
Epine dorsale
Succursales
Comme vous lapprendrez plus loin, il vaut mieux maintenir un nombre de nuds de rseau aussi
faible que possible pour des questions dvolutivit. Savoir discerner quand le routage natif et la classe
de service sont ncessaires est essentiel pour pouvoir minimiser le nombre de nuds de rseau.
En rsum, pour dterminer les points dimplmentation dAPPN, il faut valuer certains critres
comme le cot, lvolution possible et les endroits o le routage natif et la classe de service sont
requis. Intgrer APPN sur lensemble du rseau pourrait sembler tre la solution vidente, mme si
cela ntait pas ncessaire. Il faut bien comprendre quun tel dploiement serait probablement plus
coteux par rapport ce que les besoins rels entraneraient et pourrait ventuellement, dans le
futur, tre une source dobstacles lvolution du rseau. En consquence, installez APPN l o ses
fonctionnalits sont rellement requises.
Le protocole DLSw+ permet dencapsuler SNA en plaant lintgralit du message APPN dans le
champ "donnes" du message TCP/IP. Les 40 octets supplmentaires den-tte associs TCP/IP
provoquent bien quelques inquitudes. Toutefois, comme Cisco offre dautres solutions telles que
Data Link Switching Lite, Fast Sequenced Transport (FST) et Direct Transport, qui utilisent des
en-ttes plus courts, cette partie du message ne sera pas considre comme problmatique dans le
cadre de notre discussion.
DSLw+ est une solution intressante pour les rseaux sur lesquels les stations et le centre de
donnes sont implments avec SNA, mais o lpine dorsale exploite TCP/IP. Cela permet davoir
un seul protocole sur toute lpine dorsale, tout en maintenant laccs toutes les applications SNA.
DLSw+ ne fournit ni routage APPN natif, ni classe de service. Par consquent, il est prfrable
demployer DLSw+ sur des rseaux pour lesquels le cot est un facteur essentiel et possdant les
caractristiques suivantes :
m un seul centre de donnes ou mainframe ;
m des liens uniques partir des succursales.
En gnral, DLSw+ offre une solution de moindre cot, qui ncessite moins de mmoire et de logi-
ciels. Dans la grande majorit des rseaux, DLSw+ est combin avec APPN, et ce dernier est utilis
uniquement l o les dcisions de routage sont cruciales. Avec lencapsulation TCP/IP, la couche
TCP fournit une livraison aussi fiable que SNA/APPN, sans le routage natif et la classe de service.
TN3270 transporte les flots de donnes 3270 lintrieur dun paquet TCP/IP sans les en-ttes SNA.
Par consquent, cette solution suppose que la station terminale ne dispose que dune pile de protoco-
les TCP/IP et daucune pile SNA. TN3270 nest donc pas une solution de remplacement APPN, car
celui-ci requiert que la station destinataire possde une pile SNA. A linstar de DLSw+, APPN peut
tre utile sur le rseau pour assurer le routage entre des serveurs TN3270 et plusieurs mainframes ou
centres de donnes.
En rsum, APPN sera frquemment utilis avec DLSW+ sur des rseaux lorsquun seul protocole
est accept sur lpine dorsale. La solution BAN/BNN fournit une connectivit directe vers le FEP,
mais il lui manque les fonctionnalits des autres solutions. TN3270 nest utilis que pour les
stations finales TCP/IP.
Prsentation dAPPN
Cette section introduit larchitecture dAPPN et traite des sujets suivants :
m dfinition de nuds ;
m tablissement de sessions APPN ;
m comprhension du routage de session intermdiaire ;
m utilisation de DLUR/DLUS (Dependant Logical Unit Requester/Server).
Dfinition de nuds
Les nuds, comme ACF/VTAM, OS/400 et Communication Server/2 (CS/2), peuvent tre dfinis
en tant que nud de rseau (NN) ou nud dextrmit (EN). Si vous devez faire un choix, aidez-
vous des points suivants :
Chapitre 7 Conception de rseaux APPN 207
m Taille du rseau. Dterminez la taille du rseau. La conception de rseaux APPN tendus peut
parfois tre une source dobstacles pour une volution future. Rduire le nombre de nuds de
rseau pourra apporter une solution ce problme. Pour plus dinformations sur la rduction du
nombre de nuds de rseau, voyez la section "Rduction du nombre de nuds de rseau"de ce
chapitre.
m Rle du nud. Interrogez-vous sur les fonctions du nud, savoir sil doit assurer des fonctions
de routage en mme temps que de traitement dapplications. Des nuds de rseau distincts
contribuent une rduction des cycles de traitement et des exigences en termes de mmoire sur
un contrleur dapplications.
Gnralement, vous devez dfinir un nud de rseau partout o une dcision de routage doit tre
prise.
5. Le nud EN source est alors responsable de linitiation de la session. Un message BIND est
envoy du nud EN source vers le nud EN de destination, en demandant une session. Le desti-
nataire rpond au message BIND et le trafic de la session peut commencer circuler.
NN 1 NN 4
EN A EN B
Cet algorithme de routage est appel ISR (Intermediate Session Routing). Il offre un support pour la
dfinition de route et incorpore les fonctionnalits traditionnelles suivantes :
m Traitement derreur et contrle du flux aux nuds dextrmit. Cette fonction reflte la
mthode de commutation de paquets des annes 70, qui provoquait de nombreuses erreurs de
ligne, imposant de ce fait le contrle derreur et de flux sur chaque nud. Etant donn la haute
qualit des services numriques qui existent actuellement en de nombreux endroits, ce traitement
redondant se rvle inutile et rduit de faon significative le dbit entre les nuds dextrmit
dune communication. Le traitement de bout en bout fournit de meilleures performances tout en
assurant le degr de fiabilit ncessaire.
m Interruption de commutation de session en cas de panne de rseau. Lorsquune liaison est
interrompue sur le rseau, toutes les sessions qui lutilisent le sont aussi et doivent tre rinitia-
lises pour pouvoir emprunter un autre chemin.
Comme ces fonctionnalits sont aujourdhui inacceptables sur la plupart des rseaux grande
vitesse, un nouvel algorithme de routage, HPR (High Performance Routing), a t ajout APPN
afin de supporter le reroutage sans interruption pour contourner les pannes, ainsi que le contrle
derreur, le contrle de flux et la segmentation de bout en bout. Les routeurs Cisco grent ISR et
HPR.
Chapitre 7 Conception de rseaux APPN 209
Figure 7.5
Traitement de session DLU.
Hte
VTAM notifie l'hte
d'applications
d'applications
DLUS
Etablissement
de session :
"Tubes" LU 6.2 Rseau APPN
Donnes
de session
DLUR
Donnes de session
"Tubes" LU 6.2
Units LU
dpendantes
210 Partie I Architecture de rseaux
Problmes dvolutivit
En tant quarchitecture dtat des liens dun rseau, la topologie est mise jour chaque fois que des
changements ont lieu. Il en rsulte un trafic de rseau considrable en cas dinstabilit et une
consommation importante des ressources mmoire et des cycles de traitement en vue de maintenir
les grandes bases de donnes topologiques et les tables CoS. De la mme manire, la dcouverte
dynamique des ressources sur les rseaux tendus peut aussi tre consommatrice en bande passante
et en ressources de traitement. Pour toutes ces raisons, lvolutivit devient un problme mesure
que la taille du rseau augmente. Les facteurs suivants influent sur la charge des nuds :
m quantit du trafic ;
m stabilit du rseau ;
m nombre de techniques (dcrites dans cette section) utilises pour contrler le trafic et le traitement.
Fondamentalement, pour permettre aux rseaux APPN de stendre, la conception doit se focaliser
sur la rduction du nombre des mises jour de bases de donnes topologiques (TDU, Topology
Database Update) et des requtes de recherche LOCATE.
Chapitre 7 Conception de rseaux APPN 211
EN1
CIP
NN1
EN2
NN2
NN3
Les htes des nuds NNS (Network Node Server), EN1 et EN2 sont connects au mme rseau
local FDDI via un routeur CIP ou un contrleur de cluster. Ces nuds sur le rseau FDDI sont relis
par une connectivit any-to-any. Pour reflter cette connectivit avec APPN, le nud NN1 doit dfi-
nir une liaison vers les nuds NN2, NN3, NNS (hte VTAM), EN1 (hte de donnes VTAM) et
EN2 (hte de donnes EN). Les groupes de transmission interconnectant les nuds de rseau sont
contenus dans la base de donnes de topologie du rseau. Des paquets TDU sont diffuss pour
chaque liaison qui est dfinie vers le nud de rseau.
La Figure 7.7 illustre la vue logique du rseau APPN prsent la Figure 7.6. Lorsque le nud
NN1 rejoint le rseau pour la premire fois, il active les liaisons vers NN2, NN3, NNS, EN1 et
EN2. Des sessions CP-CP sont tablies avec les nuds de rseau adjacents. Chaque nud de rseau
adjacent envoie une copie de la base de donnes de topologie actuelle NN1.
Figure 7.7
Vue logique dun rseau NNS
APPN sans dploiement
dun rseau de connexions. NN1 EN1
NN2 EN2
NN3
Chapitre 7 Conception de rseaux APPN 213
De la mme manire, ce dernier cre un paquet TDU avec des informations le concernant ainsi que
ses liens avec les autres nuds et lenvoie vers les nuds NN2, NN3 et NNS par lintermdiaire des
sessions CP-CP. Lorsque NN2 reoit le TDU de NN1, il le retransmet vers ses nuds de rseau
adjacents, qui sont NN3 et NNS. Selon le mme processus, ces derniers renvoient le TDU de NN1
vers leurs nuds adjacents. Le rsultat est que plusieurs copies du mme TDU sont reues par
chaque nud du rseau.
Les groupes de transmission qui interconnectent les nuds dextrmit ne sont pas contenus dans la
base de donnes de topologie du rseau. En consquence, aucun paquet TDU nest diffus pour les
deux liaisons vers les nuds EN1 et EN2.
Si le nombre de groupes de transmission reliant les nuds de rseau pouvait tre rduit, celui des
paquets TDU le serait galement. En utilisant le concept de rseau de connexions, vous pouvez
liminer les dfinitions de groupes de transmission et, par consquent, limiter le trafic de paquets
TDU. Un rseau de connexions est un nud de routage virtuel unique (VRN, Virtual Routing Node)
qui assure une connectivit any-to-any pour chacun de ses nuds connects. Le VRN nest pas un
nud physique, mais une entit logique qui indique que les nuds utilisent un rseau de
connexions et quun itinraire de routage direct peut tre choisi.
Figure 7.8
Vue logique dun rseau NNS
APPN avec dploiement
dun rseau de connexions. EN1
NN1
VRN
EN2
NN2 NN3
Les nuds NN1, NN2 et NN3 possdent chacun une liaison vers le serveur nud de rseau (NNS)
et une liaison vers le VRN. Lorsque la liaison entre NN1 et NNS est active, NNS envoie une copie
de la base de donnes de topologie actuelle vers NN1. Ce dernier cre un TDU avec des renseigne-
ments le concernant et concernant ses liens vers NNS et le VRN, puis lenvoie vers NNS. Comme
NN1 ne possde pas de liaison dfinie vers NN2 et NN3, il ne leur envoie aucun paquet TDU. Lors-
que NNS reoit le TDU de NN1, il lenvoie vers NN2 et NN3 qui ne le retransmettent pas, car ils
possdent seulement une liaison vers NNS. Cette configuration rduit de faon considrable le
nombre de paquets TDU qui circulent sur le rseau.
Lorsquune session est active entre des ressources situes sur le rseau de connexions, le serveur
nud de rseau reconnat quil sagit dun rseau de connexions et slectionne un chemin direct au
lieu deffectuer un routage au moyen de ses propres nuds de rseau. Cisco recommande de mettre
en uvre le concept de rseau de connexions lorsque cela est possible, car il permet non seulement
de diminuer le nombre de TDU transitant sur le rseau, mais aussi de rduire grandement les dfini-
tions de systme.
214 Partie I Architecture de rseaux
Comme illustr par lexemple, un LAN (Ethernet, Token Ring ou FDDI) peut tre dfini en tant que
rseau de connexions. Grce aux services LANE (LAN Emulation, mulation LAN) dATM, vous
pouvez interconnecter des rseaux ATM avec des rseaux locaux traditionnels. Pour APPN, comme
un LAN mul via ATM nest rien dautre quun LAN de plus, le concept de rseau de connexions
peut tre appliqu. Ce concept est aussi exploitable sur les rseaux X.25, Frame Relay et ATM. Il
faut galement noter que des technologies comme RSRB et DLSw sont vues comme des LAN pour
APPN. Vous pouvez donc utiliser un rseau de connexions dans ces environnements. Lutilisation
combine dAPPN et des technologies RSRB et DLSw offre une synergie entre le routage et le
pontage du trafic SNA.
sessions CP-CP
NN5
Si la liaison est interrompue entre NN1 et NN2, des mises jour par TDU sont diffuses de NN2
vers NN3, NN4 et NN5. Lorsque NN3 reoit le TDU, il le renvoie vers NN4 et NN5. De la mme
manire, lorsque NN5 le reoit, il le retransmet vers NN3 et NN4. Cela signifie que NN4 recueille
trois fois les mmes renseignements. Vous devriez maintenir un nombre minimal de sessions CP-CP
pour ne pas provoquer de duplication des informations de TDU.
A la Figure 7.10, des sessions CP-CP nexistent quentre NN2 et NN3, NN2 et NN4, et NN2 et
NN5. Il ny a aucune autre session CP-CP. Si la liaison est interrompue entre NN1 et NN2, ce
Chapitre 7 Conception de rseaux APPN 215
dernier diffuse des mises jour de groupe de transmission vers NN3, NN4 et NN5. Aucun de ces
trois nuds ne retransmet ces informations au reste du rseau, car il nexiste pas dautre session
CP-CP. Bien que cette disposition permette de rduire le nombre de TDU, si la liaison entre NN2 et
NN3 est interrompue, le rseau APPN se retrouve divis et le nud NN3 est isol.
sessions CP-CP
NN5
La Figure 7.11 illustre une conception plus efficace qui fournit galement une redondance. Chaque
nud de rseau possde des sessions CP-CP avec ses deux nuds adjacents. NN2 possde des
sessions CP-CP avec NN3 et NN5. Si la liaison entre NN2 et NN3 est interrompue, les TDU de
mises jour seront envoys via NN5 et NN4.
NN5
sessions CP-CP
A des fins de redondance, chaque nud de rseau devrait disposer, si possible, de sessions CP-CP
vers deux autres nuds.
216 Partie I Architecture de rseaux
Figure 7.12 NN
APPN avec DLSw+. EN
EN
DLSw+ DLSw+
Token Token
Ring Ring
EN
VTAM agit en tant que serveur nud de rseau pour plusieurs stations nuds dextrmit. Sil
existe plusieurs VTAM ou centres de donnes sur un rseau, limplmentation dAPPN sur le
Chapitre 7 Conception de rseaux APPN 217
routeur (ou les routeurs) connect via un canal lhte ou sur les autres routeurs dans le centre de
donnes peut permettre de dcharger VTAM en offrant des fonctionnalits de routage SNA, comme
illustr la Figure 7.13.
Figure 7.13 EN
APPN avec DLSw+ et
lutilisation dun routeur
connect lhte via NN
un canal.
Token
Ring
EN
Token
Ring
DLSw+ DLSw+ EN
DLSw+ permet aussi un routage sans interruption en cas de panne sur le rseau tendu. Lutiliser
comme systme de transport rduit le nombre de nuds sur le rseau. Un inconvnient est que les
stations nuds dextrmit ncessitent des connexions WAN pour accder aux services du NNS.
Un autre inconvnient est que, sans APPN sur les routeurs, la priorit de transmission APPN est
perdue lorsque le trafic arrive sur le rseau DLSw+.
Pour plus dinformations sur DLSw et DLSw+, reportez-vous au Chapitre 8.
impact peut varier dun rseau un autre. Elle identifie certaines des causes qui sont lorigine
dun nombre excessif de requtes LOCATE et prsente quatre techniques permettant dy remdier :
m stockage scuris de cache dannuaire ;
m entres dannuaire partielles ;
m serveur et client dannuaire central ;
m enregistrement central de ressources.
Un nud de rseau APPN autorise une localisation dynamique des ressources du rseau. Chaque
nud maintient dynamiquement des informations de ressources dans sa propre base de donnes
dannuaire. La base de donnes dannuaire distribue contient une liste de toutes les ressources du
rseau. La requte de localisation LOCATE permet un nud de rseau deffectuer une recherche
dans la base de donnes dannuaire de tous les autres nuds de rseau.
Lorsquune ressource nud dextrmit demande ltablissement dune session avec une autre
ressource dont elle na pas connaissance, elle utilise les capacits de recherche de son serveur nud
de rseau pour localiser la ressource cible. Si le nud de rseau ne possde aucune information sur
la cible, il transmet une requte de localisation LOCATE tous les nuds de rseau qui lui sont
adjacents en leur demandant daider le serveur nud de rseau identifier la ressource. Ces nuds
propagent leur tour des requtes de recherche vers leurs nuds contigus. Ce processus de recher-
che est appel recherche par broadcast.
Bien quil existe plusieurs mcanismes visant rduire la quantit de recherches par diffusion
(comme lenregistrement ou la mise en cache de ressources), il peut nanmoins subsister une quan-
tit excessive de flots de requtes de localisation sur un rseau, en raison de ressources qui nexistent
plus, dune combinaison de rseaux de sous-zones et de rseaux APPN, ou bien de ressources indis-
ponibles temporairement.
Lexemple prcdent dfinit lemplacement dune LU nomme CISCO.LU21, qui est situe au
niveau du nud dextrmit ou du nud de rseau CISCO.CP2. Cette commande amliore les
performances du rseau en offrant la possibilit deffectuer des recherches diriges au lieu de
recourir une diffusion broadcast. Linconvnient est quil faut crer des dfinitions. Pour contour-
ner ce problme, il est possible dutiliser des noms partiellement spcifis pour dfinir plusieurs
ressources.
Voici un exemple de configuration :
appn partner-lu-location CISCO.LU
owning-cp CISCO.CP2
wildcard
complete
Lexemple prcdent dfinit lemplacement de toutes les units LU comprenant un prfixe LU.
Lobservation dune convention dattribution de noms est videmment essentielle la russite de ce
type de dfinition de nud.
Ligne de secours
La premire technique de secours que vous pouvez utiliser sur un rseau APPN est lutilisation
dune liaison WAN secondaire en tant que solution de secours pour une liaison WAN principale.
Grce au concept dauto-activation la demande, vous pouvez assurer le soutien dune liaison prin-
cipale au moyen de nimporte quel protocole support par exemple, PPP (Point-to-Point Protocol),
SMDS (Switched Multimegabit Data Service), ou X.25 comme illustr la Figure 7.14.
Figure 7.14
Ligne de secours.
NNB
Liaison
Liaison
Frame
secondaire
Relay
PPP/RNIS
principale
NNA
A la Figure 7.14, la liaison Frame Relay reprsente la liaison principale et la liaison RNIS repr-
sente la ligne de secours. La liaison RNIS doit tre en mesure de fournir un soutien instantan de la
liaison principale, mais doit demeurer inactive jusqu ce que cette dernire soit dfaillante. Aucune
intervention manuelle nest ncessaire. Pour supporter cela, NNA doit dfinir deux groupes de
transmission parallles vers NNB.
Chapitre 7 Conception de rseaux APPN 221
Dans ce cas, la liaison principale bnficiera dun cot ditinraire infrieur, car la valeur par dfaut
pour le paramtre est zro. Elle reprsentera donc un chemin prfrable par rapport la liaison
secondaire. Lors du rtablissement de la liaison principale, aucun mcanisme ne permet de rtablir
automatiquement les sessions sur cette liaison. Une intervention manuelle est ncessaire.
Redondance totale
La seconde technique de secours que vous pouvez utiliser sur un rseau APPN est lemploi de
liaisons WAN doubles et de routeurs doubles afin dobtenir une redondance complte. Dans certai-
nes situations, une tolrance aux pannes totale est requise pour le transport de donnes cruciales.
Une telle configuration permettra de parer tous types de pannes de communication.
La Figure 7.15 illustre de quelle faon vous pouvez utiliser des adresses MAC virtuelles dupliques
via RSRB afin doffrir une redondance totale et un quilibrage de charge.
222 Partie I Architecture de rseaux
Figure 7.15
Redondance totale. NNA NNB
NNC NND
Token
Ring Anneau 100
Les deux nuds NNC et NND dfinissent un port RSRB avec la mme adresse virtuelle MAC.
Chaque station dfinira ladresse MAC virtuelle RSRB comme adresse MAC de destination pour le
serveur nud de rseau. Une station peut donc en pratique utiliser NNC ou NND comme serveur
Chapitre 7 Conception de rseaux APPN 223
nud de rseau, selon le nud qui rpondra en premier au paquet dexploration. La route vers NNC
comprend les informations suivantes :
Ring 100 -> Bridge 1 -> Ring 200 -> Bridge 2 -> Ring 50
Lorsque NND tombe en panne, les sessions auxquelles il participe peuvent tre rtablies instantan-
ment sur NNC. Ce processus est analogue au support du coupleur dinterface Token Ring (TIC,
Token Ring Interface Coupler) dupliqu sur le FEP, except quaucun quipement matriel nest
requis. Dans limplmentation RSRB de Cisco (voir Figure 7.15), le segment 20 et le pont 1 ainsi
que le segment 30 et le pont 2 sont virtuels. Ladressage MAC dupliqu peut tre support sans
recourir au matriel en place.
VTAMC APPL
Cisco fournit aux entreprises de nombreuses solutions de connexion de rseaux en permettant ces
deux types de trafic, de caractristiques diffrentes, de coexister et de partager une mme bande
passante, tout en assurant une protection des donnes SNA critiques par rapport aux donnes client/
serveur qui sont moins sensibles aux dlais de livraison. Cette gestion est ralise par linterm-
diaire de mcanismes de mise en file dattente de priorit ou de rservation de bande passante.
La mise en file dattente de priorit de sortie dinterface fournit une mthode permettant de grer la
priorit des paquets transmis par rapport aux interfaces. Les quatre files dattente possibles asso-
cies cette gestion sont : haute priorit, priorit moyenne, priorit normale et basse priorit,
comme illustr Figure 7.17. Les niveaux de priorit peuvent tre accords selon le type de proto-
cole, linterface, ladresse SDLC, etc.
Trafic
divers
D D D Basse
A la Figure 7.18, le trafic SNA, TCP/IP, NetBIOS et dautres donnes diverses se partagent le
mdia. Le trafic SNA est prioritaire sur tous les autres trafics, suivi par celui de TCP/IP, de NetBIOS
et finalement celui de divers autres protocoles. Il nexiste aucun algorithme de calcul danciennet
des donnes associ ce type de gestion de file dattente. Les paquets placs dans la file dattente de
haute priorit sont toujours traits avant ceux de la file de moyenne priorit, qui sont eux-mmes
servis avant ceux de la file de priorit normale, etc.
La gestion de priorit introduit nanmoins un problme dquit en ce sens que les paquets classs
dans les files dattente de faible priorit peuvent ne pas tre servis temps, ou ne pas tre traits du
tout. La gestion de file dattente personnalise a t prvue pour pallier ce problme, car elle offre
une meilleure granularit. En fait, elle est couramment utilise dans les environnements de rseaux
supportant plusieurs protocoles de couches suprieures. Cette gestion de file dattente peut rserver
de la bande passante pour un protocole spcifique, ce qui permet de garantir un trafic transportant
des donnes critiques une quantit minimale de bande passante nimporte quel moment.
Le but est de rserver de la bande passante pour des types de trafic particuliers. Par exemple, la
Figure 7.18, SNA dispose de 40 % de la bande passante, TCP/IP de 20 %, NetBIOS de 20 % et
lensemble des protocoles restants de 20 %. Le protocole APPN intgre un concept de classe de
service (CoS, Class of Service) pour dterminer le degr de priorit de chaque message. Il en dfinit
la priorit avant de lenvoyer sur la file dattente de transmission DLC.
Chapitre 7 Conception de rseaux APPN 227
Figure 7.18 H
Exemple de file F
dattente
personnalise.
R H M F
M
H
R = Priorit du rseau
H = Priorit haute
M = Priorit moyenne
F = Priorit faible
S = Trafic SNA
S S S S 40%
Trafic A A
APPN
Trafic T T 20% D N A T S S
TCP/IP
Trafic N N 20%
NetBIOS
Trafic D D D 20%
divers
La mise en file dattente personnalise permet de dfinir la priorit dun trafic multiprotocole et
autorise un maximum de 16 files dattente. Chaque file est servie de faon squentielle jusqu ce
que le nombre doctets envoys dpasse le compte doctets configurable ou que la file soit vide. Un
aspect important de cette fonctionnalit est la rallocation de la bande passante restante en cas de
non-utilisation. Par exemple, si SNA nexploite que 20 % de la quantit qui lui a t octroye, les
autres protocoles peuvent alors se partager les 20 % restants.
Cette fonctionnalit est prvue pour des environnements dans lesquels un niveau de service mini-
mal doit tre assur pour chaque protocole. Dans les environnements multiprotocoles actuels, elle
permet des protocoles possdant des caractristiques diffrentes de partager le mme mdia. Pour
une prsentation dautres types de gestion de files dattente permettant plusieurs protocoles de
cohabiter sur un mme routeur, revoyez le Chapitre 2.
228 Partie I Architecture de rseaux
La mmoire qui est ddie APPN nest pas disponible pour dautres traitements. Utilisez donc
cette commande avec prudence.
Bien que la mmoire dtermine des facteurs comme le nombre de sessions pouvant tre supportes
par APPN, la mmoire tampon est ncessaire pour rguler le trafic chang avec le routeur. Pour
garantir quAPPN dispose de suffisamment de mmoire tampon pour pouvoir supporter les flots de
trafic, vous pouvez dfinir le pourcentage qui lui sera rserv. Cela lempchera de monopoliser la
mmoire tampon disponible sur le routeur.
Voici un exemple de commande de configuration :
appn control-point CISCONET.EARTH
buffer-percent 60
complete
Le protocole APPN emploie un algorithme de gestion par statistiques pour contrler lutilisation du
tampon. Lorsque la mmoire tampon est limite, il utilise divers mcanismes de contrle de flux
pour se protger de situations svres de congestion ou de blocage (deadlock) qui pourraient tre
provoques par un espace tampon insuffisant.
Gestion de rseau
A mesure que les rseaux augmentent en taille et en complexit, de nombreuses mthodes apparais-
sent pour permettre aux entreprises de grer leur rseau. Le Tableau 7.2 rsume les produits de
gestion de rseau proposs par Cisco.
Chapitre 7 Conception de rseaux APPN 229
Tableau 7.2 : Outils de gestion de rseau disponibles pour des rseaux APPN
Application Description
Commandes daffichage Sur les rseaux APPN, la comprhension de la topologie et de ltat des res-
sources du rseau relve du dfi. Les commandes daffichage tirent profit du
fait que tous les nuds de rseau ou de sous-rseau disposent dune base de
donnes complte de la topologie du rseau. Un seul nud de rseau suffit
obtenir une vue du sous-rseau APPN ; peu importe le nud choisi. Afin
dobtenir des informations plus dtailles, par exemple sur les nuds dextr-
mit (EN), les nuds de niveau infrieur (LEN), les ports locaux ou les stations
connectes, dautres nuds de rseau doivent tre interrogs. Le routeur Cisco
supporte RFC1593, APPN, MIB, qui sont utiliss par le routeur IBM 6611.
Aussi peut-il tre utilis comme agent pour les applications APPN SNMP. La
plupart des nuds APPN peuvent afficher une grande partie de ces informa-
tions sous forme tabulaire. Sur le routeur Cisco, la commande show appn topo
affiche la base donne de topologie sous forme dun tableau. La commande
show appn? rpertorie toutes les options disponibles.
Cisco Works Blue Maps Une application Cisco Works, qui affiche les cartes logiques des rseaux
APPN, RSRB et DLSw+. Elle sexcute sur les systmes dexploitation HP/
UX, SunOS et AIX. La carte APPN est un gestionnaire pour les agents APPN
SNMP qui permet dafficher un rseau APPN. Lapplication ne peut grer
quun seul agent de topologie de rseau. Sil existe plusieurs sous-rseaux, elle
peut tre dmarre plusieurs fois.
NSP Sous SNA, une session entre un SSCP et une PU est appele une session
(Native Service Point) SSCP-PU. Les SSCP utilisent ces sessions pour envoyer des requtes et rece-
voir des informations dtat de la part de nuds individuels. Ces informations
sont ensuite utilises pour contrler la configuration du rseau. Un point de ser-
vice NSP sur le routeur peut tre utilis pour envoyer des alertes et rpondre
aux questions de NetView sur le mainframe. Un point de service permet cette
application dtablir une session vers un routeur laide des applications Cisco
qui sexcutent sur NetView. Ces applications provoquent lenvoi des comman-
des vers le routeur, auxquelles celui-ci rpond. Ce processus nest actuellement
support que sur une session SSCP-PU, mais la fonctionnalit DLUR peut tre
utilise pour accomplir cela sur un rseau APPN.
Alertes et interceptions NetView reprsente la destination principale des alertes. Lapplication peut
recevoir des alertes de la part dAPPN ainsi que sur une session SSCP-PU utili-
se par NSP. Le routeur Cisco peut mettre des alertes sur chaque session.
A lpoque de la rdaction de cet ouvrage, deux sessions taient requises : une
pour les alertes APPN uniquement, et une seconde pour les autres alertes. La
nouvelle MIB APPN permet aux alertes APPN dtre envoyes en tant quinter-
ceptions galement, avec lidentifiant dalerte et la ressource concerne inclus
dans linterception. Pour envoyer des alertes vers NetView, la commande sui-
vante doit tre entre au niveau de NetView : FOCALPT CHANGE,
FPCAT=ALERT, TARGET=NETA.ROUTER.
230 Partie I Architecture de rseaux
Exemples de configuration
Cette section fournit des exemples de configuration de rseau APPN :
m rseau APPN simple ;
m rseau APPN avec stations terminales ;
m APPN sur DLSw+.
Vous trouverez galement des exemples de lutilisation dAPPN lors de la conception dun rseau :
m migration de sous-zone vers APPN ;
m APPN/CIP dans un environnement Sysplex ;
m APPN avec FRAS BNN.
Comme le montrent les exemples suivants, la configuration minimale dun nud APPN inclut une
instruction de point de contrle APPN pour le nud et une instruction de port pour chaque interface.
PPP
S0 CISCONET.ROUTERC
F0 F0
CISCONET.ROUTERA Routeur A Anneau FDDI Routeur C
A0
A0
Routeur D
CISCONET.ROUTERD
Chapitre 7 Conception de rseaux APPN 231
Exemples de configuration
Cette section fournit des exemples de configuration pour chacun des quatre nuds de rseau
(routeurs A, B, C et D) illustrs Figure 7.19.
Configuration du routeur A
Dans cet exemple de configuration, notez que toutes les stations de liaison sont dfinies sur le
routeur A (commande appn link-station) et dcouvertes dynamiquement par les autres routeurs.
Une station de liaison connecte deux ressources et doit tre dfinie avec ladresse de destination sur
lune des ressources :
!
hostname routera
!
interface Serial0
ip address 10.11.1.1 255.255.255.0
encapsulation ppp
no keepalive
no fair-queue
clockrate 4000000
!
interface Fddi0
no ip address
no keepalive
!
interface ATM0
no ip address
atm clock INTERNAL
atm pvc 1 1 32 aal5nlpid
!
appn control-point CISCONET.ROUTERA
complete
!
appn port PPP Serial0
complete
!
appn port FDDI Fddi0
desired-max-send-btu-size 3849
max-rcv-btu-size 3849
complete
!
appn port ATM ATM0
complete
!
appn link-station LINKTOB
port PPP
complete
!
appn link-station LINKTOC
port FDDI
lan-dest-address 0000.6f85.a8a5
no connect-at-startup
retry-limit infinite 5
complete
!
appn link-station LINKTOD
port ATM
atm-dest-address 1
232 Partie I Architecture de rseaux
no connect-at-startup
retry-limit infinite 5
complete
!
Configuration du routeur B
Voici un exemple de configuration pour le routeur B de la Figure 7.19 :
!
hostname routerb
!
interface Serial1
ip address 10.11.1.2 255.255.255.0
encapsulation ppp
no keepalive
no fair-queue
!
appn control-point CISCONET.ROUTERB
complete
!
appn port PPP Serial1
complete
!
appn routing
!
end
Configuration du routeur C
Voici un exemple de configuration pour le routeur C de la Figure 7.19 :
!
hostname routerc
!
interface Fddi0
no ip address
no keepalive
!
appn control-point CISCONET.ROUTERC
complete
!
appn port FDDI Fddi0
desired-max-send-btu-size 3849
max-rcv-btu-size 3849
complete
!
appn routing
!
end
Configuration du routeur D
Voici un exemple de configuration pour le routeur D de la Figure 7.19 :
!
hostname routerd
!
interface ATM0
ip address 100.39.15.3 255.255.255.0
atm pvc 1 1 32 aal5nlpid
Chapitre 7 Conception de rseaux APPN 233
!
appn control-point CISCONET.ROUTERD
complete
!
appn port ATM ATM0
complete
!
appn routing
!
end
Figure 7.20 NN
Exemple de rseau APPN CISCONET.NNVTAMA
avec des stations terminales.
Token
Ring
EN AS/400
T0
CISCONET.ENA400B
CISCONET.RouteurA
Routeur A
SDLC
S0
S1
S0 T0 Token
Frame Relay Routeur B Ring
CISCONET.RouteurB
S0
EN
CISCONET.RouteurC
Routeur C
T0 CISCONET.ENCM2B
Token
Ring
EN CISCONET.ENCM2C
234 Partie I Architecture de rseaux
Exemples de configuration
Cette section prsente des exemples de configuration pour les routeurs A, B et C illustrs Figure 7.20.
Configuration du routeur A
Voici un exemple de configuration pour le routeur A de la Figure 7.20, qui est responsable de
linitiation de la connexion APPN vers lhte VTAM :
hostname routera
!
interface TokenRing0
no ip address
mac-address 4000.1000.1000
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 35
!
appn control-point CISCONET.ROUTERA
complete
!
appn port FR0 Serial0
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station TOVTAM
port TR0
lan-dest-address 4000.3745.0000
complete
!
end
Configuration du routeur B
Voici un exemple de configuration pour le routeur B illustr Figure 7.20. Sur le site distant, il initie
la connexion APPN vers le routeur A sur le centre de donnes et le nud dextrmit EN AS/400.
Comme aucune station de liaison nest dfinie sur le routeur B pour CISCONET.ENCM2B, il faut
en dfinir une pour le routeur B sur ENCM2B :
!hostname routerb
!
interface TokenRing0
mac-address 4000.1000.2000
no ip address
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 35
Chapitre 7 Conception de rseaux APPN 235
!
interface Serial1
no ip address
encapsulation sdlc
no keepalive
clockrate 19200
sdlc role prim-xid-poll
sdlc address 01
!
appn control-point CISCONET.ROUTERB
complete
!
appn port FR0 Serial0
complete
!
appn port SDLC Serial1
sdlc-sec-addr 1
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station AS400
port SDLC
role primary
sdlc-dest-address 1
complete
!
appn link-station ROUTERA
port FR0
fr-dest-address 35
complete
!
end
Configuration du routeur C
Voici un exemple de configuration pour le routeur C illustr Figure 7.20. Il initie une connexion
APPN vers le routeur A. Comme il ny a pas de station de liaison dfinie pour CISCONET
.ENCMC2C, il faut en dfinir une pour le routeur C dans la configuration de ENCM2C :
hostname routerc
!
interface TokenRing0
mac-address 4000.1000.3000
no ip address
ring-speed 16
!
interface Serial0
mtu 4096
encapsulation frame-relay IETF
keepalive 12
frame-relay lmi-type ansi
frame-relay map llc2 36
!
appn control-point CISCONET.ROUTERC
complete
!
appn port FR0 Serial0
236 Partie I Architecture de rseaux
complete
!
appn port TR0 TokenRing0
complete
!
appn link-station ROUTEURA
port FR0
fr-dest-address 36
complete
!
end
Figure 7.21
Exemple dAPPN avec DLSW+.
Rseau DLSw+
CISCONET.ROUTERA CISCONET.ROUTERB
T0 T0
Token Token
Ring Segment 5 Ring
CISCONET.ENCM2A CISCONET.ENCM2B
mtu 4096
ip address 10.4.21.3 255.255.255.0
encapsulation frame-relay IETF
keepalive 12
no fair-queue
frame-relay lmi-type ansi
frame-relay map llc2 56
!
interface TokenRing0
ip address 10.4.22.2 255.255.255.0
ring-speed 16
multiring all
source-bridge 5 1 100
!
MAX_MC_LL_SEND_SIZE(32767)
DIRECTORY_FOR_INBOUND_ATTACHES(*)
DEFAULT_TP_OPERATION(NONQUEUED_AM_STARTED)
DEFAULT_TP_PROGRAM_TYPE(BACKGROUND)
DEFAULT_TP_CONV_SECURITY_RQD(NO)
MAX_HELD_ALERTS(10);
START_ATTACH_MANAGER;
DEFINE_LOGICAL_LINK LINK_NAME(TORTRB)
ADJACENT_NODE_TYPE(LEARN)
PREFERRED_NN_SERVER(YES)
DLC_NAME(IBMTRNET)
ADAPTER_NUMBER(0)
DESTINATION_ADDRESS(X400050006000)
ETHERNET_FORMAT(NO)
CP_CP_SESSION_SUPPORT(YES)
SOLICIT_SSCP_SESSION(YES)
NODE_ID(X05D00000)
ACTIVATE_AT_STARTUP(YES)
USE_PUNAME_AS_CPNAME(NO)
LIMITED_RESOURCE(NO)
LINK_STATION_ROLE(USE_ADAPTER_DEFINITION)
MAX_ACTIVATION_ATTEMPTS(USE_ADAPTER_DEFINITION)
EFFECTIVE_CAPACITY(USE_ADAPTER_DEFINITION)
COST_PER_CONNECT_TIME(USE_ADAPTER_DEFINITION)
COST_PER_BYTE(USE_ADAPTER_DEFINITION)
SECURITY(USE_ADAPTER_DEFINITION)
PROPAGATION_DELAY(USE_ADAPTER_DEFINITION)
USER_DEFINED_1(USE_ADAPTER_DEFINITION)
USER_DEFINED_2(USE_ADAPTER_DEFINITION)
USER_DEFINED_3(USE_ADAPTER_DEFINITION);
DEFINE_DEFAULTS IMPLICIT_INBOUND_PLU_SUPPORT(YES)
DEFAULT_MODE_NAME(BLANK)
MAX_MC_LL_SEND_SIZE(32767)
DIRECTORY_FOR_INBOUND_ATTACHES(*)
DEFAULT_TP_OPERATION(NONQUEUED_AM_STARTED)
DEFAULT_TP_PROGRAM_TYPE(BACKGROUND)
DEFAULT_TP_CONV_SECURITY_RQD(NO)
MAX_HELD_ALERTS(10);
START_ATTACH_MANAGER;
Bureaux X.25
rgionaux
mac1 mac2 mac1 mac2
Token Token
Ring Ring
PU 2.0 PU 2.0
Il existe 22 bureaux rgionaux travers le pays. Chaque site rgional possde deux FEP NCR
Comten, lun se connectant au centre de donnes 3 et lautre au centre de donnes 2. Les FEP
distants sont associs des rseaux Token Ring doubles connects par lintermdiaire dun pont ; le
support dadresse de coupleur TIC duplique est implment pour le secours et la redondance. Cela
signifie quune station PU2.0 peut accder lhte par lintermdiaire de nimporte lequel des deux
FEP, au cas o lun deux tomberait en panne.
Outre les dispositifs connects au Token Ring (environ 15 par bureau rgional), les deux FEP utili-
sent aussi NPSI (NCP Packet-Switching Interface) et supportent plus de 200 dispositifs connects
distance via le rseau public X.25. Le nombre total de LU supportes par bureau rgional est
denviron 1800, avec 1500 sessions LU-LU pouvant tre actives nimporte quel moment. Le dbit
du trafic est estim 15 transactions par seconde.
La premire tape de migration consiste implmenter un routeur CIP Cisco au niveau de lun des
centres de donnes, en remplaant les FEP relis par canaux. Un routeur Distant est ensuite install
sur lun des sites rgionaux. Les deux routeurs sont connects au moyen de DLSw+, comme illustr
Figure 7.23.
Chapitre 7 Conception de rseaux APPN 241
Token
Ring
DLSw+
Token Token
Ring Ring
DLSw+
Bureaux rgionaux
PU 2.0 PU 2.0
Comme le montre la Figure 7.23, les FEP sur le site rgional continuent assurer les fonctions de
liaison vers les dispositifs connects au Token Ring et via X.25. Les deux routeurs DLSw+ grent le
trafic entre le FEP du centre de donnes 1 et le FEP sur le site rgional. La classe de service SNA
est prserve dans cet environnement.
Aprs stre assur de la stabilit des routeurs, le concepteur du rseau passe la phase suivante.
Comme le montre la Figure 7.24, cette phase implique linstallation de deux autres routeurs, un sur
le centre de donnes 2 et un autre sur le site rgional. A ce point, les communications FEP-FEP
entre sites rgionaux et centres de donnes sont gres par les routeurs via DLSw+.
En poursuivant le plan de migration, ltape suivante du concepteur est dinstaller un routeur CIP
supplmentaire dans chaque centre de donnes pour grer le trafic entre les deux centres. Comme
illustr Figure 7.25, les liaisons qui connectent les FEP des centres de donnes 1 et 2 sont dplaces
une par une vers les routeurs.
APPN sera activ pour supporter le trafic entre les centres de donnes 1 et 2. Finalement, le rseau
bas sur FEP devient un rseau de routeurs. Les contrleurs NCR Comten deviennent obsoltes.
Deux dentre eux seront conservs pour assurer le support de SNI pour les organisations externes.
La Figure 7.26 illustre le nouveau rseau.
242 Partie I Architecture de rseaux
Token Token
Ring Ring
DLSw+ DLSw+
Token Token
Ring Ring
DLSw+ DLSw+
Bureaux
rgionaux
PU 2.0 PU 2.0
NN NN
Token Token
Ring Ring
DLSw+ DLSw+
Token Token
Ring Ring
DLSw+ DLSw+
Bureaux
rgionaux
PU 2.0 PU 2.0
Chapitre 7 Conception de rseaux APPN 243
NN NN
Token Token
Ring Ring
DLSw+ DLSw+
Token Token
Ring Ring
DLSw+ DLSw+
Bureaux rgionaux
PU 2.0 PU 2.0
Les liens de communication qui connectaient prcdemment les FEP aux centres de donnes sont
maintenant dplacs vers les routeurs. Les FEP des centres de donnes peuvent tre limins. Ceux
sur les sites rgionaux jouent simplement le rle de frontire pour les dispositifs LU dpendants,
autorisant ainsi le maintien de la classe de service de SNA. La phase suivante consiste en la migra-
tion des fonctions de frontire SNA des FEP vers le routeur Distant sur le site rgional en activant
APPN et DLUR. Aprs cela, les FEP peuvent tre limins.
Ltape suivante consiste en la migration de DLSw+ vers APPN entre les routeurs de centres de
donnes et ceux des bureaux rgionaux. Cette phase est ralise rgion par rgion jusqu ce que la
stabilit du rseau soit garantie. Comme lillustre la Figure 7.27, le support DLUR est activ pour
grer les dispositifs PU dpendants sur les sites rgionaux. Les dispositifs PU2.0 dpendants
connects via X.25 qui taient prcdemment connects aux FEP par le biais de NPSI sont mainte-
nant supports via QLLC (Qualified Logical Link Control) sur le routeur. Il sagit dun standard
pour lencapsulation de SNA sur X.25.
244 Partie I Architecture de rseaux
Token NN NN Token
Ring Ring
APPN APPN
NN DLUR DLUR NN
X25
Token Token
Ring Ring
Bureaux rgionaux
Un environnement Sysplex consiste en de nombreux processeurs CMOS 9672, chacun deux repr-
sentant un domaine VTAM. Le concept de multiprocesseur pose cependant un problme.
Aujourdhui, les utilisateurs sont habitus aux images uniques. Par exemple, le systme IMS (Infor-
mation Management System) qui sexcute sur le mainframe peut servir la totalit de lorganisation
au moyen dune seule image hte. Avec le concept de multiprocesseur, vous nindiqueriez pas un
utilisateur dtablir une session avec IMS sur un systme donn et un autre utilisateur dtablir
aussi une session avec IMS sur un autre systme, car IMS pourrait tre en cours dexcution sur
chaque systme.
Pour rsoudre cela, une fonction appele ressource gnrique a t cre. Elle permet plusieurs
programmes qui fournissent la mme fonction dtre connus et utiliss au moyen dun seul nom
gnrique. Cela signifie quun utilisateur peut parfois accder IMS partir dun systme, et
parfois partir dun autre. Comme ces deux systmes ont accs aux mmes donnes partages dans
le Sysplex, cette commutation entre systmes est transparente pour les utilisateurs. VTAM est
responsable de la rsolution du nom gnrique et de lidentification du programme qui est utilis
pour tablir la session. Cette fonction permet VTAM dassurer un quilibrage de charge en distribuant
les initiations de sessions entrantes vers un certain nombre de programmes identiques excuts sur
diffrents processeurs.
La fonction de ressource gnrique ne sexcute que sur un VTAM avec support APPN. Afin
dassurer lquilibrage de charge de sessions sur diffrents processeurs, les utilisateurs doivent
procder la migration de VTAM partir dune sous-zone SNA vers APPN. Le reste de cette
section examine les trois options qui permettent de grer un environnement Sysplex.
Donnes de Donnes de
migration migration
CMC
Hte A Hte B
FID4 FID4
Linconvnient de cette approche est que lemploi du routage de sous-zone ne fournit pas limpl-
mentation dynamique des changements de topologie sous APPN, qui est normalement disponible
avec les connexions APPN. Si vous devez ajouter un processeur CMOS, des modifications de
chemin de sous-zone (PATH) vers chaque nud de sous-zone sont ncessaires. Un autre inconv-
nient de cette approche est que lexcution dAPPN sur un routage de sous-zone introduit un certain
niveau de complexit sur le rseau.
EN A CMC EN B
FID2
FID2
FID4
FID2 FID2
Routeur
Routeur
DLUR
Comme le montre cette figure, il sagit dun rseau APPN pur avec routage APPN. Chaque proces-
seur CMOS de nud dextrmit est reli aux routeurs du DLUR par lintermdiaire dAPPN.
Notez que ceux-ci pourraient tre distants. Ils ne doivent pas obligatoirement se trouver proximit
des mainframes (il pourrait, par exemple, y avoir dautres routeurs intermdiaires).
248 Partie I Architecture de rseaux
Cette approche sera choisie pour implmenter un environnement Sysplex dans notre exemple
dentreprise. La section suivante fournit davantage de dtails sur cette implmentation.
Rseau de lentreprise
Lentreprise examine dans cet exemple possde un trs grand rseau fdrateur IP ainsi quun
rseau SNA tendu. Aujourdhui, les rseaux multiprotocoles et SNA sont spars. Lobjectif de
lentreprise est de consolider le trafic travers linterrseau multiprotocole. Elle a donc port son
choix sur le protocole IP pour son rseau fdrateur stratgique et sur une encapsulation DLSw+
pour transporter le trafic SNA.
Pour son centre de donnes, la socit projette de grer cinq environnements Sysplex IBM diffrents.
Elle souhaite disposer du plus haut degr de redondance et de tolrance aux pannes. Les administra-
teurs ont donc dcid de ne pas excuter APPN travers le rseau multiprotocole existant, mais
plutt de limplmenter au niveau du centre de donnes pour fournir le niveau de redondance requis.
La Figure 7.31 prsente la configuration du centre de donnes de lentreprise. Le diagramme figu-
rant dans le coin suprieur droit reprsente une vue logique de lenvironnement Sysplex et de la
faon dont il est connect au rseau multiprotocole par lintermdiaire des routeurs CIP/CSNA et
des routeurs APPN.
9032 9032
FDDI
CIP1 CSNA CIP2 CSNA
Routeur
Routeur
Routeur Routeur
Routeur APPN Routeur
NN/DLUR DLSw+ Routeurs WAN NN1 DLUR NN2 DLUR
Routeur
Interrseau
multiprotocole
Routeur DLSw+
Token
Ring
Chaque routeur CIP/CSNA possde deux cartes pour les canaux parallles vers chaque hte
Sysplex (Sysplex 1 et Sysplex 2) par lintermdiaire de directeurs ESCON spars. Pour satisfaire
aux exigences trs fortes de la socit en matire de disponibilit, cette configuration ne prsente
aucun lment unique pouvant immobiliser lensemble du systme (Single Point of Failure).
Dans chaque environnement Sysplex, au moins deux nuds de rseau agissent comme DLUS. Le
VTAM NNA est dsign comme nud DLUS principal et NNB est dsign comme DLUS de secours.
Les htes restants sont des htes de donnes configurs en tant que nuds dextrmit. Ils utilisent
NNA comme serveur nud de rseau.
Chaque environnement Sysplex est support par deux routeurs CIP et au moins deux routeurs
APPN excutant DLUR fournissent des fonctions de liaison de frontire pour servir les dispositifs
distants. Il est prvu que le trafic soit quilibr entre les deux routeurs CIP. Par consquent, APPN
fournit lquilibrage de charge et la redondance dans cet environnement.
Exemple de configuration
En ce qui concerne APPN, NNA la Figure 7.31 peut tre configur comme serveur DLUS princi-
pal, et NNB comme DLUS de secours. Voici un exemple de configuration pour NN1, sachant que
NN2 serait configur de la mme manire :
!
appn control-point CISCONET.NN1
dlus CISCONET.NNA
backup-dlus CISCONET.NNB
dlur
complete
Lorsque lhte DLUS principal est inaccessible, le nud DLUR en est dconnect. Le DLUR
essaye nouveau le tube DLUS/DLUR avec NNA. En cas dchec, il se tourne vers le DLUS de
secours.
Pour assurer lquilibrage de charge, chaque routeur DLUR dfinit deux groupes de transmission
APPN parallles, de poids gal pour chaque hte VTAM, en utilisant la configuration suivante :
!
! Lien vers VTAM ENA via routeur CIP 1
!
appn link-station LINK1ENA
port FDDI0
lan-dest-address 4000.3000.1001
complete
!
! Lien vers VTAM ENA via routeur CIP 2
!
appn link-station LINK2ENA
port FDDI0
lan-dest-address 4000.3000.2001
complete
!
! Lien vers VTAM ENB via routeur CIP 1
!
appn link-station LINK1ENB
port FDDI0
lan-dest-address 4000.3000.1002
complete
250 Partie I Architecture de rseaux
!
! Lien vers VTAM ENB via routeur CIP 2
!
appn link-station LINK2ENB
port FDDI0
lan-dest-address 4000.3000.2002
complete
!
! Lien vers NNA DLUS principal via routeur CIP 1
!
appn link-station LINK1NNA
port FDDI0
lan-dest-address 4000.3000.1003
complete
!
! Lien vers NNA DLUS principal via routeur CIP 2
!
appn link-station LINK2NNA
port FDDI0
lan-dest-address 4000.3000.2003
complete
!
! Lien vers NNB DLUS de secours via routeur CIP 1
!
appn link-station LINK1NNB
port FDDI0
lan-dest-address 4000.3000.1004
complete
!
! Lien vers NNB DLUS de secours via routeur CIP 2
!
appn link-station LINK2NNB
port FDDI0
lan-dest-address 4000.3000.2004
complete
Comme illustr dans la configuration prcdente, NN1 dfinit deux groupes de transmission APPN
vers ENA, ENB, NNA et NNB. Il existe deux liens par canal vers chaque hte, chaque lien tant
connect un dispositif matriel distinct (par exemple, une carte CIP, un routeur CIP, un directeur
ESCON). La duplication du matriel sexplique en partie par la prvision dun risque ventuel de
perte dun composant physique. Dans notre cas, si cela se produisait, lhte serait toujours accessi-
ble par lautre chemin.
En ce qui concerne APPN, deux groupes de transmission connectent un routeur DLUR chaque
hte. Lun des deux groupes traverse le routeur CIP 1, et lautre traverse le routeur CIP 2. Lorsquun
chemin est impraticable, le groupe concern devient inoprant. Le second groupe fournit une autre
route pour permettre la connexion vers lhte par lintermdiaire de litinraire de secours.
Toutes les sessions SSCP/PU et SSCP/LU de sous-zone circulent sur lun des groupes de transmis-
sion entre le routeur DLUR et lhte DLUS principal. Comme pour les sessions LU-LU, les deux
routes possibles entre le routeur DLUR et un hte VTAM sont disponibles. Le routeur DLUR et un
hte VTAM slectionnent de faon alatoire lune de ces deux routes pour les sessions LU-LU. Ce
choix arbitraire provoque une certaine distribution de charge sur les deux routeurs CIP, bien quil ne
sagisse pas ncessairement dun quilibrage statistique.
Chapitre 7 Conception de rseaux APPN 251
De nombreux routeurs DLUR supportent les dispositifs SNA en aval. Voici un exemple de configu-
ration pour le routeur DLUR NN1 :
source-bridge ring-group 100
dlsw local-peer peer-id 172.18.3.111 promiscuous
!
interface FDDI0
ip address 172.18.3.111 255.255.255.0
!
appn control-point CISCONET.NN1
dlus CISCONET.NNA
backup-dlus CISCONET.NNB
dlur
complete
!
appn port VDLC1 vdlc
vdlc 100 4000.1000.2000
complete
Chaque station de travail accde lhte par lintermdiaire du routeur DLUR et doit dfinir
4000.1000.2000 comme adresse MAC de destination dans le logiciel dmulation. Cette adresse
virtuelle est dfinie pour atteindre chaque routeur DLUR. Lors de linitiation dune connexion, une
station envoie en diffusion une trame TEST toutes routes vers ladresse MAC laquelle elle
souhaite se connecter. Le routeur DLSw+ distant envoie une trame dexploration ses homologues,
les nuds NN1 et NN2, qui rpondent par un message ICANREACH. Le routeur DLSw+ est confi-
gur pour utiliser lquilibrage de charge. Cela signifie quil place en cache NN1 et NN2 comme
homologues pouvant atteindre lhte. Les sessions dhte sont tablies en alternance via NN1 et
NN2. Cela permet lentreprise de rpartir le trafic SNA sur deux ou plusieurs routeurs DLUR. Si
NN1 devient indisponible, les sessions qui le traversent sont interrompues, mais elles peuvent tre
rtablies par lintermdiaire de NN2 avec un impact ngligeable.
Cette conception amliore la disponibilit gnrale du systme au moyen dun adressage MAC
virtuel dupliqu sur le routeur DLUR. Les chemins doubles donnent la possibilit demprunter un
chemin secondaire lorsque le chemin principal est interrompu. Un autre avantage de cette concep-
tion est quelle peut facilement voluer. Par exemple, lorsque le nombre de dispositifs SNA
augmente, la mmoire tampon peut devenir un facteur limitant au niveau des routeurs DLUR.
Lentreprise peut alors ajouter un routeur DLUR afin de supporter la charge des sessions suppl-
mentaires. Cette modification de topologie nimplique aucune administration de rseau au niveau
des routeurs distants ou du centre de donnes.
252 Partie I Architecture de rseaux
FDDI
Frame Relay
session LU-LU
Router NN3
Token
Ring
EN3A
EN3B
Chapitre 7 Conception de rseaux APPN 253
Le centre de donnes comprend 20 mainframes de chez IBM et dautres fabricants. Les mainframes
IBM tournent sur MVS et exploitent la technologie VTAM. Ils sont galement configurs en tant
que nud NN/DLUS et htes de donnes EN. Aucun protocole de sous-zone nexiste sur ce rseau.
Les autres mainframes non-IBM sont configurs en tant que nuds EN ou LEN.
La plate-forme utilisateur est OS/2 exploitant Communications Server sur tous les sites distants qui
ont des besoins de connectivit avec les mainframes du centre de donnes. Initialement, il nest pas
ncessaire de disposer dune connectivit any-to-any. Les applications supportes sont LU type 2 et
LU6.2.
Configuration future
Il est prvu que ce rseau stende pour comprendre jusqu 500 routeurs distants nud de rseau,
100 routeurs de centre de donnes et huit mainframes. Gnralement, un rseau APPN de 600 nuds
254 Partie I Architecture de rseaux
rencontrera des problmes dvolutivit. La suite de cette section examine les deux options que vous
pouvez exploiter pour contourner ces problmes sur un rseau APPN :
m implmentation de nuds interzones sur VTAM pour segmenter le rseau en sous-rseaux ;
m utilisation de la fonction FRAS BNN pour rduire le nombre de nuds de rseau.
FDDI
Frame
Relay
Sous-rseau B
Sous-rseau A
Token Token
Ring Ring
EN EN
Chapitre 7 Conception de rseaux APPN 255
Aucun change dinformations de topologie naurait lieu entre VTAM et les routeurs NN du centre
de donnes. Les huit mainframes seraient dans le mme sous-rseau. Chaque routeur de centre de
donnes supporterait plusieurs routeurs daccs et ils formeraient leur propre sous-rseau (chaque
sous-rseau tant limit un maximum de 100 nuds de rseau). Cette configuration empcherait
que des informations de topologie soient envoyes dun sous-rseau vers un autre et permettrait au
rseau dvoluer au-del des 600 nuds de rseau.
Bien que cette approche gre le problme des flots de paquets TDU, la configuration de VTAM en
tant que nud interzone dans cet environnement entrane une perte de fonctions trs importante.
Tout dabord, deux sous-rseaux APPN ne peuvent pas tre interconnects par lintermdiaire dun
rseau de connexions. Les sessions LU-LU entre les ressources situes sur lhte de la socit A et
celles de sites distants seraient tablies par lintermdiaire dun itinraire indirect passant par le
nud interzone VTAM. Cette route nest videmment pas optimale. Deuximement, la fonction de
serveur dannuaire central est perdue, car le nud interzone VTAM prsente une image de nud
dextrmit NN1. Cela empche NN1 de dcouvrir le serveur dannuaire central sur le rseau.
La section suivante tudie une autre approche mettant en uvre la technologie FRAS BNN pour
rduire le nombre de nuds de rseau.
FDDI
session CP-CP
Token Token
Ring Ring
EN EN
Rsum
Ce chapitre a trait du dveloppement dun trac de rseau existant et de la planification dune
migration russie vers APPN. Les sujets suivants ont t tudis :
m volution de SNA ;
m intgration dAPPN ;
m utilisation dAPPN ou dautres mthodes de transport SNA ;
m prsentation dAPPN ;
m implmentation Cisco dAPPN ;
m problmes dvolutivit ;
m techniques de communication de secours sur un rseau APPN ;
m intgration dAPPN dans un environnement multiprocole ;
m gestion de rseau ;
m exemples de configuration.
8
Interrseaux DLSw+
Introduction DLSw+
Cette section dcrit la technologie de commutation de liaison de donnes DLSw+ (Data Link Switching
Plus) et prsente des exemples de configuration permettant de concevoir et configurer rapidement
des rseaux DLSw+. Elle passe en revue les composants essentiels de cette technologie et dcrit les
extensions quelle propose par rapport au standard. Elle tudie galement les fonctionnalits
avances de DLSw+, leur contexte dutilisation, et donne des exemples de leur exploitation. Elle
aborde ensuite des thmes comme loptimisation, la conception hirarchique, la conception maille,
le dbogage et les directives de migration, pour finir par des recommandations sur la faon de
concevoir votre rseau. Cette section peut tre utilise comme un simple guide de rfrence (pour
les exemples de configuration), comme guide doptimisation, ou comme guide de conception dun
rseau DLSw+.
Dfinition de DLSw+
DLSw+ est un systme de transport pour le trafic SNA (Systems Network Architecture) et NetBIOS
sur un rseau de campus ou un rseau tendu (WAN). Les systmes terminaux peuvent se connecter
au rseau par lintermdiaire de technologies de rseau diverses telles que Token Ring, Ethernet,
SDLC (Synchronous Data Link Control), QLLC (Qualified Logical Link Control), ou FDDI (Fiber
Distributed Data Interface) FDDI nest support que sur la srie de routeurs Cisco 7000 et
requiert la version 11.2 ou ultrieure du systme Cisco IOS. DLSw+ opre une commutation entre
ces divers mdias et termine localement les liaisons de donnes, ce qui permet de maintenir la
surcharge lie aux messages dacquittement, au contrle dactivit (keepalive) et au sondage, en
dehors du rseau tendu. La terminaison locale des liaisons de donnes permet aussi dliminer les
dpassements de dlai au niveau du contrle de ces liaisons, qui peuvent se produire en cas de
258 Partie I Architecture de rseaux
congestion du rseau ou de reroutage (lorsquil faut contourner une liaison inexploitable). Finale-
ment, DLSw+ fournit un mcanisme de recherche dynamique des ressources SNA ou NetBIOS sur
le rseau et intgre des algorithmes de gestion de cache qui minimisent les diffusions gnrales.
Dans cet ouvrage, un routeur DLSw+ est dsign par le terme routeur homologue (routeur peer),
homologue (peer), ou partenaire (partner). La connexion entre deux routeurs DLSw+ est appele
connexion dhomologues. Un circuit DLSw+ offre un compromis de dnomination qui dsigne la
relation entretenue par la connexion de contrle de liaison de donnes entre le systme terminal et
le routeur Dorigine, la connexion entre les deux routeurs gnralement une connexion TCP
(Transport Control Protocol) , et la connexion de contrle de liaison de donnes entre le routeur
et le systme terminal de destination. Une seule connexion dhomologues peut transporter plusieurs
circuits.
DLSw+ gre les circuits entre les units physiques SNA (PU), ou entre les clients et les serveurs
NetBIOS. La connectivit de PU SNA supporte est PU 2.0/2.1 vers PU 4 (relie par nimporte
quel type de contrle de liaison de donnes support), PU 1 vers PU 4 (via SDLC seulement), PU 4
vers PU 4 (Token Ring seulement), et PU 2.1 vers PU 2.1 (nimporte quel contrle de liaison de
donnes support).
NOTE
La connectivit PU 4 vers PU 4 naccepte quun seul chemin entre les ordinateurs frontaux (FEP), car ils traitent
les chemins passant par un pont routage par la source dune faon particulire. De plus, le chargement
distant nest pas accept.
Standard DLSw
Le standard DLSw a t dfini par latelier AIW (APPN Implementers Workshop) du groupe dint-
rt travaillant sur DLSw. Au moment de la rdaction de cet ouvrage, ce standard en tait sa
version 1. Il a t document dans le RFC 1795, qui rend de fait obsolte le RFC 1434 dcrivant
limplmentation 6611 originale de DLSw par IBM.
Le standard DLSw dcrit le protocole SSP (Switch-to-Switch) utilis entre les routeurs (appels
commutateurs de liaison de donnes) pour tablir des connexions dhomologues DLSw, localiser
des ressources, transmettre des donnes, grer le contrle de flux, et assurer la reprise aprs erreur.
Le RFC 1795 stipule que les connexions de la couche liaison de donnes doivent se terminer au
niveau des routeurs homologues, cest--dire quelles doivent tre localement acquittes et, dans le
cas dun rseau Token Ring, que le champ dinformations de routage (RIF) doit se terminer au
niveau dun anneau virtuel sur le routeur homologue.
En terminant localement les connexions, le standard DLSw limine le besoin de faire traverser les
messages dacquittement et keepalive (de contrle dactivit de ligne) de la couche liaison de donnes
sur le rseau tendu. Par consquent, il ne devrait plus y avoir dexpiration de dlai de rponse au
niveau de cette couche. Il incombe aux routeurs DLSw de multiplexer le trafic de plusieurs liaisons de
donnes vers le tube TCP appropri et dassurer le transport fiable des donnes travers une pine
dorsale IP.
Chapitre 8 Interrseaux DLSw+ 259
Avant que toute communication de systme terminal puisse avoir lieu sur DLSw, les actions suivan-
tes doivent tre entreprises :
m tablissement de connexions dhomologues ;
m change dinformations de services ;
m tablissement dun circuit.
local, et la connexion TCP entre les partenaires DLSw. Ce circuit est identifi de faon unique par
des identifiants de circuit source et de destination qui sont transports dans toutes les trames de
donnes constantes la place des adresses de contrle de liaison, telles que les adresses MAC.
Chaque identifiant de circuit est dfini par les adresses MAC de destination et de source, les points
daccs aux services de liaison de destination et de source (LSAP), et un identifiant de port de
liaison de donnes. Le concept de circuit simplifie la gestion et a son importance dans le processus
de traitement des erreurs et de nettoyage. Une fois le circuit tabli, les trames dinformations
peuvent circuler.
La procdure dtablissement dun circuit NetBIOS est similaire, sauf quau lieu de transmettre une
trame CANUREACH qui spcifie une adresse MAC, les routeurs DLSw envoient une requte
de nom (NetBIOS NAME-QUERY) spcifiant un nom NetBIOS. De la mme manire, une trame de
nom reconnu (NetBIOS NAME-RECOGNIZED) est envoye en rponse au lieu dune trame
ICANREACH.
La plupart des implmentations DLSw placent en cache les informations recueillies au cours des
processus dexploration, afin que les recherches suivantes pour une mme ressource ne provoquent
pas lenvoi de trames dexploration supplmentaires.
Contrle de flux
Le standard DLSw dcrit un mcanisme de rgulation adaptable pour la transmission entre routeurs
homologues, mais nindique pas comment tablir une correspondance avec le contrle de flux natif
de la liaison de donnes aux extrmits. Le contrle de flux est spcifi par le standard sur la base
dun circuit et implique lutilisation de deux mcanismes indpendants de contrle de flux de
circuit unidirectionnel. Ce contrle est gr par un mcanisme de fentrage capable de sadapter
dynamiquement la disponibilit du tampon, la profondeur de la file dattente de transmission
TCP, et aux mcanismes de contrle de flux au niveau des stations terminales. Les fentres peuvent
tre augmentes, diminues, divises, ou rinitialises zro.
Les units accordes (le nombre dunits que lmetteur est autoris transmettre) sont augmentes
selon une indication de contrle de flux de la part du rcepteur (procdure similaire la rgulation
classique de niveau de session SNA). Les indicateurs de contrle de flux peuvent tre de lun des
types suivants :
m Rpter. Augmente les units accordes de la valeur de la taille de la fentre actuelle.
m Incrmenter. Incrmente la taille de la fentre de 1 et augmente les units accordes de la valeur
de la nouvelle taille de fentre.
m Dcrmenter. Rduit la taille de la fentre de 1 et augmente les units accordes de la valeur de
la nouvelle taille de fentre.
m Rinitialiser. Rduit la taille de la fentre zro et dfinit les units accordes zro pour mettre
fin toutes les transmissions dans une direction, jusqu ce quun indicateur dincrmentation
soit envoy.
m Diminuer de moiti. Diminue de moiti la taille actuelle de la fentre et augmente les units
accordes de la valeur de la nouvelle taille de fentre.
Chapitre 8 Interrseaux DLSw+ 261
Les indicateurs et les acquittements de contrle de flux peuvent tre annexs aux trames dinforma-
tions par piggybacking ou envoys en tant que messages de contrle de flux indpendants, alors que
les indicateurs de rinitialisation sont toujours transmis comme messages indpendants.
Fonctionnalits DLSw+
DLSw+ est limplmentation Cisco de DLSw. Elle va au-del du standard pour inclure la fonction-
nalit avance de pont distant routage par la source de Cisco, dit RSRB (Remote Source Route
Bridge), ainsi que des fonctionnalits supplmentaires permettant daugmenter le niveau dadapta-
bilit gnrale de DLSw. DLSw+ offre une amlioration des caractristiques suivantes :
m Evolutivit. Il permet dlaborer des interrseaux IBM de telle faon que la quantit de trafic
gnr par les diffusions gnrales sen trouve rduite, ce qui amliore par consquent leur
volutivit.
m Disponibilit. Il permet de rechercher dynamiquement et rapidement des chemins alternatifs, et
peut optionnellement quilibrer la charge sur plusieurs homologues, ports, et passerelles de
canal (channel gateway) actifs.
m Souplesse de transport. Il offre des possibilits de transport hautement performant lorsquil y a
suffisamment de bande passante pour grer la charge sans risque dexpiration de dlais, et
permet de choisir des solutions entranant moins de surcharge lorsque la bande passante doit tre
protge et quun reroutage sans interruption nest pas requis.
m Modes dopration. Il dtecte dynamiquement les services du routeur homologue pour les
prendre en compte dans son fonctionnement.
met vers son homologue interzone ; les homologues interzones tablissent entre eux des
connexions dhomologues (voir Figure 8.1). Lorsquun routeur DLSw+ reoit une trame TEST ou
de requte de nom (NetBIOS NAME-QUERY), il envoie une seule trame dexploration son
homologue interzone. Celui-ci retransmet la trame de recherche au nom du membre du groupe
dhomologues. Cette configuration limine les trames dupliques sur les liaisons daccs et limite le
traitement ncessaire au niveau des routeurs daccs.
Figure 8.1
Le concept de groupes
dhomologues peut
tre utilis pour
simplifier et adapter
les rseaux any-to-any.
Lorsque le routeur De destination correct est trouv, une connexion dhomologues de bout en bout
(TCP ou IP) est tablie pour transporter le trafic entre systmes terminaux. Cette connexion
demeure active aussi longtemps que du trafic de systme terminal est transport et elle est dynami-
quement libre lorsquelle nest plus utilise. Cela permet de bnficier dune communication any-
to-any ponctuelle sans le souci de devoir spcifier par avance les connexions dhomologues. Cette
fonctionnalit permet galement le routage any-to-any sur de grands interrseaux, sur lesquels les
connexions TCP permanentes entre tous les routeurs pris deux deux ne seraient pas possibles.
Pare-feu dexploration
Afin de rduire davantage la quantit de trafic dexploration qui pntre sur le rseau tendu, un
certain nombre de techniques de filtrage et de pare-feu permettent de stopper ce trafic au niveau du
routeur DLSw+. Lune des techniques essentielles est le pare-feu dexploration.
Un pare-feu dexploration nautorise la traverse du rseau tendu qu une seule trame dexplora-
tion en direction dune adresse MAC de destination spcifique. Lorsquune trame dexploration est
en suspens et attend une rponse de la part de la destination, les trames suivantes pour cette mme
adresse ne sont pas propages. Une fois que le routeur DLSw+ dorigine a reu la rponse, toutes
les trames dexploration pour la mme destination reoivent une rponse au niveau local. Cela
limine les temptes de trames dexploration qui se produisent sur de nombreux rseaux en dbut
de journe.
possible sera lu chemin prfr et la convergence sera immdiatement initie. La faon dont
DLSw+ gre plusieurs chemins possibles peut tre influence (mot cl bias) pour rpondre aux
besoins du rseau :
m Tolrance aux pannes. Dans ce mode, un circuit est tabli sur un chemin prfr, mais
galement rapidement dirig sur un chemin alternatif actif en cas de perte de la liaison prfre.
m Equilibrage de charge. Dans ce mode, ltablissement du circuit est rparti sur plusieurs homo-
logues DLSw+ du rseau ou ports du routeur.
La configuration par dfaut de DLSw+ lui indique dutiliser le mode de tolrance aux pannes. Dans
cette configuration, lorsquun homologue DLSw+ reoit une trame TEST pour une ressource
distante, il consulte son cache. Sil trouve une entre correspondante et que celle-ci est rcente
(cest--dire quelle na pas t vrifie durant le dernier intervalle de vrification), il rpond imm-
diatement sans diffuser de trame dinterrogation CANUREACH sur le rseau. Si, en revanche,
lentre est obsolte, lhomologue DLSw+ dorigine envoie une trame CANUREACH directement
chaque homologue figurant dans son cache pour en valider les entres (ce processus est connu
sous le nom de vrification dirige). En labsence de rponse de la part dun homologue, celui-ci est
supprim de la liste. Cette procdure peut provoquer le rordonnancement des entres du cache. Le
paramtre configurable SNA-VERIFY-INTERVAL spcifie le dlai dattente observ par un routeur
avant de marquer une entre du cache comme tant obsolte. Le paramtre SNA-CACHE-
TIMEOUT indique la dure de conservation des entres dans le cache avant leur suppression. La
valeur par dfaut est de 16 minutes et peut tre modifie.
Le routeur DLSw+ de destination suit une procdure lgrement diffrente en utilisant les entres du
cache local. Si lentre dans le cache est rcente, il envoie la rponse immdiatement. Si elle est
obsolte, il diffuse une seule trame TEST route unique sur tous les ports spcifis dans le cache. Si
une rponse positive est reue, il envoie une trame ICANREACH au routeur Dorigine. Les trames de
TEST sont envoyes toutes les 30 secondes (paramtre SNA-RETRY-INTERVAL) durant une priode
de 3 minutes (paramtre SNA-EXPLORER-TIMEOUT). Ces temporisateurs sont configurables.
Vous pouvez aussi configurer DLSw+ pour quil utilise lquilibrage de charge lorsquil existe
plusieurs itinraires permettant datteindre une destination. Dans ce cas, les nouvelles requtes
dtablissement de circuit utilisent tour de rle tous les homologues ou ports possibles lists.
Cette fonction est particulirement intressante sur les rseaux SNA. Une pratique trs courante
dans cet environnement hirarchique consiste assigner la mme adresse MAC diffrentes passe-
relles de canal de mainframe, comme des FEP ou des routeurs Cisco avec plusieurs CIP (Channel
Interface Processor). Si une passerelle de canal est indisponible, dautres sont dynamiquement
localises sans intervention de loprateur. Ladressage MAC dupliqu permet galement dassurer
lquilibrage de charge sur plusieurs passerelles ou cartes Token Ring actives.
DLSw+ garantit la localisation des adresses MAC dupliques, et peut placer en cache jusqu quatre
homologues DLSw+ ou ports dinterface pouvant tre utiliss pour trouver une adresse MAC. Cette
technique peut tre applique dans le cadre de la tolrance aux pannes et de lquilibrage de charge.
Dans le premier cas, elle facilite une reconnexion dans les temps suite une interruption de circuit,
et, dans le second, elle amliore les performances SNA globales en rpartissant le trafic sur plusieurs
composants actifs (routeurs, cartes Token Ring ou FDDI, ou passerelles de canal), comme illustr
Figure 8.2. Lquilibrage de charge amliore non seulement les performances, mais aussi la vitesse
264 Partie I Architecture de rseaux
de rtablissement en cas de perte dun composant sur un itinraire, car seule une portion limite du
rseau est affecte.
Figure 8.2
Les techniques de mise
en cache de DLSw+
permettent dquilibrer T1C1 Port 1
la charge sur plusieurs MAC 1 Homologue C Homologue B
Port 2
Homologue B Port 3
routeurs de site central,
anneaux Token Ring et
passerelles de canal. Toute liaison DLC Homologue A Homologue C
Token Token
Token
Ring Ring
Ring
Outre le support de plusieurs homologues actifs, DLSw+ supporte des homologues de secours qui
sont connects uniquement lorsque lhomologue principal est inaccessible.
transport fiable sont requis, mais que le reroutage sans interruption nest pas une ncessit. Ce
protocole utilise lencapsulation de LLC2 (Logical Link Control type 2) dcrite dans le RFC 1490.
Comment procder
Si vous disposez dun rseau hirarchique simple ne traitant quun faible volume de trafic SNA,
lisez la section "Dbuter avec DLSw+" qui dcrit les commandes de configuration requises pour
toutes les implmentations de DLSw+ et donne des exemples de configuration pour SDLC, Token
Ring, Ethernet et QLLC. Une fois que vous laurez lue, vous pourrez tudier les fonctionnalits
avances, la personnalisation, et la gestion de la bande passante.
Ce chapitre dcrit de quelle faon utiliser DLSw+ avec des dispositifs de concentration en aval
(DSPU, Downstream Physical Unit), LAN Network Manager, APPN et larchitecture dinterface
client native (NCIA, Native Client Interface Architecture).
266 Partie I Architecture de rseaux
Ladresse qui suit la commande dlsw remote-peer est celle de la liste de lanneau. Comme les listes
danneaux reprsentent un sujet avanc, il vaut mieux pour linstant spcifier zro dans cet espace
pour indiquer quelles ne sont pas utilises. Il existe dautres options pour ces deux commandes,
mais elles ne sont pas ncessaires. Elles seront traites la section "Fonctionnalits avances de
DLSw+", plus loin dans ce chapitre.
Outre la spcification des homologues locaux et distants, vous devez tablir des correspondances
entre les types de contrles de liaison de donnes locaux suivants et DLSw :
m Token Ring. Dfinissez un anneau virtuel en utilisant la commande source-bridge ring-group
et incluez une commande source-bridge pour indiquer au routeur De diriger le trafic travers le
pont du Token Ring externe vers cet anneau virtuel.
m Ethernet. Faites correspondre un groupe spficique de ponts Ethernet avec DLSw.
m SDLC. Dfinissez les dispositifs SDLC et tablissez une correspondance entre les adresses
SDLC et les adresses MAC virtuelles DLSw+.
m QLLC. Dfinissez les dispositifs X.25 et tablissez une correspondance entre les adresses X.25
et les adresses MAC virtuelles DLSw+.
m FDDI. Dfinissez un anneau virtuel en utilisant la commande source-bridge ring-group et
incluez une instruction SRB qui indique au routeur De ponter le trafic du rseau FDDI externe
vers cet anneau virtuel. FDDI est support par le systme Cisco IOS version 11.2 sur la srie de
routeurs Cisco 7000.
Le reste de cette section donne des exemples de configuration pour les environnements Token Ring,
Ethernet, SDLC et QLLC.
Token Ring
La Figure 8.4 illustre un exemple de configuration de DLSw+ pour Token Ring. Le trafic provenant
de Token Ring est achemin par le pont routage par la source de lanneau local, vers un groupe
danneaux avec pont routage par la source, pour tre ensuite pris en charge par DLSw+. Vous
devez inclure une commande source-bridge ring-group qui spcifie une adresse danneau virtuel,
ainsi quune commande source-bridge qui indique aux routeurs de transmettre le trafic par le pont
du rseau Token Ring physique vers lanneau virtuel.
DLSw+ supporte la terminaison du champ RIF, ce qui signifie que tous les dispositifs distants appa-
raissent comme tant connects lanneau virtuel spcifi dans la commande source-bridge. Dans
la Figure 8.4, tous les dispositifs connects au routeur A apparaissent lhte comme tant situs
sur lanneau virtuel 200. A linverse, le FEP apparat au site distant comme tant situ sur lanneau
virtuel 100. Comme illustr dans cette figure, les anneaux virtuels spcifis sur les routeurs homologues
nont pas besoin de correspondre. Si plusieurs routeurs sont connects au mme anneau physique,
comme cest le cas pour les routeurs B et C, vous pouvez empcher les paquets dexploration en
provenance du WAN de pntrer sur lanneau virtuel et dtre rinjects sur le WAN, en spcifiant
la mme adresse de groupe danneaux sur chacun des routeurs.
268 Partie I Architecture de rseaux
Routeur C
200
Ethernet
Le trafic qui provient dun rseau Ethernet est pris en charge partir du groupe de pont (bridge
group) Ethernet local et transport sur le rseau DLSw. DLSw transfre toujours les donnes dans
un format non canonique. Dans la Figure 8.5, vous navez pas besoin de configurer le routeur
gauche pour un pontage avec traduction ou de vous demander quel est le mdia situ de lautre ct
du WAN. DLSw procdera automatiquement la conversion dadresse MAC correcte pour le mdia
de destination. Lorsque DLSw+ reoit une adresse MAC de la part dun dispositif connect via
Ethernet, il suppose quil sagit dune adresse canonique et la convertit dans un format non canonique
pour le transport vers lhomologue distant. Sur ce dernier, ladresse est transmise telle quelle au
systme terminal connect via Token Ring, ou bien reconvertie dans un format canonique si le
mdia de destination est Ethernet. Lorsquune ressource SNA rside sur un rseau Ethernet, si vous
configurez une adresse SNA de destination sur ce dispositif vous devez utiliser un format canonique.
Par exemple, un dispositif 3174 connect via Ethernet doit spcifier ladresse MAC du FEP dans un
format canonique. Si le format Token Ring ou non canonique de ladresse MAC du FEP est
4000.3745.0001, le format canonique est 0200.4C12.0080.
Dans la Figure 8.5, les donnes sont transfres directement vers un routeur Cisco avec CIP, mais il
pourrait sagir de nimporte quel routeur compatible DLSw, et le systme terminal SNA en amont pour-
rait tre situ sur nimporte quel mdia support.
SDLC
La configuration de dispositifs SDLC est un peu plus complexe. Vous devez savoir sil sagit
dunits physiques PU 1, PU 2.0 ou PU 2.1. Pour un dispositif PU 2.0, vous devez connatre les
identifiants IDBLK et IDNUM qui ont t spcifis sur VTAM (Virtual Telecommunication Access
Method) pour le dispositif en question, car le routeur joue un rle plus important dans le traitement
XID lorsquune unit PU 2.0 SDLC est implique. Vous devez savoir si le routeur reprsente
lextrmit principale ou secondaire de la ligne SDLC. De plus, si le raccordement vers le dispositif
SNA en amont passe par un LAN, vous devez configurer ladresse MAC de ce dispositif. Dans tous
les cas, vous devez configurer une adresse MAC virtuelle qui sera mise en correspondance avec une
adresse de sondage (polling) SDLC.
Chapitre 8 Interrseaux DLSw+ 269
Figure 8.5
Configuration
simple de DLSw+
pour Ethernet.
Routeur A
Dans la Figure 8.6, les dispositifs connects via SDLC reoivent chacun ladresse 4000.3174.0000
comme adresse MAC virtuelle de base. Le routeur remplacera les deux derniers chiffres de ladresse
par ladresse SDLC du dispositif. Le dispositif situ ladresse SDLC C1 prsente ladresse MAC
4000.3174.00C1, et le dispositif situ ladresse SDLC C2 prsente ladresse MAC 4000.3174.00C2.
Comme dans cet exemple il sagit de deux dispositifs PU 2.0, leur XID doit tre configur et corres-
pondre aux identifiants IDBLK et IDNUM sur VTAM. De plus, le routeur assume toujours le rle
principal lorsquil est connect en amont des dispositifs PU 2.0.
Le routeur peut tre lextrmit secondaire dune ligne SDLC (par exemple, lorsquil se connecte un
FEP par lintermdiaire de SDLC). Dans ce cas, spcifiez le mot cl secondary dans la commande
sdlc role, et indiquez pour les dispositifs PU 2.1 le mot cl xid-passthru dans la commande sdlc
address. Dans la version 11.0 ou ultrieure du systme Cisco IOS, DLSw+ supporte les PU 2.0/2.1
multipoint. Dans la Figure 8.7, la configuration PU 2.0 multipoint inclut une commande sdlc xid pour
chaque dispositif PU 2.0.
Pour les lignes multipoint avec une combinaison de dispositifs PU 2.0 et 2.1, spcifiez le mot cl
primary dans la commande sdlc role. Pour les dispositifs PU 2.0, vous devez coder les rfrences
IDBLK et IDNUM dans la commande sdlc xid. Pour les dispositifs PU 2.1, vous pouvez omettre
cette commande. Toutefois, dans la commande sdlc address, vous devez spcifier xid-poll. Sinon,
lorsque tous les dispositifs sur une ligne sont de type PU 2.1, vous pouvez spcifier la commande
sdlc role prim-xid-poll, et dans ce cas vous navez pas besoin de spcifier xid-poll pour chaque
commande sdlc address.
270 Partie I Architecture de rseaux
Figure 8.6
Configuration simple
de DLSw+ pour SDLC. C1
Token
C2 Routeur A Routeur B Ring
Figure 8.7
Configuration multipoint
de DLSw+ pour SDLC. C1
MSD
Token
Routeur A Routeur B Ring
C2
QLLC
QLLC est le protocole de liaison de donnes utilis par les dispositifs SNA pour se connecter aux
rseaux X.25. Il sagit dun protocole ancien, qui a t dvelopp par IBM pour permettre au NCP
(Network Control Program, programme de contrle de rseau) de supporter les connexions distan-
tes sur X.25. La fonction logicielle sur le NCP qui supporte ce protocole est appele Network
Packet Switching Interface. Ce protocole tire son nom du bit Q utilis dans len-tte X.25 pour
identifier ses primitives. QLLC mule essentiellement SDLC sur X.25. Ainsi, DLSw+ ralise la
conversion QLLC de faon semblable la conversion SDLC. Limplmentation Cisco de DLSw+ a
Chapitre 8 Interrseaux DLSw+ 271
prvu un support pour QLLC dans le systme Cisco IOS version 11.0. Comme QLLC est plus
complexe que Token Ring, Ethernet ou SDLC, nous en tudierons trois exemples dans cette section.
La Figure 8.8 illustre lemploi de DLSw+ pour permettre aux dispositifs distants de se connecter
un rseau DLSw+ travers un rseau public de commutation de paquets X.25. Dans cet exemple,
tout le trafic QLLC est envoy ladresse de destination 4000.1161.1234, qui reprsente ladresse
MAC du FEP. Le dispositif 3174 distant connect via X.25 sest vu attribuer une adresse MAC
virtuelle 1000.0000.0001 qui a t associe ladresse X.121 du 3174 (31104150101) sur le
routeur connect au rseau X.25.
Figure 8.8
Configuration de Adresse MAC virtuelle
DSLw+ pour QLLC, reprsentant le 3174
pour un seul 31104150101 1000.0000.0001 4000.1161.1234
dispositif de LAN Token
X.25 DLSw+
en amont. Routeur A
Ring
3110212011
Configuration du routeur A
Dans la Figure 8.9, un seul 3174 doit pouvoir communiquer avec un AS/400 et un FEP. La sous-
adresse 150101 est associe au FEP, et la sous-adresse 150102 est associe lAS/400. Si un appel
X.25 arrive pour ladresse 33204150101, il est mis en correspondance avec le FEP et transmis
ladresse MAC 4000.1161.1234. Le 3174 apparat au FEP comme tant une ressource de rseau
Token-Ring possdant ladresse MAC 1000.0000.0001. Il utilise un SAP source de 04 lorsquil
communique avec le FEP.
Si un appel X.25 est reu pour ladresse 33204150102, il est associ lAS/400 et transmis en
direction de ladresse MAC 4000.2034.5678. Le 3174 apparat lAS/400 comme tant une
ressource Token Ring portant ladresse MAC 1000.0000.0001. Le 3174 utilise un SAP source 08
lorsquil communique avec lAS/400.
Dans la Figure 8.10, deux ressources X.25 souhaitent communiquer via leur rseau avec le mme
FEP. Sur le routeur connect au nuage X.25, chaque requte de connexion X.25 pour ladresse
X.121 31102150101 est dirige vers DLSw+. La commande qllc dlsw cre un pool de deux adres-
ses MAC virtuelles, en commenant par 1000.0000.0001. Le premier circuit virtuel commut ou
CVC (SVC, Switched Virtual Circuit) tabli sera associ cette premire adresse MAC virtuelle, et
le second CVC sera mis en correspondance avec ladresse MAC virtuelle 1000.0000.0002.
272 Partie I Architecture de rseaux
Figure 8.9
Configuration de
DLSw+ pour QLLC,
Adresse MAC virtuelle
pour supporter reprsentant le 3174 4000.1161.1234
plusieurs dispositifs Token
1000.0000.0001
33204
de LAN en amont. Ring
X.25 DLSw+
Routeur A
Token
31102 Ring
4000.2034.5678
Configuration du routeur A
C1 33204
4000.1161.1234
Token
X.25 DLSw+ Ring
C2 Routeur A
35765 31102
Configuration du routeur A
Figure 8.10
Configuration de DLSw+ pour QLLC offrant le support de plusieurs dispositifs en aval connects via X.25
et communiquant par lintermdiaire dun rseau DLSw+ en amont.
Le cot peut tre spcifi au moyen de lune de ces deux commandes : dlsw local-peer ou dlsw
remote-peer. Lorsque la premire commande est utilise, le cot est communiqu aux homologues
distants lors du processus dchange des informations de services. Lexemple suivant illustre le
quelle faon cette information peut tre exploite pour contrler les chemins emprunts par les
sessions.
Dans la Figure 8.11, il y a deux passerelles de canal et trois cartes Token Ring qui peuvent tre utili-
ses pour accder aux applications sur le mainframe. Les trois cartes ont reu la mme adresse
MAC. Lassignation dadresses dupliques est une technique courante permettant dassurer lquili-
brage de charge et la redondance dans un environnement SRB. Elle fonctionne, car SRB suppose
quil existe trois chemins menant au mme dispositif et ne voit pas cela comme une duplication
dadresses de LAN. Par contre, cette technique ne fonctionne pas dans un environnement avec pont
transparent.
Figure 8.11
Exemple de
configuration
avec entres de cache
cres lorsque toutes Token
Ring
les passerelles de canal
MAC 1
possdent la mme
Homologue C (p)
adresse MAC. Homologue B (c)
Token Homologue B
Ring
Token
Homologue A MAC 1Port 1 (p)
Ring Port 2 (c)
Homologue C
Configuration de l'homologue A
Configuration de l'homologue B
dlsw local-peer peer-id 10.2.24.3
promiscuous
Configuration de l'homologue C
dlsw local-peer peer-id 10.2.24.2
promiscuous
dlsw duplicate-path-bias load-balance
Dans cet exemple, lhomologue A est configur avec deux commandes dlsw remote-peer pour les
homologues B et C. Lhomologue B spcifie un cot de 4 dans sa commande dlsw local-peer et lhomo-
logue C indique un cot de 2. Ces informations de cot sont changes avec A lors de lchange des
informations de services.
Chapitre 8 Interrseaux DLSw+ 275
Lorsque le systme terminal SNA (cest--dire la PU) situ sur la gauche envoie un paquet dexplo-
ration, A le transmet B et C. Ces derniers le retransmettent sur leurs rseaux locaux respectifs. B
reoit une rponse positive, et renvoie donc une rponse positive A. C reoit deux rponses positi-
ves (provenant de chacun des deux ports) et transmet une rponse positive A. C prend note quil
possde deux ports quil peut utiliser pour atteindre ladresse MAC de la passerelle de canal, et A
prend note quil possde deux homologues quil peut utiliser pour atteindre ladresse MAC de la
passerelle de canal.
Lhomologue A transmet ensuite une rponse positive la PU SNA et tablit un circuit de bout en
bout en utilisant C. Ce dernier est slectionn parce quil possde le cot le plus faible. Lorsque la
prochaine unit PU demandera une connexion avec la mme adresse MAC, elle sera tablie avec C,
sil est disponible. Il sagit de la mthode utilise par dfaut pour grer les chemins dupliqus avec
DLSw+.
Sur lhomologue C, le premier circuit est tabli en utilisant le port 1, mais le circuit suivant emprun-
tera le port 2, car lquilibrage de charge a t spcifi sur ce routeur laide de la commande dlsw
duplicate-path-bias. Chaque nouvelle PU SNA utilisera le chemin suivant dans la liste en cache.
La Figure 8.11 illustre la faon de privilgier un homologue par rapport un autre lors de ltablis-
sement de connexions distantes ; cependant, le site central quilibre le trafic sur toutes les cartes
LAN dune passerelle de canal donne. Autrement, lquilibrage peut tre spcifi nimporte o
pour rpartir la charge sur tous les routeurs de site central, les passerelles de canal et les LAN.
Notez que cette fonction nexige pas que les systmes terminaux soient connects via Token Ring.
Ils pourraient se connecter par lintermdiaire de SDLC, Ethernet ou QLLC, et la fonctionnalit
serait toujours oprante. La passerelle de canal du site central doit tre connecte via un LAN (de
prfrence Token Ring). Les adresse MAC dupliques pour les passerelles de canal sur Ethernet
fonctionneront uniquement : 1) si vous disposez dun segment unique Ethernet avec pont et dun
seul routeur DLSw+ pour chaque adresse MAC duplique ; 2) si vous utilisez lquilibrage de
charge partir des sites distants. Ethernet ne disposant daucune fonctionnalit pour empcher les
bouclages, il faudra tre prudent lors de la construction de rseaux redondants avec des rseaux
locaux Ethernet. Les rseaux Token Ring peuvent sappuyer sur SRB pour viter les boucles.
Une autre mthode qui permet de spcifier le cot consiste utiliser la commande dlsw remote-
peer, comme illustr Figure 8.12. Lutilisation du mot cl cost au niveau de cette commande auto-
rise diffrentes rgions dun pays favoriser diverses passerelles de site central. De plus, vous
devez indiquer ce mot cl si vous souhaitez rpartir le trafic SNA sur plusieurs routeurs de site
central, mais chaque site distant ne possde quune seule PU SNA (toutes les sessions logiques
circulent sur le mme circuit que celui de la session PU). Dans la Figure 8.12, lhomologue A favo-
rise toujours lhomologue B et lhomologue D favorise toujours lhomologue C.
276 Partie I Architecture de rseaux
Figure 8.12
Configuration o le
cot est spcifi avec
la commande dlsw
remote-peer au lieu Token
de la commande dlsw Ring
local-peer. Token
Ring
Homologue A Homologue B
Configuration de l'homologue D
Configuration de l'homologue B
dlsw local-peer peer-id 10.2.18.6 dlsw local-peer peer-id 10.2.24.2
dlsw remote-peer 0 tcp 10.2.24.2 cost 4 promiscuous
dlsw remote-peer 0 tcp 10.2.24.3 cost 2
Configuration de l'homologue C
dlsw local-peer peer-id 10.2.24.3
promiscuous
dlsw duplicate-path-bias load-balance
Homologues de secours
Disposer de plusieurs homologues actifs est un moyen de garantir un rtablissement dynamique et
immdiat aprs la perte dun routeur De site central. Toutefois, dans certaines configurations, il est
prfrable que lhomologue de secours ne soit actif que lorsquil est requis. Cela peut tre le cas si
le routeur De secours est situ sur un site redondant prvu pour une rcupration aprs sinistre, ou
lorsquil existe plus de 300 400 sites distants et quun seul routeur De site central reprsente la
solution de secours pour plusieurs routeurs de site central.
Chapitre 8 Interrseaux DLSw+ 277
Dans ce cas, utilisez la fonctionnalit dhomologue de secours (introduite avec Cisco IOS
version 10.3, mais tendue avec la version 11.1). La Figure 8.13 illustre de quelle faon configurer un
homologue de secours. Si vous souhaitez exploiter cette fonctionnalit, il faut employer la mthode
dencapsulation TCP ou FST (Fast-Sequenced Transport) pour accder lhomologue principal.
Cet exemple suppose lexistence de 400 sites distants. Tous les routeurs sur la cte est utilisent le
routeur A comme routeur principal, et tous les routeurs sur la cte ouest utilisent C comme routeur
principal. Dans les deux cas, le routeur De secours est B. La configuration illustre est celle du
routeur D, un des routeurs de la cte est. Ces derniers sont tous configurs avec les mmes
commandes dlsw remote-peer. Le routeur principal A et le routeur De secours B sont chacun confi-
gurs avec une commande dlsw remote-peer. B est configur uniquement en tant que routeur De
secours, et ladresse IP du routeur quil soutient est spcifie.
Dans lventualit dune panne au niveau du routeur A, toutes les sessions SNA sont termines,
puis rtablies par lintermdiaire du routeur B. Lorsque A redevient disponible, toutes les nouvelles
sessions sont tablies son niveau, mais celles dj existantes passant par B sont maintenues
jusqu ce que le temporisateur linger expire. Lomission du mot cl linger provoquera le maintien
de ces sessions sur le routeur B jusqu ce quelles se terminent delles-mmes. Ce mot cl peut tre
utilis pour minimiser les cots de liaison si le routeur De secours est accessible par lintermdiaire
dune ligne commute, mais laissera suffisamment de temps pour quun avertissement de lopra-
teur puisse tre envoy tous les utilisateurs finaux SNA.
Figure 8.13
Comment utiliser
les homologues
de secours pour Est
amliorer la
disponibilit A
dun grand rseau Routeur D
DLSw+. Token
Ring
B
Ouest C
Configuration du routeur D
NOTE
Avant lintroduction de Cisco IOS version 11.1, lorsque lhomologue principal tait nouveau actif aprs
une dfaillance, toutes les sessions qui utilisaient le routeur De secours taient immdiatement termines,
puis rtablies sur le routeur principal. Si ce nest pas le comportement que vous souhaitez et que vous utili-
siez une version du systme antrieure la version 11.1, envisagez la place lemploi dhomologues actifs
dupliqus (procdure dcrite dans la section prcdente).
Options dencapsulation
DLSw+ propose quatre options dencapsulation qui varient en termes de chemin de traitement
utilis, de surcharge sur le rseau tendu et de mdia support. Ces solutions dencapsulation sont
TCP, FST, lencapsulation directe et LLC2.
Encapsulation TCP
TCP est la mthode dencapsulation du standard DLSw. Cest la seule tre spcifie dans le RFC
1795 et offrir autant de fonctionnalits. Elle assure une livraison fiable des trames ainsi quun
acquittement local. Cest aussi la seule option qui propose un reroutage sans interruption aprs
Chapitre 8 Interrseaux DLSw+ 279
panne. Vous pouvez tirer profit de la fonction douverture de ligne la demande qui permet dajou-
ter dynamiquement de la bande passante si des liaisons principales atteignent un seuil de saturation
prconfigur. Cette mthode est recommande pour la plupart des environnements, car ses perfor-
mances sont gnralement plus que suffisantes ; elle propose la plus haute disponibilit, et la
surcharge de service gnre na en principe aucun impact ngatif sur les temps de rponse ou le
dbit.
TCP est commut par processus et requiert donc plus de cycles de traitement que FST et que
lencapsulation directe. Un routeur Cisco 4700 excutant DLSw+ avec lencapsulation TCP peut
commuter jusqu 8 Mbit de donnes par seconde. Cette solution peut donc rpondre aux exigences
de traitement de la plupart des environnements SNA. Lorsquun dbit suprieur est requis, des
routeurs supplmentaires ou dautres options dencapsulation peuvent tre utiliss.
Lencapsulation TCP est la solution qui gnre le plus de surcharge de service au niveau de chaque
trame (20 octets pour TCP et 20 octets pour IP, en plus des 16 octets de len-tte DLSw). La
compression den-tte TCP ou de la zone de donnes (payload) peut tre utilise pour rduire la
quantit de bande passante requise, si ncessaire. Sur des liaisons 56 Kbit/s ou plus, les 40 octets
de surcharge rallongent de moins de 5,7 ms le dlai dun change aller-retour ; limpact est donc
ngligeable.
DLSw+ avec lencapsulation TCP fournit lacquittement local et le sondage local, et rduit
galement le trafic keepalive (contrle dactivit de ligne) sur le rseau tendu. Cette solution
supporte nimporte quel mdia de rseau local et tendu. Lquilibrage de charge sur plusieurs
liaisons WAN ou chemins IP est possible, car TCP rorganise le trafic avant de le transmettre.
Quand vous utilisez lencapsulation TCP, vous pouvez assigner diffrents types de trafic diffrents
ports afin de pouvoir grer de faon prcise la mise en file dattente. On peut distinguer le trafic
LLC2 en se basant sur les SAP (pour identifier le trafic NetBIOS et SNA), et les dispositifs SNA
peuvent recevoir une priorit sur la base des adresses LOCADDR ou MAC/SAP. Voici un exemple
de commande dlsw remote-peer spcifiant lencapsulation TCP :
dlsw remote-peer 0 tcp 10.2.24.3
Encapsulation FST
FST est une option hautement performante utilise sur les liaisons grande vitesse (256 Kbit/s ou
plus) lorsquun dbit lev est requis. Cette solution utilise un en-tte IP avec des numros de
squence pour garantir que toutes les trames sont livres dans lordre (les trames reues dans le
dsordre sont ignores et le systme terminal doit les retransmettre).
Cette solution utilise la commutation rapide et non celle par processus, ce qui permet DLSw+ de
traiter davantage de paquets par seconde quavec lencapsulation TCP. Comme FST nutilise pas
TCP, la taille de son en-tte est plus petite de 20 octets par rapport celui de TCP.
Cependant, FST noffre aucune fonctionnalit de livraison fiable des trames et dacquittement local.
Toutes les trames keepalive circulent de bout en bout. FST est support uniquement lorsque les
systmes terminaux se trouvent sur un rseau Token Ring. Deux homologues FST peuvent commu-
niquer sur une liaison HDLC (High-Level Data Link), Ethernet, Token Ring, FDDI, ATM (Asyn-
chronous Transfer Mode), ou Frame Relay. Certains mdias de transport ne sont pas supports avec
les premires versions de maintenance FST peut assurer le reroutage pour contourner une ligne
280 Partie I Architecture de rseaux
dfaillante, mais avec un risque dinterruption. De plus, lquilibrage de charge sur plusieurs
liaisons WAN ou chemins IP nest pas recommand avec FST, car les trames peuvent tre dlivres
dans le dsordre, provoquant leur abandon. Les systmes terminaux doivent alors retransmettre, ce
qui rduit les performances globales du rseau.
Pour finir, la gestion de mise en file dattente nest pas aussi prcise avec FST, car vous ne pouvez
pas assigner diffrents types de trafics diffrents ports TCP. Cela signifie que les algorithmes de
gestion de files dattente ne peuvent pas prendre en compte les SAP (le trafic NetBIOS et SNA est
trait en tant que trafic LLC2), ni les adresses LOCADDR ou MAC. Voici un exemple de la
commande dlsw remote-peer fst qui spcifie une encapsulation FST :
dlsw remote-peer 0 fst 10.2.24.3
Encapsulation directe
Lencapsulation directe est une option faible surcharge de service pour le transport du trafic sur
des liaisons point--point lorsque le reroutage nest pas requis. Cette option est supporte sur des
liaisons HDLC et Frame Relay. Elle inclut un en-tte DLSw de 16 octets et un en-tte de contrle
de liaison de donnes. Elle utilise la commutation rapide et non la commutation par processus, ce
qui permet DLSw+ de traiter davantage de paquets par seconde quavec lencapsulation TCP.
Cette solution nassure ni la livraison fiable des trames, ni lacquittement local. Toutes les trames
keepalive circulent de bout en bout. Elle est supporte uniquement lorsque les systmes terminaux
sont situs sur un rseau local Token Ring. Le reroutage nest pas assur.
Finalement, la gestion de mise en file dattente nest pas aussi prcise avec cette solution, car vous
ne pouvez pas assigner diffrents types de trafic diffrents ports TCP. Cela signifie que lorsque
vous utilisez lencapsulation directe, les algorithmes de mise en files dattente ne peuvent pas pren-
dre en compte les SAP (le trafic NetBIOS et SNA est trait en tant que trafic LLC2), ni les adresses
SDLC ou MAC.
Cette solution est parfois envisage sur des lignes trs faible vitesse afin de rduire au minimum la
surcharge de service, mais lencapsulation TCP avec compression de la zone de donnes (payload)
peut garantir une surcharge WAN infrieure sans les limitations lies lencapsulation directe.
Voici un exemple de commande dlsw remote-peer spcifiant lencapsulation directe sur une ligne
HDLC :
dlsw remote-peer 0 interface serial 01
Dans cet exemple, lidentifiant de connexion de liaison de donnes (DLCI) 33 sur linterface srie 1
est utilis pour transporter le trafic DLSw. Le mot cl pass-thru indique que le trafic nest pas
acquitt localement. Sil nest pas spcifi, le trafic est acquitt localement, ce qui implique quil est
transport par LLC2 pour garantir une livraison fiable. La section suivante dcrit lencapsulation
LLC2.
Chapitre 8 Interrseaux DLSw+ 281
NOTE
La commande frame-relay map llc2 33 ne fonctionnera pas sur les sous-interfaces point--point. Il faut
spcifier la place le numro DLCI dans la commande frame-relay interface-dlci et spcifier le mme
numro dans la commande dlsw remote-peer frame-relay.
pessimistes, car ils supposent que chaque unit dinformation de chemin SNA (PIU) est encapsule
dans un paquet TCP distinct. En fait, sil y a plus dune PIU SNA dans la file de sortie, plusieurs
trames seront encapsules dans un seul paquet TCP, ce qui rduit la surcharge de service. Les chiffres
ne prennent pas en compte le fait que DLSw+ limine les paquets keepalive de contrle dactivit
de ligne et ceux dacquittement.
Figure 8.14
Encapsulation 40/1920 40/1200
Format de trame SDLC LAN SDLC LAN
et surcharge de
service par paquet TCP DLC IP TCP DLSw Donnes 5.7% 4.5% 9% 7%
pour divers types
dencapsulations
et tailles de FST DLC IP DLSw Donnes 3.7% 2.4% 5.8% 3.9%
transaction.
La surcharge effective par paquet de DLSw pour le trafic LAN est infrieure celle de SDLC, car
DLSw+ limine le besoin de transporter les adresses MAC et les informations RIF dans chaque
trame. DLSw ne transporte pas ces donnes, car lidentifiant de circuit DLSw (portion de len-tte
DLSw de 16 octets) est utilis pour la correspondance de circuit. La surcharge lie aux adresses
MAC et aux informations RIF peut sinon reprsenter de 12 28 octets de donnes. Les pourcenta-
ges de la figure supposent une surcharge minimale (cest--dire informations RIF non comprises).
Listes de ports
Les listes de ports vous permettent de crer des anneaux virtuels ou des domaines de diffusion sur
un rseau DLSw+. Vous pouvez les utiliser pour contrler vers quelle destination les messages en
diffusion gnrale sont transmis. Par exemple, dans la Figure 8.15, il y a trois anneaux sur le site de
distribution (o se situe lhomologue A).
Tous les anneaux comportent des systmes terminaux SNA, mais lanneau 15 est le seul qui
connecte des serveurs NetBIOS. Lagence relie lhomologue B a besoin daccder aux serveurs
NetBIOS, mais pas aux autres anneaux. La fonction de listes de ports permet de maintenir les diffu-
sions gnrales provenant de lhomologue B en dehors des anneaux 12 et 22 (lempchant de
communiquer avec les dispositifs situs sur ces deux anneaux).
A laide de ces listes, vous pouvez oprer une distinction entre les diffrents ports Token Ring et ports
srie, mais tous les ports Ethernet sont traits comme une seule entit (groupe de pont Ethernet).
Chapitre 8 Interrseaux DLSw+ 283
Figure 8.15
Listes danneaux Token
utilises pour limiter des Liste de Ring 22
ports 2
domaines de diffusion
Token
sur un rseau DLSw+. Ring 12 Homologue A Homologue B Homologue C
Token
Ring 15 Token Explorateur
Ring 19
Liste de ports 1
Homologue A
dlsw local-peer peer-id 10.2.17.1
dlsw remote-peer 1 tcp 10.2.24.2 /* PEER B est associ avec la liste de ports
dlsw remote-peer 2 tcp 10.2.24.3 /* PEER C est associ avec la liste de ports
dlsw ring-list 1 rings 15
dlsw ring-list 2 rings 22 12 15
Figure 8.16
Utilisation
dhomologues
interzones et de
groupes dhomologues
pour rduire le nombre
de connexions TCP
requises tout en
Configuration de l'homologue O1 Configuration de l'homologue E1
maintenant dlsw local-peer peer-id 10.2.17.1 group West dlsw local-peer peer-id 10.2.24.3 group East
une connectivit dlsw remote-peer 0 tcp 10.2.24.1 dlsw remote-peer 0 tcp 10.2.18.2
dlsw peer-on-demand-defaults tcp dlsw peer-on-demand-defaults tcp
any-to-any totale.
Configuration de l'homologue HIO Configuration de l'homologue HIE
dlsw local-peer peer-id 10.2.24.1 group West dlsw local-peer peer-id 10.2.18.2 group East
border promiscuous border promiscuous
Les homologues interzone tablissent une connexion dhomologues entre eux. Lorsquun routeur
Du groupe Ouest doit trouver une ressource, il envoie un seul paquet dexploration son homolo-
gue interzone. Celui-ci transmet le paquet dexploration chaque homologue membre de son
groupe et tous les autres homologues interzone. Le HIE qui reoit le paquet le transmet chaque
routeur De son groupe. Lorsque la ressource est trouve (dans ce cas sur E1), une rponse positive
est envoye vers lorigine (O1) via les deux homologues interzones. A cette tape, O1 tablit une
connexion dhomologues directe vers E1. Les connexions dhomologues qui sont tablies par
lintermdiaire dhomologues interzones sans lavantage de la prconfiguration sont appeles
connexions dhomologues la demande. Les rgles grant ltablissement dhomologues la
demande sont dfinies par les commandes dlsw peer-on-demand-defaults tcp sur chaque routeur.
Homologues dynamiques
Les homologues dynamiques (fonction introduite avec Cisco IOS version 11.1) sont configurs en
tant quhomologues distants uniquement connects lorsque des circuits les utilisent. Quand une
commande dlsw remote-peer spcifie le mot cl dynamic, lhomologue distant nest activ que si
un systme terminal envoie une trame dexploration qui satisfait toutes les conditions de filtrage
spcifies par la commande. Une fois la connexion dynamique tablie, le paquet dexploration est
transmis lhomologue distant. Si la ressource est localise, un circuit est tabli et lhomologue
distant demeure actif jusqu ce que tous les circuits qui lutilisent se terminent et que cinq minutes
se soient coules. Vous pouvez spcifier le mot cl no-llc pour modifier le dlai observer en choi-
sissant une valeur autre que cinq minutes. Optionnellement, lhomologue distant peut tre configur
pour tre dconnect lorsquil ny a aucune activit sur les circuits pendant un certain temps
prconfigur (temporisateur dinactivit).
Des filtres permettant de rduire le nombre de paquets dexploration envoys vers un homologue
distant peuvent tre inclus dans les commandes dlsw remote-peer. Ces filtres servent galement
empcher lactivation dun homologue dynamique. Cette commande permet de pointer vers des
listes de SAP, dadresses MAC, de noms NetBIOS, ou de filtres de dplacement binaire (byte
offset). Avec cette commande, vous pouvez aussi prvoir une adresse MAC pour un homologue
dynamique qui ne sera activ que si un paquet dexploration est envoy vers ladresse spcifie. La
Figure 8.17 illustre lutilisation de cette fonction. Lhomologue dynamique nest connect que si
Chapitre 8 Interrseaux DLSw+ 285
une trame dexploration est reue destination de ladresse MAC du FEP. Aprs ltablissement de
la connexion, celle-ci sera libre, ainsi que les circuits qui lutilisent, si aucune activit nest dtec-
te pendant 20 minutes, en raison du paramtre inactivity 20 spcifi.
Figure 8.17
Des routeurs DLSw+
configurs pour tirer
profit de la fonction
dhomologue
dynamique.
Homologue A Homologue B
Toutefois, les homologues DLSw+ senvoient priodiquement des messages keepalive, ce qui
provoque lactivation de la ligne. Loption keepalive permet de spcifier la frquence dchange de
ces messages. La valeur 0 indique quaucun message keepalive nest envoy et que, par consquent,
la ligne commute nest pas maintenue active. Vous devez spcifier la valeur 0 sur les deux homolo-
gues, cest--dire que vous devez soit spcifier les routeurs distants la fois sur le routeur local et
sur le routeur Distant DLSw+, soit utiliser la commande prom-peer-default pour configurer
keepalive zro pour toutes les connexions dhomologues transparentes (promiscuous). Cette
commande possde les mmes options que la commande peer-on-demand-defaults et est disponi-
ble sur les versions de maintenance les plus rcentes de DLSw+.
Le mot cl timeout est recommand. En labsence des messages keepalive dhomologues, DLSw+
repose sur les temporisateurs TCP pour dterminer lorsque la session SNA est termine. TCP consi-
drera quil a perdu un partenaire seulement sil ne reoit pas dacquittement de sa part aprs avoir
envoy des donnes. Par dfaut, le protocole peut attendre jusqu 15 minutes la rception dun
acquittement avant de librer la connexion. Par consquent, lorsque le paramtre keepalive indique
une valeur 0, vous devez galement dfinir le mot cl timeout, qui reprsente le temps dattente du
protocole (en secondes) avant la dconnexion. Le temporisateur devrait indiquer une valeur suffi-
samment longue pour permettre lacquittement de traverser la liaison dans les cas de congestion
moyenne ou forte, mais suffisamment courte galement pour limiter le temps ncessaire au proto-
cole pour se rtablir aprs une interruption sur le rseau. Les connexions de contrle de liaison de
donnes de SNA attendent gnralement 150 250 secondes avant dentreprendre laction prvue
aprs expiration du temporisateur.
Autres considrations
Outre le fait dempcher le trafic des messages keepalive dactiver la ligne RNIS, vous devez aussi
vous inquiter des mises jour de routage. Pour empcher lactivation de la ligne par les mises
jour des tables de routage dans les environnements avec une configuration hub and spoke (en rayon
autour dun point central), utilisez des routes statiques. Sinon, vous pouvez utiliser le protocole RIP
(Routing Interface Protocol) version 2 ou le routage IP la demande, depuis les agences vers le site
central. Le routage la demande ou ODR (On-Demand Routing) est un mcanisme qui assure un
routage IP faible surcharge de service pour les sites de second niveau. Dfinissez le routage RIP
version 2 ou le routage ODR sur linterface RNIS du routeur central en mode passif. Redistribuez
ensuite les itinraires RIP version 2 ou ODR vers le protocole de routage principal (Enhanced IGRP
ou OSPF). Cela vous permet de disposer de plusieurs routeurs sur le site central pour lquilibrage
de charge et la redondance. Ensuite, la route sera installe dynamiquement, quel que soit le routeur
qui reoit lappel du site distant. Sur le site distant, le protocole de routage (RIP ou ODR) doit tre
rejet de la liste du numroteur.
Pour les topologies mailles, vous pouvez rduire au minimum les mises jour de tables de routage
en utilisant un protocole vecteur de distance, comme RIP ou IGRP, en combinaison avec la fonc-
tion de routage snapshot de Cisco. Le routage snapshot empche que les mises jour de routage
ordinaires nactivent la connexion RNIS. Les modifications dans les tables de routage sont
envoyes soit lorsque le lien est ouvert par un trafic provenant de lutilisateur final, soit en respec-
tant un intervalle rgulier configurable. Ce routage supporte non seulement les mises jour de
routage IP, mais aussi le routage Novell IPX et les mises jour SAP.
Chapitre 8 Interrseaux DLSw+ 287
De nombreuses implmentations NetBIOS utilisent des messages keepalive de session (outre ceux
du contrle de liaison de donnes) pour maintenir les sessions. Aussi, la fonction DDR peut ne pas
fonctionner avec NetBIOS (les messages garderont la ligne active).
Commutation locale
La commutation locale (disponible avec Cisco IOS version 11.1 ou ultrieure) autorise un seul
routeur assurer la conversion de mdia entre SDLC et Token Ring, et entre QLLC et un LAN.
Cela peut savrer utile dans les environnements qui ncessitent une conception de rseau SNA
simplifie et une disponibilit amliore. Par exemple, en convertissant SDLC vers Token Ring,
moins de trames FEP dextension sont ncessaires ; les dplacements, les ajouts, les modifications
sont plus facilement raliss, et le rtablissement suite une dfaillance de FEP ou de coupleur
dinterface Token Ring (TIC, Token Ring Interface Coupler) peut tre automatique (en utilisant les
adresses de TIC dupliques). La commutation locale peut tre exploite pour connecter des disposi-
tif SDLC directement un routeur Cisco avec une carte CIP. Elle peut galement tre employe
dans le cadre dun rseau tendu sur lequel lagence distante possde des dispositif SNA sur des
rseaux locaux, mais lorsque le FEP du site central ncessite quand mme la connectivit srie (par
exemple, lorsque le FEP est un routeur Cisco 3725). Pour utiliser la commutation locale, omettez
les commandes dlsw remote-peer. Avec la commande dlsw local-peer, lidentifiant dhomologue
est inutile. La Figure 8.18 illustre un exemple de rseau avec sa configuration.
Figure 8.18
Configuration de
la commutation locale
dans un environnement C1
combinant des units
PU 2.0 et 2.1. PU 2.1
MSD
Token
C2 Routeur A Ring
PU 2.0
Homologue A Routeur A
dlsw local-peer
interface serial 0
sdlc role primary
sdlc vmac 4000.3174.0000
sdlc address c1 xid-poll
sdlc partner 4000.3745.0001 c1
sdlc address c2
sdlc xid c2 01767890
sdlc partner 4000.3745.0001 c2
sdlc dlsw c1 c2
288 Partie I Architecture de rseaux
Rsum
Ce chapitre a prsent DLSw+ en fournissant des descriptions accompagnes dexemples de confi-
guration pour vous permettre de concevoir rapidement des rseaux DLSw+ simples. Il a pass en
revue les composants essentiels des diverses fonctionnalits de la commutation de liaisons de
donnes (DLSw+) et dcrit les extensions incluses dans DLSw+ par rapport au standard DLSw.
Enfin, il a prsent les fonctionnalits avances de DLSw+, ses avantages et ses divers contextes
dutilisation.
9
Conception et
configuration avec CIP
Ce chapitre est extrait du livre (en langue anglaise) Internetworking SNA with Cisco Solutions,
publi par Cisco Press.
Les fonctionnalits du CIP (Channel Interface Processor, processeur dinterface de canal) et du
CPA (Channel Port Adapter, adaptateur de port de canal) de Cisco autorisent une connexion directe
par canal un mainframe IBM. Le CIP est disponible pour les routeurs Cisco 7000 et 7500. La
carte CPA est disponible uniquement pour les routeurs Cisco 7200. Pour notre propos, nous nous
rfrerons uniquement au CIP comme solution de connexion au mainframe. Toutes les caractristi-
ques, fonctions et commandes utilises pour se connecter des ressources de mainframe via un
routeur Cisco dot du CPA sont supportes comme pour le CIP.
La connexion directe dun routeur Cisco un canal de mainframe permet au routeur dexcuter les
fonctions prsentes ci-dessous et qui ntaient avant assures que par les contrleurs FEP
IBM 3745 et Interconnect Controller IBM 3172 :
m connexion dquipements relis par LAN aux applications TCP/IP ou SNA situes sur le mainframe ;
m fonction de dcharge TCP/IP Offload de IBM TCP/IP pour MVS ou de Cisco IOS pour S/390 ;
m fonction MPC (Multipaht Channel) ;
m fonction CLAW (Common Link Access for Workstations) pour laccs TCP/IP un mainframe ;
m fonction Cisco SNA (CSNA) permettant le transport de SNA et APPN ISR vers VTAM ;
290 Partie I Architecture de rseaux
m Fonction CMPC (Cisco Multipath Channel) pour le support des donnes de APPN ISR et APPN
HPR ;
m connexion via une carte de canal parallle PCA (Parallel Channel Adapter) ;
m connexion via une carte ECA (ESCON [Enterprise System Connection] Channel Adapter).
Outre ces fonctionnalits, le systme Cisco IOS offre des options de connectivit avances par
lintermdiaire des fonctions suivantes non prsentes sur les contrleurs FEP IBM 3745 et Intercon-
nect Controller IBM 3172 :
m fonction TCP Assist pour dcharger le mainframe du traitement des sommes de contrle TCP/IP ;
m support pour hberger le serveur TN3270 sur le routeur ;
m correspondance de priorit et de type de service (ToS) IP pour les connexions TN3270 ;
m support de APPN HPR sur le routeur Cisco ;
m support pour le serveur NCIA sur le routeur Cisco ;
m support pour DLSw+ sur le routeur Cisco ;
m support pour APPN DLUR/DLUS.
Le support complet de toutes ces fonctions ainsi que de celles vues prcdemment pour le transport
de donnes SNA sur des WAN multimdias permet au routeur Cisco connect via canal dtre
propos comme solution de remplacement totalement fonctionnelle pour les contrleurs IBM 3745
ou 3172, ainsi que pour la plupart dautres quipements de passerelle de canal.
NOTE
Bien que CIP gre concurremment la connectivit SNA, APPN et TCP/IP avec le mainframe, ce chapitre traite
seulement des options de communication avec SNA et APPN.
Critres de conception
La carte processeur Cisco CIP supporte de nombreuses fonctions de connexion un mainframe
dIBM pour SNA. Avec la possibilit dutiliser ESCON, il est possible dobtenir une connectivit
varie avec le mainframe partir dun seul CIP et damliorer ainsi sa disponibilit pour les
sessions SNA en aval. Lhte doit utiliser EMIF pour permettre au CIP dtre reli plusieurs parti-
tions logiques (LPAR) avec un seul canal de connexion. Les points suivants font partie des facteurs
considrer lors de limplmentation du CIP :
m Quelles sont, parmi les nombreuses fonctions de transport de SNA du systme IOS, celles qui
sont actuellement implmentes et quelles sont celles qui sont prvues ?
m Quelle est la couche de larchitecture dinterconnexion du routeur Cisco qui est la plus appro-
prie pour soutenir le transport de SNA vers le routeur Cisco CIP : la couche centrale, daccs
ou de distribution ?
m Combien de routeurs CIP et dinterfaces CIP sont-ils ncessaires pour grer le trafic SNA vers
le mainframe ?
Chapitre 9 Conception et configuration avec CIP 291
m Quelle est linfluence sur les besoins, en matire de mmoire de traitement du routeur et de
mmoire CIP, que peut avoir le support du trafic SNA sur la connexion CIP ? Cette question est
importante lorsque des trames LLC2 doivent tre transportes vers la connexion via une
mthodologie par pont.
m Le rseau SNA est-il un mlange de routage de sous-zone SNA et de APPN ISR/HPR ou une
variante de cette configuration ?
m Quel est le niveau de besoins de recourir une procdure de reprise sans interruption ou automa-
tique du mainframe au moyen dune configuration offrant une haute disponibilit ?
Il existe trois configurations fonctionnelles typiques permettant dimplmenter des routeurs Cisco
CIP, comme vous le verrez dans les sections suivantes.
Figure 9.1
Connectivit avec le mainframe
IBM avec un routeur CIP runissant
toutes les fonctions.
Figure 9.2
Connectivit CIP et SNA avec
le mainframe IBM.
SNA
IP
WAN
CIP en solo
Il est possible dexploiter CIP pour traiter uniquement le trafic SRB LLC2 et IP par lintermdiaire
dun cloisonnement supplmentaire de services. Le trafic SRB sur un routeur est commut au lieu
Chapitre 9 Conception et configuration avec CIP 293
demployer DLSw+ ou APPN/DLUR, qui sont traits par le processeur principal du routeur. Dans
une telle configuration (voir Figure 9.3), les routeurs ne grant que SNA sur le LAN backbone du
centre de donnes sont les homologues (peer) DLSw+ pour les sites distants. Ils transportent les
trames SNA reues vers les routeurs CIP au moyen de SRB. Quant aux routeurs WAN, ils livrent le
trafic bas IP directement aux routeurs CIP. Le CIP gre 6 000 sessions PU SNA, ou mme davan-
tage, avec ce type de connexion.
Figure 9.3
Connectivit SRB et IP seul
avec le mainframe IBM.
SNA
IP
SNA
IP
WAN
Configurations de conception
Les informations de configuration donnes ici concernent lemploi dun routeur Cisco CIP pour
assurer la connectivit avec un mainframe la place dun FEP IBM 3745. Les exemples de configu-
ration couvrent de nombreux mcanismes de transport SNA dj tudis, en illustrant lexploitation
du CIP comme solution de remplacement de lIBM 3745 en tant quadresse de destination MAC
pour tablir une connexion SNA.
294 Partie I Architecture de rseaux
Figure 9.4
Configurations
avec PCA, ESCON
et MPC pour la
connectivit entre
CIP et mainframe.
Cisco
CIP Cisco ESCON
PCA CIP Director
CSNA
R3
Cisco ESCON
CIP Director
CMPC
Canal de lecture
Canal d'criture
Canal de lecture/criture
La Figure 9.4 illustre avec le deuxime routeur, la connectivit entre CIP et mainframe laide de
cartes ECA (ESCON Channel Adapter). Une connexion est tablie directement via ECA et lautre
utilise ESCON Director. Cette technologie permet daccder plusieurs partitions logiques (LPAR)
ou plusieurs mainframes au moyen dune seule connexion ESCON partir du routeur. Le disposi-
tif ESCON Director est en quelque sorte un commutateur. Les interfaces PCA et ECA utilisent
chacune un seul canal pour les oprations de lecture et dcriture avec le mainframe.
Chapitre 9 Conception et configuration avec CIP 295
NOTE
Le CIP fonctionne aussi avec EMIF pour autoriser des accs plusieurs LPAR sans lusage du commutateur
ESCON Director.
Le routeur R3 dans la Figure 9.4 emploie la fonction Cisco MPC (CMPC) pour se connecter au
mainframe via ESCON. Elle permet lutilisation dune paire de canaux, lun pour la lecture et
lautre pour lcriture, appele groupe de transmission (TG). Si vous disposez dun CIP auquel sont
connectes deux cartes dinterface de canal, lune peut tre ddie la lecture et lautre lcriture.
La fonction CMPC peut aussi utiliser une paire de sous-canaux via un seul canal physique.
Figure 9.5
Haute disponibilit, avec
lemploi de RSRB et dune
adresse MAC duplique ESCON ESCON
Director E5 F5 Director
sur deux routeurs Cisco
CIP connects via des
commutateurs ESCON Anneau CIP C4/2 C6/2 Anneau CIP
Director. 37 45
R1 R2
RSRB Homologue 10.1.1.1 RSRB Homologue 10.1.2.1
Adresse MAC 4000.7513.0001 S0/0 S0/0 Adresse MAC4000.7513.0001
WAN
Anneau virtuel
3157
S0 S1
R3
RSRB Homologue 10.1.3.1
T1
Anneau
1
PU1
Le cache sur R3 maintient deux entres RIF pour ladresse MAC de destination : lune via R1 et
lautre via R2. La premire entre dans le cache est celle utilise par lemplacement distant. Si le
routeur R1, ou sa connexion de canal, devenait inoprant, il expirerait et toutes les nouvelles
sessions tabliraient leur connectivit SNA par lintermdiaire du routeur R2.
Figure 9.6
Haute disponibilit avec
lemploi dune adresse MAC
duplique, et quilibrage de
charge avec DLSw+ sur deux ESCON ESCON
Director E5 F5 Director
routeurs Cisco CIP connects
via deux commutateurs
ESCON Director.
Anneau CIP C4/2 C6/2 Anneau CIP
37 45
R1 R2
Adresse MAC Adresse MAC
4000.7513.0001 T0/0 T0/0 4000.7513.0001
Anneau Anneau
31 57
T0 T0
R4 R5
DLSw+ DLSw+
Homologue 10.1.4.1 S0 S1 Homologue 10.1.5.1
Anneau 400 Anneau 500
WAN
S1 S0
R3
DLSw+
T1 Homologue 10.1.3.1
Anneau 300
Ring
1
PU1
CMPC TG CMPC TG
VTAM1 VTAM2
Anneau CIP 41 Anneau CIP 62
C4/1 C6/1
R2 E0
WAN
E0 IP
R3
Serveur TN3270/DLUR Client TN3270
Telnet vers 10.70.1.2
R1 WAN
NN APPN
HPR
Anneau CIP
1
Anneau virtuel
200
NOTE
Limage CIP est prcharge sur les cartes flash pour tous les routeurs Cisco 7000 avec RSP7000, Cisco 7500 et
Cisco 7200, commands avec loption CIP/CPA du systme Cisco IOS, partir de la version 11.1.
Le microcode Cisco CIP peut tre trouv sur le site Web de Cisco sous la rubrique "Support". Aprs
avoir trouv celui qui convient pour votre CIP ou CPA, tlchargez via TFTP vers un serveur TFTP
valide de votre rseau. Excutez les commandes de lExemple 9.1 pour transfrer le microcode CIP
dun serveur TFTP vers une carte flash sur le routeur.
Le fichier de configuration du routeur doit disposer dun pointeur vers le nom et lemplacement du
microcode CIP. Cela est ralis en entrant dans le mode de configuration sur le routeur et en tapant
la commande de configuration microcode (voir Exemple 9.2).
300 Partie I Architecture de rseaux
Le paramtre chemin de la commande csna est subdivis en trois arguments : chemin logique,
adresse logique de canal et adresse dunit de contrle.
m Le chemin logique, compos de deux chiffres hexadcimaux, reprsente ladresse de la
connexion physique au niveau du mainframe. Suit un chiffre hexadcimal pour ladresse dunit
de contrle et un autre pour ladresse du dispositif. Les connexions du canal PCA requirent que
les deux premiers chiffres de la valeur de chemin soient 01. Les deux autres chiffres sont confi-
gurs dans le fichier de gnration IOCP et devraient correspondre au dispositif appropri.
m Ladresse logique de canal ESCON du paramtre csna chemin doit correspondre la valeur du
port dentre ESCON PATH comme elle a t dfinie dans la gnration IOCP. Dans le cas de
lemploi dun commutateur ESCON Director, il sagit du port servant la connexion avec le
mainframe, et dans le cas contraire (connexion ESCON directe avec le mainframe), largument
a la valeur 01. La dfinition de macro CHPID de IOCP/HCD pointe vers la partition logique au
moyen dune valeur nomme dans le paramtre PART. La macro RESOURCE de IPCP/HCD dfi-
nissant la partition nomme spcifie le numro LPAR de cette dernire. Le codage dune valeur
pour le partage pour la macro CHPID didentification de chemin de canal ncessite lindication
du numro de partition LPAR se connectant la dfinition csna par lintermdiaire dun ESCON
Director. Si ce commutateur nest pas utilis, la valeur de chemin est 01.
m Ladresse dunit de contrle du paramtre csna chemin est reprsente par un seul chiffre hexa-
dcimal qui doit correspondre au paramtre IOCP/HCD CUADD de la macro CNTLUNIT. Si ce
paramtre na pas t cod dans la macro pour ce canal, on utilise par dfaut la valeur 0.
Le paramtre dispositif de la commande csna reprsente la position de linterface CIP comme
dispositif connect au canal. La valeur indique provient du paramtre UNITADD de la macro CTLUNIT
dans la dfinition IOCP/HCD.
Chapitre 9 Conception et configuration avec CIP 301
Par exemple, si une adresse IOCP IODEVICE est EB2, que le paramtre UNITADD de la macro CTLUNIT
est spcifi avec EB0 et que le paramtre IOCP UNITADD commence 00, la commande dinterface
serait dfinie de la faon suivante :
csna E220 02
Ladresse de port ESCON se connectant au mainframe est E2. La partition logique qui utilise cette
connexion est LPAR numro 2 et la valeur CUADD est par dfaut de 0. Le CIP est connect comme
troisime dispositif sur le canal (en comptant partir de 0), car le paramtre de dispositif indique 02.
Supposez une adresse IODEVICE de 97A, un paramtre IODEVICE ADDRESS spcifiant une adresse
dentre/sortie dbutant 920 pour 64 adresses : IODEVICE ADDRESS=(0920,64) et un paramtre UNITADD
correspondant commenant 20 pour 64 dispositifs : UNITADD=(20,64). Le paramtre csna dispositif
serait le rsultat de la diffrence entre 7A et 20, ce qui donne 5A. La commande csna correspon-
dante serait ainsi code :
csna E220 5A
La valeur du mot cl optionnel maxpiu indique en octets la taille maximale que peut avoir un paquet
plac sur le canal en cours de dfinition. Ce paramtre est comme un quivalent la valeur de SNA
MAXDATA ou IP MTU. Sa valeur est par dfaut de 20 470 octets si elle nest pas code, et peut
varier de 4 096 65 535 octets. La syntaxe pour la spcifier est la suivante :
maxpiu valeur
La valeur du mot cl optionnel time-delay est indique en millisecondes et fixe le dlai observ
avant la transmission dun paquet reu sur linterface. Elle est par dfaut de 10 ms et varie sinon
entre 0 100 ms. La syntaxe pour la spcifier est la suivante :
time-delay valeur
La valeur du mot cl optionnel length-delay fixe le nombre doctets placer en tampon avant
quils soient envoys sur linterface de transmission. Elle est par dfaut de 20 470, et les valeurs
valides doivent faire partie de lintervalle 0 65 535. La syntaxe du mot cl est la suivante :
length-delay valeur
Exemple 9.3 : Dfinition de LAN virtuel interne pour les services CSNA
source-bridge ring-group 4
!
interface Channel 4/0
no ip address
csna E220 02
!
interface Channel4/2
no ip address
no keepalive
LAN Tokenring 0
source-bridge 6 1 4
adapter 0 4000.C15C.0001
302 Partie I Architecture de rseaux
Avec ce listing, linterface virtuelle CIP Channel 4/2 est utilise pour dfinir le LAN virtuel interne.
Comme la fonction CSNA ne requiert pas dadresse IP pour la connexion avec le mainframe,
aucune dfinition dadresse nest prvue. Cest ce quindique la commande no ip address. Comme
il sagit dune interface virtuelle suppose ntre tablie et active que lorsque linterface physique
Channel 4/0 est active, les messages keepalive ne sont pas ncessaires, ce quindique la commande
no keepalive.
NOTE
Le CPA dun routeur Cisco 7200 nemploie pas dinterface virtuelle. Par consquent, les commandes traites
la section interface virtuelle du CIP seraient valables pour une interface physique sur le CPA.
Linterface LAN virtuelle interne est dfinie avec LAN. Elle peut spcifier les paramtres FDDI,
Ethernet et Tokenring, mais ce dernier reprsentait le seul LAN interne support au moment de la
rdaction de louvrage. La valeur 0 qui suit le paramtre LAN Tokenring indique au CIP quil sagit
de linterface LAN virtuelle 0. Le numro dinterface peut varier de 0 31. Linterface virtuelle
Channel 4/2 peut se voir assigner plusieurs interfaces LAN virtuelles.
Linstruction source-bridge qui suit la commande LAN Tokenring dfinit la connexion entre cet
anneau virtuel LAN et lanneau virtuel WAN. Celui-ci est la valeur indique dans la commande
globale source-bridge ring-group. Linstruction de lExemple 9.3 associe le numro 6 au segment
de lanneau LAN virtuel. Elle spcifie donc la connectivit entre le segment danneau virtuel de
LAN interne (6) et le segment danneau virtuel de WAN (4) par lintermdiaire du pont 1.
La dernire instruction requise pour la connectivit CSNA est adapter. Elle spcifie le numro rela-
tif dadaptateur (RAN, Relative adapter number), ainsi que ladresse MAC qui lui est assigne,
utiliser sur le segment de LAN virtuel interne. La valeur de RAN doit figurer dans lintervalle 0 17
et correspondre au paramtre ADAPNO de nud principal VTAM XCA. Le CIP autorise la dfinition
de plusieurs adaptateurs virtuels pour le segment de LAN virtuel interne Token-Ring.
Ladresse MAC virtuelle du LAN interne (voir Exemple 9.3) est 4000.C15C.0001 sur ladaptateur 0.
Elle sera ladresse MAC de destination pour les quipements se connectant au mainframe au moyen
de SNA.
Cette valeur doit tre ladresse du dispositif dE/S dsigne par la variable device-address de
linstruction CSNA dfinie pour linterface CIP Channel 4/0.
Le paramtre SAPADDR de linstruction PORT indique le point daccs au service (SAP) que ce nud prin-
cipal VTAM XCA utilise pour la communication avec les quipements travers la connexion de canal.
La valeur 4 de ce paramtre spcifie sur le XCA doit correspondre avec les dfinitions de contrleur
PU SNA des quipements qui communiquent avec le VTAM par lintermdiaire du CIP2.
Le dernier paramtre XCA de linstruction PORT est MEDIUM. Il spcifie le type de LAN utilis.
Cette valeur doit reflter le type de LAN virtuel dfini sur le CIP pour communiquer avec le VTAM.
Dans les exemples donns, la valeur RING sur le XCA identifie lemploi dun LAN Token-Ring
dfinit par linstruction LAN sur linterface virtuelle CPI2 Channel 4/2.
Exemple 9.4 : Dfinition de nud principal VTAM XCA pour une connexion CIP
XCAR1 VBUILD TYPE=XCA
CIPEB21 PORT ADAPNO=0,CUADDR=EB2,SAPADDR=4,MEDIUM=RING,TIMER=60
* RESSOURCES COMMUTEES PU2/PU2.1 *
GEB2101 GROUP DIAL=YES,ISTATUS=ACTIVE,AUTOGEN=(50,L,P)
Exemple 9.5 : Instructions requises sur linterface CIP Channel 4/2 pour le support
du serveur TN3270
source-bridge ring-group 4
interface channel 4/0
csna 0110 00
!
interface Channel 4/2
ip address 192.168.6.1 255.255.255.0
no keepalive
max-llc2-sessions 2000
LAN Tokenring 0
source-bridge 6 1 4
adapter 0 4000.0000.7006
adapter 1 4000.3270.7006
tn3270-server
maximum-lus 4000
pu PUEB2001 017FABC0 192.168.6.2 token-adapter 1 04 luseed LUTNS###
304 Partie I Architecture de rseaux
La commande tn3270-server permet lemploi des fonctions du serveur TN3270. Celui-ci peut grer
au maximum 30 000 sessions LU. Linstruction maximum-lus limite le nombre dunits LU pouvant
tre supportes par le serveur TN3270. Il est de 4000 dans lexemple. La valeur de max-llc2-
sessions dfinie prcdemment limite nanmoins 2000 le nombre dunits logiques possibles
nimporte quel moment.
Llment principal du serveur TN3270 est la dfinition de lunit PU SNA. Linstruction PU dfinit
les variables requises pour tablir les sessions PU et LU avec le VTAM sur le mainframe. La
syntaxe de linstruction est la suivante :
PU nom-pu idblkidnum adresse-ip type-adaptateur ran saplocal luseed basenomlu
Exemple 9.6 : Dfinition de PU commut pour supporter les DDDLU pour le serveur TN3270
* DEFINITION DE COMMUTATEUR CIP
SWEB200 VBUILD TYPE=SWNET,MAXGRP=4,MAXNO=80
PUEB2001 PU ADDR=01,PUTYPE=2,MAXPATH=4,ANS=CONT,LOGAPPL=NMT,
ISTATUS=ACTIVE,MAXDATA=521,IRETRY=YES,MAXOUT=7,
PASSLIM=5,IDBLK=017,IDNUM=FABC0,MODETAB=SDLCTAB,
LUSEED=LUTNS###,LUGROUP=EB2LUGRP,USSTAB=TESTUSS
PATHEB2 PATH DIALNO=01400032707006,GRPNM=GEB2001
*LUTNS001 LU LOCADDR=1
*LUTNS002 LU LOCADDR=2
*LUTNS003 LU LOCADDR=3
*LUTNS004 LU LOCADDR=4
Chapitre 9 Conception et configuration avec CIP 305
LExemple 9.6 illustre le nom LU rsultant pour les quatre premires units logiques LU sur le
nud principal commut reprsentant le PU serveur TN3270 dfini sur le routeur. Lastrisque *
indique une ligne de commentaire pour VTAM. La valeur de dpart de LU luseed du routeur doit
correspondre la valeur LUSEED spcifie dans le nud principal commut VTAM. La valeur
LUGROUP dans le nud principal commut pointe vers une liste qui identifie le type de modle LU.
LExemple 9.7 liste un nud principal LUGROUP pour VTAM.
Exemple 9.7 : Dfinition du nud VTAM LUGROUP pour supporter les DDDLU
pour le serveur TN3270
TN3270G VBUILD TYPE=LUGROUP
*
* RESSOURCES PU2/PU2.1 COMMUTEES *
* *
* TEST NOEUD PRINCIPAL LUGROUP XCA POUR SESSIONS TN3270 *
* POUR CISCO CIP *
*
EB2LUGRP LUGROUP
327802 LU DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327803 LU DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327804 LU DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327805 LU DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327902 LU DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327903 LU DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327904 LU DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327905 LU DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327802E LU DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327803E LU DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327804E LU DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327805E LU DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327902E LU DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327903E LU DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327904E LU DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
327905E LU DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USS3270,LOGAPPL=NMT
3278S2 LU DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S3 LU DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S4 LU DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S5 LU DLOGMOD=D4C32785,
306 Partie I Architecture de rseaux
Exemple 9.7 : Dfinition du nud VTAM LUGROUP pour supporter les DDDLU
pour le serveur TN3270 (suite)
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S2 LU DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S3 LU DLOGMOD=D4C32783,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S4 LU DLOGMOD=D4C32784,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S5 LU DLOGMOD=D4C32785,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S2E LU DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S3E LU DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S4E LU DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3278S5E LU DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S2E LU DLOGMOD=SNX32702,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S3E LU DLOGMOD=SNX32703,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S4E LU DLOGMOD=SNX32704,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
3279S5E LU DLOGMOD=SNX32705,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
@ LU DLOGMOD=D4C32782,
MODETAB=ISTINCLM,SSCPFM=USSSCS,LOGAPPL=NMT
Le paramtre lsap type numro-adaptateur [saplocal] dfinit ladresse locale du point daccs
au service (SAP) pour le nud dextrmit (EN) DLUR. Le paramtre type identifie le type dadap-
tateur LAN interne utilis pour le DLUR. La seule valeur valide lpoque de la rdaction de ce
livre tait token-adapter. Largument numro-adaptateur renseigne sur ladaptateur utilis sur le
LAN interne pour la connexion DLUR. La variable optionnelle saplocal reprsente ladresse locale
du point daccs au service (SAP) utilise par le DLUR, et peut prendre une valeur de lintervalle 04
FC, pouvant tre incrmente par pas de quatre (multiple de quatre). La valeur slectionne doit
tre unique pour toutes les connexions LLC2 traversant ladaptateur. La valeur par dfaut est C0.
La commande link nom [rmac macdist] [rsap sapdist] dfinit une liaison APPN vers lhte pour
le nud dextrmit DLUR. Largument nom est une chane alphanumrique de huit caractres qui
identifie la liaison. Ce nom doit tre unique pour le DLUR en cours de dfinition. La valeur macdist
est optionnelle et dfinit ladresse MAC distante utilise pour connecter le nud dextrmit. La
valeur sapdist reprsente ladresse du SAP utilis pour communiquer avec le DLUS travers la
liaison. La valeur par dfaut est 04 et peut sinon varier de 04 FC en respectant une incrmentation
par multiple de quatre.
Linstruction vrn nom-vrn identifie le nom du nud de routage virtuel (VRN) pour connecter le
DLUR au DLUS ou ventuellement au DLUS de secours. Le DLUS principal et celui de secours
doivent avoir le mme nom de VRN spcifi dans le nud commut principal VTAM reprsentant
le DLUR, autrement, le commutateur chouera.
Linstruction pu nom-pu idblk-idnum adresse-ip dfinit le PU DLUR TN3270 utilis pour
connecter les clients TN3270. Largument nom-pu est un nom de PU unique associ la commande
PU. Pour faciliter lexploitation et la documentation, le nom devrait correspondre au nom de nud
commut principal PU VTAM dfini pour supporter la dfinition de PU TN3270. Le paramtre
idblk-idnum doit correspondre aux paramtres uniques IDBLK et IDNUM de la commande de
dfinition de PU dans le VTAM qui reprsente cette connexion TN3270. Le paramtre adresse-ip
est ladresse IP utilise par le client TN3270 pour se connecter au serveur TN3270.
de dispositif doivent correspondre celles de la dfinition CMPC sur le routeur CIP. LExemple 9.8
illustre un nud principal TRL.
NOTE
Bien quun couple dadresses pair/impair ne soit pas requis, il est conseill den comprendre les relations et
de maintenir une continuit dadresses de dispositifs dE/S.
Exemple 9.9 : Nud principal SNA local pour configurer la liaison par canal MPC avec le routeur
CMPC partir du VTAM
LAGLNA VBUILD TYPE=LOCAL
LAGPUA PU TRLE=TRL2F0, X
ISTATUS=ACTIVE, X
XID=YES,CONNTYPE=APPN,CPCP=YES,HPR=YES
Les paramtres chemin et dispositif sont dfinis exactement comme ceux qui ont t dcrits pour
la commande csna. Largument nom-tg est un nom associ au sous-canal en cours de dfinition. Un
sous-canal en lecture ou en criture doit tre dfini pour pouvoir utiliser CMPC. La valeur de
largument de groupe de transmission nom-tg lie les deux dfinitions cmcp pour former le CMPC
TG. Voici un exemple demploi de la commande cmpc :
interface channel 4/0
!
cmpc 97A 5A R1CIP read
cmpc 97B 5B R1CIP write
Chapitre 9 Conception et configuration avec CIP 309
Le paramtre nomtg est le nom de groupe de transmission (TG) utilis pour une instruction cmpc
dfinie prcdemment. Ce nom lie le couple de sous-canaux au driver LLC2 pour le LAN interne.
Le mot cl llc indique la connectivit sur le CIP pour la pile LLC.
Le paramtre type spcifie le type de LAN interne dfini pour tre utilis par le TG. La seule valeur
autorise au moment de la rdaction de louvrage tait token-adapter.
Le paramtre numro-adaptateur indique la dfinition dadaptateur de LAN virtuel interne a utili-
ser par le groupe de transmission.
Le paramtre saplocal spcifie ladresse locale du point daccs au service (SAP) utilise pour la
communication avec lhte. Elle doit tre unique pour le routeur et lhte, ainsi que pour tous les
clients 802.2 utilisant ladaptateur spcifi. La valeur par dfaut est 04. Toutefois, il peut tre raison-
nable de spcifier la limite suprieure de lintervalle autoris, FC, et daller vers le bas pour toute
connexion CMPC supplmentaire afin dviter tout conflit non connu. La valeur doit tre un multi-
ple de quatre figurant dans lintervalle 04 FC.
Le mot cl optionnel rmac et sa variable associe macdist est une adresse MAC assigne pour tre
utilise par le driver CMPC pour la connectivit LLC2.
La valeur de la variable sapdist associe au mot cl optionnel rsap est par dfaut de 04 et reprsente
ladresse distante du point daccs au service (SAP) utilise par le driver pour les communications.
NOTE
Avant de modifier un paramtre de la commande tg, la commande no tg doit dabord tre spcifie. Une
fois les changements apports, la commande new tg doit tre lance pour quils deviennent effectifs.
Figure 9.10
Emploi de RSRB vers
les routeurs WAN CIP
ESCON E5 F5 ESCON
pour fournir une Director Director
haute disponibilit.
Anneau CIP C4/2 C6/2 Anneau CIP
37 45
R1 R2
RSRB Homologue 10.1.1.1 S0/0 S0/0 RSRB Homologue 10.1.2.1
Adresse MAC 4000.7513.0001 Adresse MAC 4000.7513.0001
WAN
Anneau virtuel
3157
Configuration de R1 Configuration de R2
Configuration de R2
Figure 9.11
Haute disponibilit Configuration de R1
ESCON
Director
ESCON
Director
Configuration de R2
avec lemploi interface tokenring 0/0 interface tokenring 0/0
E5 F5
dune adresse MAC ip address 10.1.1.1 255.255.255.0 source-bridge 57 1 45
! !
duplique et interface Channel 4/0 Anneau CIP C4/2 Anneau CIP
interface loopback 0
C6/2 ip address 10.1.2.1 255.255.255.0
no ip address
quilibrage de csna E500
37 45
!
charge avec DLSw+ ! R1 R2 interface Channel 6/0
interface Channel 4/2 Adresse MAC Adresse MAC no ip address
sur deux routeurs no ip address 4000.7513.0001 T0/0 T0/0 4000.7513.0001 csna F500
Ian tokenring 0 Anneau Anneau !
Cisco CIP par souce-bridge 37 1 31 31 57 interface Channel 6/2
lintermdiaire de adapter 0 4000.7513.0001
T0 T0
no ip address
Ian tokenring 0
deux commutateurs souce-bridge 45 1 57
R4 R5 adapter 0 4000.7513.0001
ESCON Director. DLSw+ DLSw+
Homologue 10.1.4.1 S0 S1 Homologue 10.1.5.1
Anneau 400 Anneau 500
interface Channel4/1
no ip address
no keepalive
cmpc C010 40 VTAM1 READ
cmpc C010 41 VTAM1 WRITE
!
interface Channel4/2
no ip address
no keepalive
Ian TokenRing 0
source-bridge 41 5 100
adapter 4 4000.0000.CC42
tg VTAM1 llc token-adapter 4 34 rmac 4000.000.CC62 rsap 30
!
interface Channel6/1
no ip address
no keepalive
cmpc C020 F4 VTAM2 READ
cmpc C010 F5 VTAM2 WRITE
!
interface Channel6/2
Ian TokenRing 0
source-bridge 62 3 100
adapter 6 4000.0000.CC62
tg VTAM2 llc token-adapter 6 30 rmac 4000.000.CC42 rsap 34
La Figure 9.13 illustre lemploi du serveur TN3270, plus la fonction de commutation des
connexions TN3270 dun VTAM un autre au cas o le VTAM principal deviendrait inoprant. Les
nuds principaux commuts sur le VTAM doivent reprsenter les connexions PU directes pour le
serveur TN3270 et possder une dfinition utilise pour la commutation de session. La configura-
tion utilise APPN VRN (Virtual Routing Node, nud de routage virtuel) pour connecter les trois
nuds APPN de mainframe. Le protocole de transport utilis entre les deux routeurs CIP est
DLSw+.
VTAM vers nud de rseau (NN) APPN avec HPR sur CMPC
Dans la configuration illustre Figure 9.14, le routeur CIP utilise une connexion ESCON CMPC
vers le VTAM. Le routeur CIP utilise HPR pour les communications vers VTAM et le rseau APPN.
314 Partie I Architecture de rseaux
R1 Configuration
La technologie DDR (Dial-on Demand Routing, routage par ouverture de ligne la demande) four-
nit des connexions de rseau par lintermdiaire du rseau tlphonique public commut (RTC).
Les rseaux tendus ddis sont gnralement implments sur des liaisons loues ou sur des tech-
nologies plus modernes proposes par des fournisseurs de services comme le Frame Relay, SMDS
ou ATM. DDR assure le contrle de session pour la connectivit tendue travers des rseaux
commutation de circuits, ces derniers offrant leur tour des services la demande et une diminu-
tion des cots dexploitation du rseau.
DDR peut tre utilis sur des interfaces srie synchrones ou asynchrones et sur RNIS (Rseau
Numrique Intgration de Services). Les numrotations V.25bis et DTR sont utilises pour les
CSU/DSU du service commut 56 (Switched 56), les adaptateurs de terminaux (TA, Terminal
Adapter) RNIS ou les modems synchrones. Les lignes srie asynchrones sont disponibles sur le port
auxiliaire des routeurs Cisco et sur les serveurs de communication Cisco pour la connexion vers des
modems asynchrones. DDR est support sur RNIS au moyen des interfaces daccs BRI (RNIS de
base) et PRI (RNIS primaire).
est mise en uvre grce la connexion DDR, qui est maintenue au moyen de PPP ou dautres tech-
niques dencapsulation WAN, telles HDLC, X.25 ou SLIP. Les concepteurs de rseaux peuvent
utiliser le modle prsent dans ce chapitre pour construire des rseaux DDR volutifs, qui prsen-
tent un rapport quilibr entre les performances, la tolrance de panne et les cots.
Figure 10.1
Pile de conception DDR. Authentification
Filtrage d'appel
Stratgies
de routage
Interfaces de
numrotation
Trafic et
topologie
Pile de conception
DDR
Nuage de numrotation
Le rseau form par les quipements DDR interconnects peut tre dsign de faon gnrique par
mdia de numrotation ou nuage de numrotation. Ltendue du nuage de numrotation ne
comprend que les quipements interconnects spcifiques, mais non la totalit du mdia commut
(la totalit du rseau RNIS stend sur lensemble du globe et va au-del du nuage de numrota-
tion). Lexposition RNIS doit tre prise en compte lors de la conception de stratgies de scurit.
Les caractristiques fondamentales du nuage de numrotation sont les suivantes :
m Le nuage de numrotation est un groupe de connexions point--point potentielles et actives.
m Avec des connexions actives, le nuage de numrotation forme un mdia NBMA (Non-Broadcast
MultiAccess, accs multiple non broadcast) semblable au Frame Relay.
m Pour les appels sortants sur des circuits commuts (tel RNIS), la correspondance entre adresse
de protocole de rseau et numro dannuaire doit tre configure.
m Les connexions DDR inactives font lobjet dune simulation, de faon que les tables de routage
les considrent comme actives.
Chapitre 10 Conception de rseaux DDR 317
m Le trafic broadcast, ou autre trafic indsirable, qui provoque des connexions inutiles peut entra-
ner des cots prohibitifs. Les frais potentiels relatifs un mdia factur lexploitation, tel
RNIS, doivent tre surveills de prs afin dviter de telles dpenses.
Les caractristiques des nuages de numrotation affectent chaque tape de la conception des
rseaux DDR. Une profonde comprhension de ladressage, du routage et des stratgies de filtrage
des protocoles de rseau peut aider construire des rseaux fiables et rentables.
Topologies
Le facteur le plus important dans le choix de la topologie est le nombre de sites qui devront tre
supports. Si seulement deux sites sont impliqus, la topologie point--point est utilise. Si davan-
tage de sites doivent tre supports, cest la topologie hub-and-spoke qui est gnralement impl-
mente. Pour un environnement constitu de peu de sites, avec un faible volume de trafic, la
topologie totalement maille peut reprsenter la solution la plus approprie.
Les topologies pour DDR traites dans cette section sont les suivantes :
m topologie point--point ;
m topologie totalement maille ;
m topologie hub-and-spoke.
Topologie point--point
Sur une topologie point--point simple (voir Figure 10.2), deux sites sont connects entre eux.
Chacun deux possde une interface de numrotation et associe ladresse de lautre site un numro
de tlphone. Si davantage de bande passante est requise, plusieurs liens peuvent tre assembls au
moyen de MultiLink PPP.
Figure 10.2
Topologie point--point.
Routeur A Routeur B
318 Partie I Architecture de rseaux
Figure 10.3
Topologie totalement
maille.
Routeur A
Routeur D Routeur B
Routeur C
Si lquilibrage de charge est souhait, des interfaces peuvent tre configures afin de pouvoir
supporter les fonctionnalits MultiLink PPP. En dehors de la complexit de la configuration, il faut
soit prvoir un nombre dinterfaces suffisant sur chaque quipement afin de parer lventualit
dun appel de la part de tous les autres quipements, soit tre en mesure de pallier un problme
ventuel de contention au niveau des interfaces.
Figure 10.4
Topologie hub-and-spoke.
Routeur A
Routeur B Routeur D
Routeur C
Si une connectivit any-to-any est requise entre les sites distants, il est possible que le comportement
du routage ait besoin dtre modifi en fonction du comportement des interfaces de numrotation,
cest--dire quil peut se rvler ncessaire de dsactiver la fonctionnalit dhorizon clat (split-
horizon) pour les protocoles de routage par vecteur de distance.
Plusieurs hubs peuvent tre utiliss afin damliorer lvolutivit des technologies hub-and-spoke.
Lorsque MultiLink PPP est employ, comme cest souvent le cas avec les solutions RNIS, les
concepteurs peuvent implmenter Cisco IOS MMP (MultiChassis MultiLink PPP) afin dadapter le
groupe de rotation dappels entrants plusieurs serveurs daccs au rseau, ou NAS (Network
Access Server). MMP est trait en dtail au Chapitre 11.
Analyse du trafic
Dans le cadre de lanalyse du trafic, crez un tableau qui permettra didentifier quels protocoles
doivent tre capables de supporter la numrotation la demande (DDR), et quels sont les quipe-
ments concerns. Le reste de la conception sera fond sur ce tableau.
Par exemple, la socit KDT a choisi une topologie hub-and-spoke (afin de garantir une certaine
volutivit) et a tabli les besoins numrs au Tableau 10.1, afin de rpondre aux exigences de son
nuage DDR.
Tableau 10.1 : Exigences de connectivit du protocole DDR pour la socit KDT (suite)
Un tel tableau permet didentifier les sites et les protocoles qui doivent pouvoir initier des
connexions DDR. Une fois la connectivit tablie, chaque protocole requiert une connectivit bidi-
rectionnelle, par lintermdiaire de tables de routage et de correspondances dadresses de nuage de
numrotation. Les appels sont dits entrants ou sortants par rapport au hub.
Souvent, lun des principaux objectifs dun rseau DDR est de permettre une diminution des cots
WAN associs aux connexions ddies. Une analyse du trafic de chaque protocole doit galement
tre ralise ce stade de la conception ou lors de la dfinition du filtrage dappel. Les applications
de rseau exploitent linfrastructure fournie par le rseau de faons diffrentes et souvent inatten-
dues. Il est essentiel de procder une tude approfondie du trafic de rseau qui transitera sur le
mdia de numrotation, de faon dterminer si limplmentation dun rseau DDR peut tre envi-
sage ou non. Les meilleurs outils dont vous disposez pour cette tude sont ceux de capture et
danalyse de paquets.
Interfaces de numrotation
Laccs au mdia de numrotation se fait par lintermdiaire des interfaces de numrotation de
Cisco IOS. Des canaux B RNIS, des interfaces srie synchrones et des interfaces asynchrones
peuvent tre convertis en interfaces de numrotation laide de commandes de configuration
dinterface. Les lments suivants vous permettront de mieux comprendre le concept dinterface de
numrotation :
m interfaces physiques supportes ;
m groupes de rotation de numrotation ;
m profils de numrotation ;
m adressage de nuage de numrotation ;
m correspondances de numrotation.
Les interfaces de numrotation fournissent galement des fonctions de simulation de table de
routage et de filtrage dappel.
donnes. Ce standard est utilis avec divers quipements, dont les modems synchrones, les adapta-
teurs terminaux (TA) RNIS et les CSU/DSU du service commut 56.
Avec la numrotation DTR, le signal DTR est activ sur linterface physique, ce qui oblige certains
quipements appeler un numro, pralablement configur leur niveau. Lorsque la numrotation
DTR est utilise, linterface ne peut pas recevoir dappels. Nanmoins, DTR autorise lutilisation
dquipements moins coteux pour le cas o un seul numro doit tre appel. Les lignes srie
synchrones supportent lencapsulation de datagrammes PPP, HDLC et X.25.
Pour convertir une interface srie synchrone en interface de numrotation, utilisez les commandes
Cisco IOS dialer in-band ou dialer dtr.
Interfaces RNIS
Tous les quipements RNIS sont abonns des services assurs par un fournisseur de services
RNIS, gnralement une compagnie de tlphonie. Les connexions DDR RNIS sont tablies sur des
canaux B 56 ou 64 Kbit/s, en fonction des capacits de transport du circuit de commutation RNIS
de bout en bout. MultiLink PPP est souvent utilis pour permettre aux quipements BRI de grouper
les deux canaux B et de bnficier ainsi dune bande passante et dun dbit accrus. Reportez-vous
au Chapitre 11 pour des recommandations sur la conception de rseaux RNIS.
Les interfaces RNIS BRI et PRI sont automatiquement configures en tant quinterfaces de numro-
tation intra-bandes. RNIS peut supporter lencapsulation PPP, HDLC, X.25 et V.120. En gnral,
PPP sera employ pour les solutions DDR.
Par exemple, lorsque vous examinez une interface BRI sur un routeur Cisco IOS, vous pouvez voir
quelle se trouve en mode de simulation dactivit, afin que la table de routage puisse pointer vers elle :
c1600A#sh int bri 0
BRI0 is up, line protocol is up (spoofing)
Nanmoins, les interfaces physiques sont les canaux B individuels (BRI0:1 et BRI0:2) grs par
linterface de numrotation (BRI0) :
c1600A#sh int bri 0 1
BRI0:1 is down, line protocol is down
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
LCP Closed, multilink Closed
Closed: IPCP, CDPCP
douverture de session soient envoyes aux systmes distants. Pour une conception plus souple,
plusieurs scripts de dialogue peuvent tre configurs sur les correspondances de numrotation
(dialer map). Les scripts de modem (modem script) peuvent tre utiliss afin de configurer les
modems pour des appels sortants. Les scripts douverture de session (login script) sont prvus afin
de grer louverture de sessions sur des sites distants et prparer la liaison pour ltablissement de
PPP. Les scripts de dialogue sont configurs au moyen de squences du type attendre-envoyer et
de mots cls pour modifier les paramtres, comme suit :
chat-script dialnum "" "atft\T" TIMEOUT 60 CONNECT \c
Si vous employez la technologie DDR asynchrone et appelez un systme qui requiert une ouverture
de session en mode caractre, utilisez le mot cl system-script avec la commande dialer map.
Les scripts de dialogue font souvent lobjet de problmes de temporisation, car ils sont excuts
avec beaucoup plus de prcision quils ne le sont lorsquune personne physique contrle la
connexion. Par exemple, lorsquun modem envoie un message de connexion CONNECT, il arrive
quil ne soit pas prt envoyer des donnes, et il peut mme se dconnecter sil reoit des donnes
sur le circuit TX. Pour viter ce type dchec, des pauses sont ajoutes en tte de certaines chanes
denvoi.
Chaque chane denvoi se termine par un retour la ligne, mme lorsquil sagit dune chane nulle
(""). Le script de dialogue sera souvent cr sans la chane "send" de fin, ce qui peut entraner des
rsultats inattendus. Vrifiez que tous les scripts de dialogue possdent des squences compltes
attendre-envoyer. Si llment final dans la logique du script se rvle tre un lment dattente
(comme dans lexemple prcdent), utilisez le caractre \c comme dernier envoi, afin de supprimer
les rsultats indsirables.
Utilisez la commande debug chat pour rsoudre les problmes de scripts de dialogue. Un dbogage
ligne par ligne peut fournir des dtails supplmentaires lorsque la logique attendre-envoyer est
dfaillante. Un exemple de solution DDR asynchrone grande chelle est dcrit au Chapitre 20.
Profils de numrotation
Les profils de numrotation, tels que le pontage multisite sur RNIS par exemple, introduits avec la
version 11.2 de Cisco IOS, offrent davantage de souplesse de conception. Ces profils reprsentent
une mthodologie alternative pour la conception de rseaux DDR et liminent le besoin de
dfinition logique des sites de numrotation au niveau des interfaces de numrotation physiques.
Chapitre 10 Conception de rseaux DDR 323
Mthodes dencapsulation
Lorsquune liaison de donnes est clairement tablie entre deux homologues DDR, les datagram-
mes doivent tre encapsuls et dlimits pour tre transports sur le mdia de numrotation. Les
mthodes dencapsulation disponibles dpendent de linterface physique utilise. Cisco supporte
les encapsulations de liaison de donnes PPP (Point-to-Point Protocol), HDLC (High-Level Data
Link Control), SLIP (Serial Line Interface Protocol) et X.25 pour DDR :
m PPP. Est la mthode dencapsulation recommande, car elle accepte plusieurs protocoles et est
utilise pour les connexions synchrones, asynchrones et RNIS. De plus, PPP, qui assure la ngocia-
tion et lauthentification dadresses, peut interoprer avec des solutions de diffrents fabricants.
m HDLC. Est support uniquement sur les lignes srie synchrones et les connexions RNIS et peut
accepter plusieurs protocoles. Toutefois, il nassure pas lauthentification, fonctionnalit qui
peut se rvler ncessaire pour lutilisation de groupes de rotation.
m SLIP. Fonctionne uniquement sur les interfaces asynchrones et nest support que par IP. Les
adresses doivent tre configures manuellement. Il nassure pas lauthentification et peut unique-
ment interoprer avec des solutions de fabricants qui utilisent SLIP.
m X.25. Est support sur les lignes srie synchrones et sur un seul canal B RNIS.
Correspondances de numrotation
A linstar de la fonction de table ARP, les instructions dialer map traduisent les adresses de
prochain saut en numros de tlphone. Sans lemploi de correspondances de numrotation confi-
gures de faon statique, les appels DDR ne peuvent avoir lieu. Lorsque la table de routage pointe
sur linterface de numrotation et que ladresse de prochain saut est introuvable dans une corres-
pondance de numrotation, le paquet est supprim.
324 Partie I Architecture de rseaux
Dans lexemple suivant, les paquets pour un hte sur le rseau 172.20.0.0 sont routs vers une
adresse de prochain saut, 172.20.1.2, qui est associe par assignation statique au numro de tl-
phone 555-1212 :
interface dialer 1
ip address 172.20.1.1 255.255.255.0
dialer map ip 172.20.1.2 name c700A 5551212
!
ip route 172.20.0.0 255.255.255.0 172.20.1.2
Les instructions dialer map choueront dans le cas de diffusions broadcast, car un paquet broadcast
est transmis avec une adresse de prochain saut de ladresse broadcast. Si vous souhaitez que les
paquets broadcast qui sont transmis aux sites distants soient dfinis par des instructions dialer map,
utilisez le mot cl broadcast avec la commande dialer map.
Pour configurer la vitesse des appels RNIS 56 ou 64 Kbit/s, vous pouvez utiliser loption de
vitesse avec la commande dialer map lors de la configuration des interfaces. Voyez le Chapitre 11
pour plus de dtails sur les mdias RNIS.
Lorsque vous implmentez DDR entre plus de deux sites, il faut utiliser lauthentification PPP et le
mot cl name avec la commande dialer map, tant donn que les correspondances de numrotation
pour les appels entrants reprsentent une association des adresses de protocole et des noms dutili-
sateurs authentifis.
Pour faciliter la dfinition de correspondances de numrotation, le concepteur de rseau doit crer
une table de correspondances dadresses qui sera utilise pour la configuration. Dans le Tableau 10.2,
le nuage de numrotation se voit assigner le sous-rseau IP 172.20.1.0/24, le rseau IPX 100 et la
plage de cblage (cable-range) AppleTalk 20-20. Ce tableau sert de base la dfinition des corres-
pondances de numrotation pour chaque site.
Puisque NAS3600A est le hub dans la topologie hub-and-spoke, chaque site distant est configur
avec les correspondances de numrotation qui permettent datteindre le site central. Par exemple, la
configuration des correspondances pour c1600A serait la suivante :
interface dialer1
encapsulation ppp
ip address 172.20.1.4 255.255.255.0
appletalk cable-range 20-20 20.4
appletalk zone ZZ DDR
dialer in-band
dialer map ip 172.20.1.1 name nas3600A speed 56 18355558661
dialer map appletalk 20.1 name nas3600A speed 56 18355558661
dialer-group 5
ppp authentication chap callin
La configuration des correspondances pour NAS3600A serait la suivante :
interface dialer1
encapsulation ppp
ip address 172.20.1.1 255.255.255.0
appletalk cable-range 20-20 20.1
appletalk zone ZZ DDR
ipx network 100
dialer in-band
dialer map ip 172.20.1.2 name c700A
dialer map ipx 100.0000.0c00.0002 c700A
dialer map ip 172.20.1.3 name c700B
dialer map ip 172.20.1.4 name speed 56 c1600A 15305551000
dialer map appletalk 20.4 name c1600A
dialer map ip 172.20.1.5 name c2500A 15125558085
dialer map ipx 100.000.0c00.0005 name c2500A 15125558085
dialer map appletalk 20.5 name c2500A 15125558085
dialer map ip 172.20.1.6 name c2500B 12105552020
dialer map ipx 100.0000.0c00.0006 name c2500B
dialer-group 5 ppp authentication chap callin
Notez que les correspondances de numrotation associent les adresses de protocole de sites distants,
les noms de sites distants et les numros dannuaire de sites distants. Pour les sites uniquement
appelants, les numros dannuaire ne sont pas ncessaires et peuvent tre omis, ce qui vite une
numrotation malencontreuse. Le tableau a servi identifier les types de sites qui ne requirent pas
le support dappels sortants. Pour les sites appelants, le nom dauthentification PPP est mis en
correspondance avec ladresse de protocole, afin de garantir que les paquets sortants sont placs sur
la connexion PPP approprie.
Les versions rcentes de Cisco IOS permettent de crer des correspondances de numrotation dyna-
miques pour IP (au moyen de la ngociation dadresse IPCP) et pour IPX (au moyen de la ngocia-
tion dadresse IPXCP), liminant ainsi le besoin de correspondances de numrotation sur les sites
uniquement appelants.
Les concepteurs DDR doivent se familiariser avec lutilisation des commandes EXEC Cisco IOS
show dialer et show dialer map, afin de pouvoir vrifier ltat des sites DDR, des interfaces physi-
ques et de la table de correspondances de numrotation. Utilisez la commande debug dialer pour
rsoudre les problmes de connexion DDR :
c1600A#sh dialer
BRI0 - dialer type = ISDN
Dial String Successes Failures Last called Last status
326 Partie I Architecture de rseaux
1835558661 0 0 never
0 incoming call(s) have been screened.
BRI0:1 - dialer type = ISDN
Idle timer (60 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (5 secs)
Dialer state is idle
BRI0:2 - dialer type = ISDN
Idle timer (60 secs), Fast idle timer (20 secs)
Wait for carrier (30 secs), Re-enable (5 secs)
Dialer state is idle
Stratgies de routage
La nature des rseaux DDR implique que le routage et certaines tables de services dannuaire soient
maintenus sur les connexions inactives. Les concepteurs DDR peuvent utiliser une combinaison de
techniques de routage statique, dynamique et Snapshot, afin de rpondre aux besoins de conception.
Le routage par dfaut et les techniques de simulation de nud distant (telles les techniques PAT de
la srie de routeurs Cisco 700 et EZIP de Cisco IOS) peuvent tre utiliss pour simplifier considra-
blement la conception du routage.
Lpine dorsale au niveau du site du NAS utilisera souvent un protocole de routage convergence
rapide, tels OSPF ou EIGRP. Cependant, ces protocoles ne fonctionnent pas correctement sur le
mdia de numrotation, en raison de leurs fonctionnalits fondes sur la diffusion broadcast et les
informations dtat de lien. Gnralement, les protocoles de routage statique ou de routage par
vecteur de distance sont choisis pour les connexions DDR. La redistribution de route peut tre
ncessaire pour supporter la propagation des informations de routage entre les diffrents protocoles
de routage.
Un examen approfondi des techniques de redistribution de routage dpasse le cadre de cet ouvrage.
Toutefois, les concepteurs DDR ont besoin de dvelopper et de vrifier leur stratgie de routage
pour chaque protocole de rseau.
Routage statique
Avec le routage statique, les routes de protocole de rseau sont configures manuellement. Le
protocole de routage na ainsi plus besoin de diffuser en mode broadcast des mises jour de routage
sur les connexions DDR. Ce type de routage peut tre efficace sur les petits rseaux qui changent
peu. Les protocoles de routage peuvent parfois gnrer un trafic entranant ltablissement de
connexions inutiles.
Lors de la conception dun environnement IP sans adresses ddies, les anciennes versions de Cisco
IOS requraient plusieurs routes statiques pour chaque site : une route pour dfinir ladresse du
prochain saut et une autre pour dfinir linterface sur laquelle trouver le prochain saut (et la corres-
pondance de numrotation). Le code suivant :
interface Dialer1
ip unnumbered Ethernet0/0
dialer in-band
dialer map ip 172.17.1.100 name kdt-NAS speed 56 5558660
dialer-group 5
Chapitre 10 Conception de rseaux DDR 327
!
ip classless
ip route 0.0.0.0.0.0.0.0 172.17.1.100 200
ip route 172.17.1.100 255.255.255.255 Dialer1 200
dialer-list 5 protocol ip permit
Les versions rcentes de Cisco IOS permettent de ramener la configuration une seule route. Par
exemple, la configuration suivante :
ip route 0.0.0.0.0.0.0.0 Dialer1 172.17.1.100 200 permanent
Routage dynamique
Le routage dynamique peut tre utilis de diffrentes manires dans la conception de rseaux DDR.
Il peut tre employ avec le routage Snapshot (voir la section "Routage Snapshot", plus loin dans ce
chapitre) pour placer en cache les routes apprises par les protocoles de routage dynamique, ce qui
permet lautomatisation de la maintenance du routage statique. Le routage dynamique peut
galement servir de dclencheur pour la convergence de routage dans des environnements DDR
tendus et complexes.
Lorsque la liaison DDR est connecte, les mises jour de routage circulent en direction de lhomo-
logue, autorisant les conceptions redondantes converger sur la connexion physique par la redistri-
bution des mises jour de routage.
328 Partie I Architecture de rseaux
Interfaces passives
Les interfaces marques comme tant passives nenverront pas de mises jour de routage. Pour
viter que ces mises jour tablissent des connexions sur les interfaces de numrotation qui ne
sappuient pas sur des informations de routage dynamique, configurez les interfaces avec la
commande passive-interface ou utilisez des listes daccs (voir les sections "Listes daccs IP" et
"Listes daccs IPX", plus loin dans ce chapitre). Lutilisation de cette commande, ou dune liste
daccs, empche les mises jour de routage de dclencher un appel. Nanmoins, si vous souhaitez
quelles soient transmises lorsque la liaison est active, utilisez une liste daccs au lieu de la
commande passive-interface.
NOTE
Lorsque des sites distants ont besoin de communiquer entre eux, il est prfrable de dsactiver la fonction-
nalit dhorizon clat pour les topologies hub-and-spoke. Sur ces topologies, les sites en priphrie font
connaissance les uns des autres par lintermdiaire du site central auquel ils sont connects via une seule
interface. Pour que ces sites distants puissent changer directement des informations, la fonctionnalit
dhorizon clat doit tre dsactive, afin que des tables de routage compltes puissent tre cres sur
chaque site.
Routage Snapshot
Avec le routage Snapshot, le routeur est configur pour le routage dynamique. Le routage Snapshot
contrle lintervalle de mise jour des protocoles de routage. Il fonctionne avec les protocoles de
routage par vecteur de distance suivants :
m RIP (Routing Information Protocol) pour IP ;
m IGRP (Interior Gateway Routing Protocol) pour IP ;
m RIP et SAP (Service Advertisement Protocol) pour Novell IPX (Internet Packet Exchange) ;
m RTMP (Routing Table Maintenance Protocol) pour AppleTalk ;
m RTP (Routing Table Protocol) pour Banyan VINES.
Dans des circonstances normales, ces protocoles de routage diffusent en mode broadcast des mises
jour toutes les 10 60 secondes. Par consquent, une liaison RNIS serait tablie toutes les 10
60 secondes, uniquement pour changer ces informations de routage, do des cots prohibitifs. Le
routage Snapshot rsout ce problme.
NOTE
Le routage Snapshot est disponible sur le systme Cisco IOS, version 10.2 ou ultrieure.
lordre et utilise lintervalle de tentatives rptes pour les lignes auxquelles il ne peut immdiate-
ment accder (voir Figure 10.5).
Routeur matre
Table de T2
routage RNIS T1 T1 Table de
routage
Temps
Table de
routage
Pour obtenir plus de dtails sur le routage Snapshot, reportez-vous au Chapitre 21.
Interfaces de secours
Une liaison srie principale ddie est configure de faon pouvoir disposer dune interface de
secours en cas de panne ou de dpassement des seuils de charge. En cas de dfaillance de la liaison
de linterface principale ou du protocole de ligne, linterface de secours est utilise pour tablir une
connexion sur le site distant.
Une fois configure, linterface de secours demeure inactive, jusqu ce que lune des conditions
suivantes soit rencontre :
m Le protocole de ligne sur la liaison principale est dfaillant. La ligne de secours est alors active,
rtablissant la connexion entre les deux sites.
m La charge de trafic sur la liaison principale dpasse une limite dfinie. Cette charge est
surveille, et une valeur moyenne est calcule toutes les cinq minutes. Si cette valeur excde
celle dfinie par lutilisateur pour la liaison principale, la ligne de secours est active. En fonc-
tion de la configuration de cette dernire, la totalit du trafic, ou une partie seulement, sera
envoye.
Une interface Cisco IOS est place en mode de secours au moyen de la commande backup interface :
m La commande de configuration dinterface backup interface spcifie linterface qui doit assurer
la fonction de secours.
m La commande backup load spcifie le seuil de trafic en fonction duquel linterface de secours
doit tre active et dsactive.
m La commande backup delay spcifie le laps de temps qui doit scouler avant que linterface de
secours ne soit active ou dsactive, suite une priode de transition de linterface principale.
Les interfaces de secours sont gnralement verrouilles dans tat BACKUP (secours) afin de limiter
leur utilisation cette fonction. Les profils de numrotation liminent ce verrouillage et permettent
linterface physique dtre exploite de plusieurs faons. La conception DDR de routes statiques
flottantes limine aussi ce verrouillage sur linterface de numrotation.
Dans la Figure 10.7, une liaison loue relie le routeur A au routeur B, et linterface BRI 0/2 sur le
routeur B est utilise en tant que ligne de secours.
Avec la configuration suivante, linterface BRI 2/0 (ligne de secours) est active uniquement en cas
de dfaillance de linterface srie 1/0 (liaison principale). La commande backup delay configure la
Chapitre 10 Conception de rseaux DDR 333
connexion de secours afin quelle soit active trente secondes aprs la dfaillance de linterface
srie 1/0 et quelle demeure active pendant soixante secondes aprs son rtablissement :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup delay 30 60
Avec la configuration suivante, linterface BRI 2/0 est active uniquement lorsque la charge sur
linterface srie 1/0 dpasse 75 % de sa bande passante. La ligne de secours est dsactive lorsque
la charge globale de la liaison principale et de la ligne de secours est infrieure 5 % de la bande
passante de la liaison principale :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup delay 75 5
Avec la configuration suivante, linterface BRI 2/0 est active uniquement en cas de dfaillance de
linterface srie 1/0 ou lorsque le trafic sur cette interface dpasse 25 % de sa bande passante. Si linter-
face 1/0 est dfaillante, dix secondes scouleront avant que linterface BRI 2/0 ne devienne active.
Une fois linterface 1/0 rtablie, BRI 2/0 demeurera active pendant soixante secondes. Si cette
interface a t active suite un dpassement de seuil de charge sur linterface 1/0, elle sera dsac-
tive lorsque la charge globale de la liaison principale et de la ligne de secours retombera en
dessous de 5 % de la bande passante de linterface 1/0 :
interface serial 1/0
ip address 172.20.1.4 255.255.255.255.0
backup interface bri 2/0
backup load 25 5
backup delay 10 60
Dans lexemple suivant, le trafic pour le rseau 50 sera toujours envoy ladresse 45.0000.0c07.00d3,
et le trafic pour le rseau 75 sera toujours envoy ladresse 45.0000.0c07.00de. Le routeur rpondra
aux requtes GNS avec le serveur WALT si aucune connexion SAP dynamique nest possible :
ipx route 50 45.0000.0c07.00d3
ipx route 75 45.0000.0c07.00de
ipx sap 4 WALT 451 75.0000.0000.0001.5
Filtrage dappel
Le filtrage dappel (dialer filtering) est utilis pour identifier tous les paquets qui traversent des
connexions DDR comme intressants ou inintressants, laide de listes de contrle daccs (ACL,
Access Control List) [voir Figure 10.8]. Seuls les paquets jugs intressants peuvent tablir et main-
tenir une connexion DDR. Cest au concepteur DDR que revient la tche de dterminer quels types
de paquets sont inintressants, et de crer des listes ACL afin dempcher que ces paquets ne provo-
quent des connexions inutiles.
Oui
Oui Oui
Rinitialise le
temporisateur
d'inactivit Appelle
Envoie
Lorsquun paquet est jug inintressant et quaucune connexion nest tablie, il est supprim. En
revanche, si une connexion a dj t tablie vers la destination spcifie, le paquet jug inintressant
Chapitre 10 Conception de rseaux DDR 335
est envoy sur la liaison, et le temporisateur dinactivit nest pas rinitialis. Si le paquet est jug
intressant et quil ny a pas de connexion sur linterface disponible, le routeur tente dtablir une
connexion.
Chaque paquet qui arrive sur une interface de numrotation est filtr et identifi comme intressant
ou inintressant, en fonction des commandes de configuration dialer-group (groupe de numrota-
tion) et dialer-list (liste de numrotation). La configuration Cisco IOS de linterface Dialer1
suivante utilise le groupe de numrotation 5 afin de dterminer quels paquets sont intressants,
selon les instructions de la liste de numrotation 5. Ces dernires dfinissent le groupe de numrota-
tion 5 et dterminent que tous les paquets IP, IPX et AppleTalk sont intressants :
interface Dialer1
dialer-group 5
!
dialer-list 5 protocol ip permit
dialer-list 5 protocol ipx permit
dialer-list 5 protocol appletalk permit
!
Le systme Cisco IOS supporte prsent de nombreux protocoles de filtrage dappel, comme le
montre la rubrique dialer-list de laide en ligne :
kdt-3640(config)#dialer-list 5 protocol ?
appletalk AppleTalk
bridge Bridging
clns OSI Connectionless Network Service
clns_es CLNS End System
clns_is CLNS Intermediate System
decnet DECnet
decnet_node DECnet node
decnet_router-L1 DECnet router L1
decnet_router-L2 DECnet router L2
ip IP
ipx Novell IPX
llc2 LLC2
vines Banyan Vines
xns XNS
!
access-list 101 deny udp any any eq snmp
access-list 101 permit ip any any
Les effets des mises jour de routage et des services dannuaire sur les interfaces de numrotation
peuvent tre grs laide de plusieurs techniques, telles que le routage statique et, par dfaut, les
interfaces passives et les correspondances de numrotation non broadcast. En ce qui concerne
les solutions qui ncessitent le routage dynamique et ne peuvent utiliser Snapshot, les informations
336 Partie I Architecture de rseaux
de routage peuvent nanmoins tre supportes sur la liaison RNIS, puis juges inintressantes par le
processus de filtrage dappels.
Par exemple, si la conception du rseau requiert des paquets de mises jour de routage IGRP, ceux-
ci peuvent tre filtrs par lintermdiaire de listes daccs, afin dviter ltablissement de
connexions DDR inutiles, comme suit :
access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Vous pouvez utiliser lune des deux listes daccs suivantes pour identifier le trafic EIGRP comme
inintressant :
access-list 101 deny eigrp any any
access-list 101 deny ip any 224.0.0.10.0.0.0.0
La premire liste daccs rejette tout le trafic EIGRP ; la seconde rejette ladresse multicast
(224.0.0.10) utilise par EIGRP pour ses mises jour. Lorsque vous employez des listes daccs pour
contrler le trafic EIGRP, vous devez configurer des routes statiques sur la liaison RNIS. Une fois la
connexion DDR tablie, les mises jour de routage peuvent circuler sur la ligne. Lors de la concep-
tion du filtrage dappel, il est important de comprendre quel niveau les requtes de mise jour et de
service sont utiles et quel niveau ces types de paquets peuvent tre filtrs en toute scurit.
Il faut examiner attentivement les protocoles de services dannuaire et les applications de rseau qui
doivent tre supports sur chaque site. Bon nombre de protocoles et dapplications peuvent provo-
quer ltablissement et la maintenance de connexions DDR, do parfois des charges WAN invrai-
semblables sils ne sont pas correctement surveills et filtrs. Nattendez pas de recevoir votre facture
tlphonique pour procder une analyse approfondie du trafic et des cots de votre rseau. Si vous
tes concern par les cots WAN, implmentez des outils de surveillance afin dobtenir un retour
dinformations rapide sur la frquence et la dure des connexions. (Les problmes de rduction des
cots sont traits au Chapitre 11.)
SNMP
Bien que le protocole SNMP puisse fournir des informations utiles sur les connexions RNIS et la
faon dont elles sont exploites, son utilisation peut provoquer un accroissement excessif des temps
dactivit sur les liaisons RNIS. Par exemple, HP Open View collecte des informations en interro-
geant rgulirement le rseau la recherche dvnements SNMP. Ces interrogations entranent un
tablissement plus frquent de connexions RNIS pour vrifier que les routeurs distants sont toujours
oprationnels, ce qui augmente les frais dutilisation de RNIS. Pour contrler ces frais, le site
central doit filtrer les paquets SNMP destination des sites distants via RNIS. Les paquets SNMP
en provenance de sites distants peuvent toujours tre autoriss, ce qui permet aux interceptions
SNMP de circuler vers la plate-forme de gestion SNMP. De cette manire, si un dispositif SNMP
est dfaillant sur un site distant, lalerte atteindra la plate-forme de gestion SNMP sur le site central.
Pour contrler le trafic SNMP, crez une liste daccs qui refuse les paquets SNMP. Voici un exem-
ple de filtrage de paquets SNMP :
access-list 101 deny tcp any any eq 161
access-list 101 deny udp any any eq snmp
access-list 101 permit ip any any
!
dialer-list 1 list 101
Chapitre 10 Conception de rseaux DDR 337
Paquets IPX
Sur les rseaux Novell IPX, il faut envisager le filtrage des mises jour de routage au niveau des
interfaces DDR pour les protocoles rpertoris dans le Tableau 10.3.
RIP 60 secondes
SAP 60 secondes
Srialisation 66 secondes
Vous pouvez utiliser des listes daccs pour dclarer inintressants les paquets destination du
socket de srialisation Novell (numro de protocole 0, numro de socket 457), les paquets RIP
(numro de protocole 1, numro de socket 453), les paquets SAP (numro de protocole 4, numro
de socket 452) et les paquets de diagnostic gnrs par la fonctionnalit de dcouverte automatique
(numro de protocole 4, numro de socket 456). Les paquets inintressants sont supprims et ne
provoquent pas linitialisation de connexions. (Un exemple de liste daccs IPX est prsent au
Chapitre 21.)
IPX envoie plusieurs types de paquets (paquets watchdog IPX et paquets keepalive SPX) qui
peuvent provoquer des connexions inutiles lorsquils ne sont pas contrls. De plus, NetWare inclut
un protocole de synchronisation horaire qui entrane lui aussi ltablissement de connexions inutiles
sil nest pas contrl.
Les rseaux Novell IPX utilisent plusieurs types de paquets de mises jour quil faut parfois filtrer
au moyen de listes daccs. Les htes Novell diffusent en mode broadcast des paquets de sria-
lisation des fins de protection contre la copie. Les mises jour des tables de routage RIP et les
annonces de service SAP sont diffuses en broadcast toutes les 60 secondes. Les paquets de sria-
lisation sont envoys environ toutes les 66 secondes.
Dans lexemple suivant, la liste daccs 901 identifie les paquets SAP (452), RIP (453) et de sria-
lisation (457) comme inintressants, et les types de paquets IPX inconnu/tous (0), tous ou RIP (1),
tous ou SAP (4), SPX (5), NCP(7) et NetBIOS (20) comme intressants :
access-list 901 deny 0 FFFFFFFF 452
access-list 901 deny 4 FFFFFFFF 452
access-list 901 deny 0 FFFFFFFF 453
access-list 901 deny 1 FFFFFFFF 453
access-list 901 deny 0 FFFFFFFF 457
access-list 901 deny 0 FFFFFFFF 0 FFFFFFFF 452
access-list 901 deny 0 FFFFFFFF 0 FFFFFFFF 453
access-list 901 deny 0 FFFFFFFF 0 FFFFFFFF 457
access-list 901 permit 0
access-list 901 permit 1
access-list 901 permit 2
access-list 901 permit 4
access-list 901 permit 5
access-list 901 permit 17
338 Partie I Architecture de rseaux
Vous pouvez autoriser nimporte quel autre type de paquet IPX, si besoin est. Depuis la
version 10.2 du systme Cisco IOS, la configuration des listes daccs Novell IPX a t amliore
grce au support du caractre gnrique (1). Voici ce que donnerait lexemple prcdent :
access-list 901 deny -1 FFFFFFFF 452
access-list 901 deny -1 FFFFFFFF 453
access-list 901 deny -1 FFFFFFFF 457
access-list 901 deny -1 FFFFFFFF 0 FFFFFFFF 452
access-list 901 deny -1 FFFFFFFF 0 FFFFFFFF 453
access-list 901 deny -1 FFFFFFFF 0 FFFFFFFF 457
access-list 901 permit -1
Filtrage AppleTalk
Les services dannuaire conviviaux dAppleTalk se fondent sur des noms de zones et sur le proto-
cole NBP (Name Binding Protocol). Des applications, tel le Slecteur MacOs (Chooser), utilisent
des recherches NBP (lookup) pour rechercher des services, tels que AppleShare, par noms de zone.
Chapitre 10 Conception de rseaux DDR 339
Certaines applications utilisent ces services de faon excessive et mettent des diffusions broadcast
sur toutes les zones, sans tenir compte des rseaux DDR. Cela provoque en retour le dclenchement
de demandes douverture de ligne. Des applications comme QuarkXpress et 4D utilisent des diffu-
sions broadcast sur toutes les zones pour examiner priodiquement le rseau des fins de contrle
de licence, ou pour fournir des liens vers dautres ressources du rseau. La commande test apple-
talk:nbp lookup combine avec la commande debug dialer surveille le trafic NBP et peut vous
aider dterminer les types de paquets qui dclenchent ltablissement de connexions.
Depuis la version 11.0 de Cisco IOS, vous pouvez filtrer les paquets NBP en fonction du nom, du type
et de la zone du dispositif metteur. Le filtrage NBP AppleTalk permet aux routeurs Cisco de crer des
pare-feu, des dclencheurs de demandes douverture de ligne et des options de gestion de file
dattente, en se fondant sur nimporte quel type ou objet NBP. (Voyez le Chapitre 21 pour obtenir un
exemple de configuration.) Enfin, si les applications qui utilisent NBP ont t isoles, consultez leurs
fabricants et demandez-leur comment contrler ou liminer le trafic NBP.
Certaines applications Macintosh envoient priodiquement des recherches NBP vers toutes les
zones pour de nombreuses raisons : contrle des numros de srie identiques des fins de protec-
tion contre la copie, recherche automatique dautres serveurs, etc. Il en rsulte que les liaisons
RNIS sont actives frquemment, do un gaspillage. Dans les versions 11.0 (2.1) ou ultrieures
de Cisco IOS, les routeurs Cisco autorisent lutilisateur configurer le filtrage NBP sur les listes de
numrotation en vue dviter ce problme. Pour cela, vous devez remplacer la ligne suivante sur les
deux routeurs :
dialer-list 1 protocol appletalk permit
Cet exemple indique que les recherches NBP dclencheront ltablissement dune connexion RNIS
pour deux services uniquement. Si vous voulez autoriser dautres types de services, ajoutez-les dans
lexemple avant linstruction deny other-nbps. Vrifiez que les numros de squences sont diff-
rents, sinon ils remplaceront les prcdents. Par exemple, si vous souhaitez aussi permettre que les
recherches NBP dclenchent ltablissement dune connexion pour le service DeskWriter, la liste
ressemblera ce qui suit :
dialer-list 1 list 600
NOTE
Les serveurs AppleShare utilisent le protocole AFP (Apple Filing Protocol) pour envoyer des tickles environ
toutes les trente secondes aux clients AppleShare connects. Ces tickles permettent aux connexions DDR de
rester actives. Pour viter les connexions DDR inutiles, vous devez annuler manuellement le montage des
serveurs AppleTalk ou y installer un logiciel qui dconnecte automatiquement les utilisateurs aprs une
priode dinactivit.
pulse-time 5
!
! Ces commandes placent les interfaces srie asynchrones 1 et 2
! dans le groupe de rotation de numrotation 1. Les sous-commandes
! dinterface appliques au groupe 1 (par exemple, encapsulation PPP
! et CHAP) sappliquent ces interfaces.
interface async 1
dialer rotary-group 1
interface async 2
dialer rotary-group 1
! Les mots de passe CHAP sont spcifis pour les serveurs distants.
username sanjose password cisco
username rtp password cisco
Authentification
Lauthentification apporte deux fonctions dans la conception de rseaux DDR : la scurit et le suivi
des connexions. Comme la majorit des rseaux DDR se connectent au rseau tlphonique public
commut, il est impratif dimplmenter un modle de scurit fiable pour empcher des accs non
autoriss aux ressources sensibles. Lauthentification permet galement DDR deffectuer un suivi
des sites qui sont actuellement connects et autorise la cration de faisceaux MultiLink PPP. Les
sujets suivants sont traits dans cette section :
m lauthentification PPP ;
m le protocole CHAP (Challenge Handshake Authentication Protocol) ;
m le protocole PAP (Password Authentication Protocol) ;
m la scurit RNIS ;
m la fonction de rappel DDR ;
m les listes daccs IPX.
Authentification PPP
Lauthentification PPP via CHAP ou PAP (comme dcrit dans le RFC 1334) devrait tre utilise
pour fournir une scurit sur les connexions DDR. Lauthentification PPP a lieu aprs que LCP
(Link Control Protocol) a t ngoci sur la connexion DDR, mais avant que les protocoles de
rseau naient t autoriss circuler. Elle est ngocie en tant quoption LCP et est bidirection-
nelle, ce qui signifie que chaque partie peut authentifier lautre. Dans certains environnements, il
peut tre ncessaire dactiver lauthentification PPP du ct appel uniquement (ce qui signifie que
le ct appelant nauthentifie pas le ct appel).
Protocole CHAP
Avec CHAP, un quipement distant qui tente de se connecter sur le routeur local se voit prsenter un
dfi (challenge), CHAP contenant le nom dhte et une valeur de dpart (seed) pour le dfi. Lorsque le
routeur distant reoit le dfi, il examine le nom dhte qui y est contenu et le renvoie avec une rponse
CHAP drive de la valeur de dpart et du mot de passe pour ce nom dhte. Les mots de passe
doivent tre identiques sur lquipement distant et sur le routeur local. Les noms et mots de passe sont
342 Partie I Architecture de rseaux
configurs au moyen de la commande username. Dans lexemple suivant, le routeur nas3600A auto-
risera le routeur c1600A lappeler en utilisant le mot de passe "bubble" :
hostname nas3600A
username c1600A password bubble
!
interface dialer 1
ppp authentication chap callin
Dans lexemple suivant, le routeur Macduff autorisera le routeur Macbeth lappeler en utilisant le
mot de passe "bubble" :
hostname nas3600A
username c1600A password bubble
!
interface dialer 1
encapsulation ppp
dialer in-band
dialer-groupe 5
dialer map ip 172.20.1.1 name nas3600A 18355558661
ppp authentication chap callin
Les tapes dcrites ci-dessous illustrent le fonctionnement de CHAP :
1. c1600A appelle nas3600A, puis LCP est ngoci.
2. nas3600A met c1600A au dfi avec : <nas3600A/chane_de_dfi>.
3. c1600A recherche le mot de passe pour le nom dutilisateur nas3600A, puis gnre la chane de
rponse (chane_de_rponse).
4. c1600A envoie une rponse nas3600A : <c1600A/chane_de_rponse>.
5. nas3600A examine le mot de passe pour le nom dutilisateur c1600A, puis gnre la chane de
rponse (chane_de_rponse) prvue. Si la chane de rponse reue correspond celle prvue,
lauthentification PPP est russie, et PPP peut ngocier les protocoles de contrle de rseau (tel
IPCP). Si lauthentification PPP choue, le site distant est dconnect.
Protocole PAP
A linstar de CHAP, PAP est un protocole dauthentification utilis par PPP. Nanmoins, PAP est
moins sr que CHAP, car ce dernier transmet une version crypte du mot de passe sur la ligne physi-
que, alors que PAP communique le mot de passe en clair, ce qui lexpose aux attaques par sniffer (outil
de surveillance de rseau).
Lorsque laccs est authentifi avec PAP, le routeur examine le nom dutilisateur qui correspond la
ligne de correspondance de numrotation utilise pour initier lappel. Lorsquil est authentifi avec
PAP lors dun appel entrant, PAP recherche le nom dutilisateur associ son nom dhte (car
aucune correspondance de numrotation na t utilise pour initier la connexion).
Dans lexemple de configuration suivant, le routeur NAS authentifiera lhomologue avec PAP
lorsquil rpondra lappel DDR, puis comparera le rsultat la base de donnes locale :
hostname nas3600A
aaa new-model
aaa authentication ppp default local
username c2500A password freedom
username nas3600A password texas
Chapitre 10 Conception de rseaux DDR 343
!
interface Dialer1
encapsulation ppp
ppp authentication pap
Scurit RNIS
DDR RNIS peut utiliser lidentifiant dappelant (caller-ID) afin damliorer la scurit en configu-
rant lappelant RNIS sur les interfaces RNIS entrantes. Les appels entrants sont filtrs pour vrifier
que lidentifiant de la ligne appelante provient dune origine connue. Toutefois, ce filtrage ncessite
une connexion RNIS de bout en bout qui permet de fournir lidentifiant de lappelant au routeur.
Rsum
Lors de la conception de rseaux DDR, examinez le type de la topologie : point--point, hub-and-
spoke ou totalement maille. Etudiez galement le type de schma dadressage utilis et les probl-
mes de scurit. Gardez lesprit que le choix du mdia influence la faon dont les paquets sont
envoys. Dfinissez la destination des paquets en configurant des routes statiques, des zones et des
services. Dterminez de quelle manire les paquets atteignent leur destination, en configurant des inter-
faces de numrotation et en associant les adresses et les numros de tlphone. Enfin, dterminez
quel moment le routeur devra tablir la connexion, en dfinissant des paquets intressants et inint-
ressants, ce qui limine les diffusions broadcast AppleTalk inutiles et les paquets de simulation
watchdog IPX. Ces recommandations vous aideront implmenter des rseaux volutifs, prsentant
un rapport quilibr entre les performances, la tolrance aux pannes et le cot.
Pour obtenir davantage dinformations sur la cration de rseaux DDR, avec des exemples de proto-
coles, voyez les Chapitres 11, 20 et 21.
11
Conception de rseaux RNIS
modems. Ce chapitre tudie la conception de ces applications. Son principal objectif est dexaminer
les problmes de conception associs la cration de rseaux RNIS. Pour tudier des exemples
spcifiques, reportez-vous aux chapitres qui prsentent des tudes de cas sur le sujet.
A la Figure 11.1, RNIS est utilis pour assurer simultanment des accs numriques et des accs
par modems pour des sites distants qui emploient une solution de connexion hybride.
Figure 11.1
RNIS peut supporter
des solutions de Accs RNIS Accs RNIS
numrotation de base (BRI) RNIS primaire (PRI)
hybrides (analogique Analogique
et numrique). avec modem
Applications de RNIS
RNIS a plusieurs applications dans la mise en uvre de rseaux. Le systme dexploitation Cisco
IOS est depuis longtemps utilis pour laborer des solutions qui implmentent DDR et le secours
par ligne commute pour la connectivit ROBO. Plus rcemment, RNIS a fait lobjet dimplmen-
tations croissantes pour grer la connectivit SOHO. Dans le cadre de ce livre, le ct appelant de
RNIS sera dsign par le terme SOHO; le ct rpondant par NAS (Network Access Server, serveur
daccs au rseau), sauf spcification particulire. Cette section traite des sujets suivants :
m le routage DDR ;
m le secours par ligne commute ;
m la connectivit SOHO ;
m lagrgation de modems.
Routage DDR
La connectivit permanente par lintermdiaire de RNIS est simule par des routeurs Cisco IOS, au
moyen de DDR. Lorsque des paquets qualifis arrivent sur une interface de numrotation, la connec-
tivit est tablie sur RNIS. Aprs une certaine priode dinactivit (prconfigure), la connexion
RNIS est libre. Des canaux B RNIS peuvent tre ajouts et supprims du faisceau MultiLink PPP,
par le biais de seuils configurables. La Figure 11.2 illustre lemploi de DDR pour la connexion de
sites distants avec RNIS.
Figure 11.2
DDR cre la connexion entre des sites RNIS. RNIS
Chapitre 11 Conception de rseaux RNIS 347
Figure 11.3
RNIS peut fournir une solution
de secours pour un lien principal
entre des sites.
RNIS
Connectivit SOHO
Les sites SOHO (Small Office/Home Office) peuvent maintenant tre supports de faon rentable,
grce aux services de linterface BRI de laccs RNIS de base. Les sites SOHO occasionnels ou
permanents ont ainsi la possibilit de se connecter aux sites de leur entreprise, ou lInternet, en
bnficiant de vitesses beaucoup plus leves que celles permises par la tlphonie classique, avec
lemploi de modems.
La connectivit SOHO implique en gnral lemploi exclusif de la ligne commute (connexions
inities par SOHO). Elle peut tirer profit des technologies mergeantes de traduction dadresses,
telles que PAT (Port and Address Translation, traduction dadresses et de ports) supporte par la
srie Cisco 700 et EZIP du systme Cisco IOS , pour simplifier la conception et lexploita-
tion. A laide de ces fonctions, le site SOHO peut supporter plusieurs quipements, mais apparat,
pour le serveur NAS Cisco IOS, comme tant une seule adresse IP (voir Figure 11.4).
Agrgation de modems
Lexploitation de modems en racks ainsi que du cblage associ a t limine, et remplace par
lintgration de cartes modem numriques, sur les serveurs NAS Cisco IOS. Cette intgration rend
possible lemploi de technologies de modems 56 Kbit/s. Des solutions de numrotation hybrides
peuvent tre labores au moyen dun seul numro de tlphone, afin de fournir une connectivit
par modem analogique et RNIS (voir Figure 11.1).
Connectivit RNIS
La connectivit RNIS est assure au moyen dinterfaces physiques : PRI pour laccs RNIS
primaire, et BRI pour laccs RNIS de base. Une seule interface fournit un faisceau multiplex de
canaux B et D. Le canal B (Bearer) fournit des services de transport de donnes ou de la voix sur
une bande passante leve (jusqu 64 Kbit/s par canal B). Le canal D (Delta) sert la signalisation
et au contrle, et peut galement tre utilis pour les applications de donnes qui rclament peu de
bande passante.
Le service daccs RNIS de base est assur sur une boucle locale, exploite traditionnellement pour
la commutation vers un service tlphonique analogique. Laccs RNIS de base met la disposition
de labonn deux canaux B 64 Kbit/s et un canal D 16 Kbit/s (2B + D).
Le service daccs RNIS primaire est assur sur des lignes loues T1 ou E1 traditionnelles, qui
relient lquipement du client (CPE) et le commutateur RNIS :
m laccs RNIS primaire sur une ligne T1 fournit 23 canaux B 64 Kbit/s et un canal D 64 Kbit/s
(23B + D) ;
m laccs RNIS primaire sur une ligne E1 fournit 30 canaux B 64 Kbit/s et un canal D 64 Kbit/s
(30B + D).
Lexploitation des services de laccs RNIS primaire et de laccs RNIS de base impose des exigen-
ces strictes en matire dquipements physiques, ainsi que de cblage sur la portion entre le
commutateur RNIS et lquipement RNIS du client. Les installations classiques peuvent impliquer
Chapitre 11 Conception de rseaux RNIS 349
des dlais supplmentaires, ainsi que lobligation de travailler avec des groupes de support ddis
au sein de lenvironnement de votre fournisseur de services RNIS (voir Figure 11.5).
Encapsulation de datagrammes
Lorsque DDR (ou un utilisateur) tablit un lien de bout en bout travers RNIS, on recourt une
mthode dencapsulation de datagrammes afin dassurer le transport des donnes. Les techniques
dencapsulation disponibles pour la conception avec RNIS sont PPP, HDLC, X.25 et V120. La tech-
nologie X.25 peut galement tre utilise pour la livraison de datagrammes sur le canal D.
La plupart des rseaux utilisent le protocole PPP comme mthode dencapsulation. Ce protocole est un
mcanisme point--point puissant et modulaire, qui permet dtablir des liaisons de donnes, dapporter
une scurit et dencapsuler le trafic. Il est ngoci entre les homologues qui communiquent chaque
fois quune connexion est tablie. Les liens PPP peuvent ensuite tre utiliss par les protocoles de
rseau tels IP et IPX. Les solutions PPP peuvent supporter lagrgation de bandes passantes au moyen
de MultiLink PPP, en vue damliorer le dbit, ce qui offre davantage de bande passante aux applica-
tions de rseau.
Routage DDR
Les concepteurs dapplications de rseau doivent dterminer de quelle faon les connexions RNIS
seront inities, maintenues et libres. DDR est constitu dun ensemble de fonctions sophistiques
du systme dexploitation Cisco IOS, qui tablit et libre de faon intelligente les connexions de
circuits commuts, selon les besoins du trafic transport sur le rseau. DDR peut simuler le routage
et les services dannuaire de diffrentes manires, afin de donner lillusion dune connectivit
permanente travers des connexions de circuits commuts. Reportez-vous au Chapitre 10 pour plus
de renseignements sur la conception DDR.
Problmes de scurit
Les quipements de rseau peuvent aujourdhui tre connects via le rseau RTC, il est donc impratif
de concevoir un modle de scurit robuste, afin de protger votre rseau. Le systme dexploitation
Cisco IOS utilise le modle AAA pour mettre en uvre une scurit. RNIS propose lutilisation des
informations didentification de lappelant et du numro appel (DNIS, Dialed Number Information
Service) afin dapporter davantage de souplesse dans la conception de la scurit.
important dvaluer les profils de trafic de donnes et de surveiller ceux dutilisation des services
RNIS, afin de vous assurer que les cots WAN sont bien contrls. La fonction de rappel de lappe-
lant peut galement tre utilise pour centraliser la facturation.
BRI
Routeurs LAN
Les routeurs RNIS assurent le routage entre linterface BRI et le LAN, au moyen de DDR.
Chapitre 11 Conception de rseaux RNIS 351
DDR tablit et libre automatiquement les liaisons par circuits commuts, qui fournissent ainsi une
connectivit transparente pour les sites distants, en se fondant sur le trafic du rseau. DDR contrle
galement ltablissement et la libration des canaux B secondaires, en se fondant sur des seuils de
charge. MultiLink PPP est utilis pour assurer lagrgation de bandes passantes, lorsque plusieurs
canaux B sont utiliss. Pour plus dinformations sur DDR, voyez le Chapitre 10.
Certaines applications RNIS peuvent ncessiter que lutilisateur contrle directement les appels
RNIS. Les fonctions mergeantes du systme exploitation Cisco IOS peuvent autoriser ce contrle au
niveau de lordinateur de bureau. Les nouveaux modles Cisco 700 permettent un contrle direct,
au moyen dun bouton dappel situ sur la face avant du routeur.
La srie de routeurs Cisco 700, ainsi que les sries de routeurs Cisco 1000, 1600 et 2500, bass sur
Cisco IOS, fournissent une interface BRI. Plusieurs interfaces BRI sont disponibles sur les sries Cisco
3600 et 4x00.
Configuration BRI
La configuration BRI implique de configurer les types de commutateurs RNIS ainsi que les identi-
fiants SPID (Service Profile Identifier, identifiant de profil de service) de la manire suivante.
m Types de commutateurs Cisco IOS. La commande Cisco IOS suivante illustre les types de
commutateurs BRI supports :
kdt-3640(config)#isdn switch-type ?
basic-1tr6 1TR6 switch type for Germany
basic-5ess AT&T 5ESS switch type for the U.S.
basic-dms100 Northern DMS-100 switch type
basic-net3 NET3 switch type for UK and Europe
basic-ni1 National ISDN-1 switch type
basic-nwnet3 NET3 switch type for Norway
basic-nznet3 NET3 switch type for New Zealand
basic-ts013 TS013 switch type for Australia
ntt NTT switch type for Japan
vn2 VN2 switch type for France
vn3 VN3 and VN4 switch types for France
m Types de commutateur Cisco 700. Sur la srie de routeurs Cisco 700, utilisez la commande set
switch, qui accepte les options suivantes, lorsque vous utilisez limage logicielle US :
SEt SWitch 5ESS | DMS | NI-1 |PERM64 | PERM128
NOTE
Il nexiste aucun format standard pour les identifiants SPID. Par consquent, les numros varient en fonc-
tion du fabricant du commutateur, et de loprateur.
Chapitre 11 Conception de rseaux RNIS 353
Configuration PRI
La configuration des types de commutateurs RNIS pour linterface BRI se fait au moyen de la
commande isdn switch-type :
AS5200-2(config)#isdn switch-type ?
primary-4ess AT&T 4ESS switch type for the U.S.
primary-5ess AT&T 5ESS switch type for the U.S.
primary-dms100 Northern Telecom switch type for the U.S.
primary-net5 European switch type for NET5
primary-ntt Japan switch type
primary-ts014 Australia switch type
En gnral, il sagit dune commande de configuration globale. La version 11.3T (ou ultrieure) de
Cisco IOS assure la gestion de plusieurs types de commutateurs sur un seul chssis Cisco IOS. Les
services PRI sont activs sur le serveur NAS en configurant les contrleurs T1 (ou E1). Voici un
exemple de configuration T1 type, sur un Cisco 5200 :
controller T1 0
framing esf
clock source line primary
linecode b8zs
pri-group timeslots 1-24
356 Partie I Architecture de rseaux
!
controller T1 1
framing esf
clock source line secondary
linecode b8zs
pri-group timeslots 1-24
!
Notez que les canaux PRI 0-23 sont mis en correspondance avec les tranches de temps PRI 1-24. La
mme assignation +1 est utilise sur linterface PRI base sur la ligne E1.
Pour configurer une interface PRI base sur T1, appliquez les commandes de configuration au canal
D PRI, cest--dire linterface Serial0:23. Tous les canaux situs sur une interface PRI (ou BRI)
sont automatiquement regroups en une interface de numrotation. Lorsque les appels sont effec-
tus ou reus sur les canaux B, la configuration est clone partir de linterface de numrotation
(Serial0:23). Si un NAS contient plusieurs interfaces PRI, elles peuvent tre regroupes en une
interface de numrotation, laide de la commande dinterface dialer rotary-group, comme illus-
tr dans lexemple suivant :
interface Serial0:23
dialer rotary-group 1
!
interface Serial1:23
dialer rotary-group 1
!
interface Dialer1
ip unnumbered Ethernet0
encapsulation ppp
peer default ip address pool default
dialer in-band
dialer idle-timeout 120
dialer-group 1
no fair-queue
no cdp enable
ppp authentication pap chap
ppp multilink
Avec cette configuration, chaque configuration de canal B ou de faisceau MultiLink PPP est clone
partir de linterface Dialer1.
T1 1 is up.
No alarms detected.
Version info of slot 0: HW: 2, Firmware: 14, NEAT PLD: 14, NR Bus PLD: 22
Framing is ESF, Line Code is B8ZS, Clock Source is Line Secondary.
Data in current interval (197 seconds elapsed):
0 Line Code Violations, 0 Path Code Violations
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 0 Degraded Mins
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Total Data (last 24 hours)
0 Line Code Violations, 0 Path Code Violations,
0 Slip Secs, 0 Fr Loss Secs, 0 Line Err Secs, 4 Degraded Mins,
0 Errored Secs, 0 Bursty Err Secs, 0 Severely Err Secs, 0 Unavail Secs
Des violations de code de ligne excessives, ou dautres erreurs, provoquent une dgradation impor-
tante des performances. Vrifiez auprs de votre fournisseur de services PRI que ces compteurs
fonctionnent correctement. Utilisez la commande EXEC Cisco IOS show isdn status, de la
manire suivante, pour savoir si RNIS est oprationnel :
AS5200-1#sh isdn status
The current ISDN Switchtype = primary-dms100
ISDN Serial0:23 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 0 CCBs = 0
ISDN Serial1:23 interface
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State = MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 1 CCBs = 0
Vrifiez ltat du canal B de la manire suivante, laide de la commande EXEC show isdn
service :
AS5200-1#sh isdn service
PRI Channel Statistics:
ISDN Se0:23, Channel (1-31)
Activated dsl 0
State (0=Idle 1=Propose 2=Busy 3=Reserved 4=Restart 5=Maint)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 3 3 3 3 3 3 3
Channel (1-31) Service (0=Inservice 1=Maint 2=Outofservice)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
ISDN Se1:23, Channel (1-31)
Activated dsl 1
State (0=Idle 1=Propose 2=Busy 3=Reserved 4=Restart 5=Maint)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 3 3 3 3 3 3 3 3
Channel (1-31) Service (0=Inservice 1=Maint 2=Outofservice)
0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0
358 Partie I Architecture de rseaux
SETUP Q.931, qui indique quil sagit de connexions pour la voix. Dans certaines rgions ou pays,
les structures tarifaires pour RNIS rendent ce type de connexion plus rentable. Cette conception de
rseau est gnralement appele rseau RNIS donnes sur voix. Nanmoins, le fait dindiquer au
dispositif de commutation RNIS que le canal porteur est rserv la voix autorise la connexion
emprunter des tronons non numriques. Les concepteurs doivent par consquent examiner avec
prcaution les risques potentiels dune telle conception. Pour configurer les appels entrants de type
donnes sur voix avec Cisco IOS, utilisez la commande de configuration isdn incoming-voice
data de la manire suivante :
NAS-522(config)#int serial 0:23
NAS-522(config-if)#isdn incoming ?
data Incoming voice calls will be handled as data.
modem Incoming voice calls will be handled as modems.
Vitesse
en sortie Correspondances de numrotation Profil de numrotation Cisco 700
Lorsque des appels sont effectus initialement 64 Kbit/s, mais quils sont livrs incorrectement
leur destination par le rseau RNIS, via un chemin 56 Kbit/s, les donnes ainsi transmises sont alt-
res. Le dpannage, laide de la commande debug isdn q931, signalera que lappel a abouti, mais
la commande debug ppp negotiation nindiquera aucune rception. Les paquets endommags sont
360 Partie I Architecture de rseaux
ignors. Si les appels aboutissent et que PPP ne ngocie pas LCP (Link Control Protocol), il est
recommand de toujours tester les connexions sortantes 56 Kbit/s :
m Vitesse dappels sortants.
Configuration de la vitesse avec Cisco IOS. Utilisez le paramtre speed sur la ligne de la
commande dialer map, afin deffectuer des appels 56 Kbit/s, comme dans lexemple suivant :
int dialer 1
dialer map ip 172.20.1.1 name nas speed 56 5558084
Protocole PPP
PPP (Point-to-Point Protocol) fournit une mthode standard pour le transport de paquets multipro-
tocoles sur des liaisons point--point. Ce protocole est dfini dans le RFC 1661. Il comprend
plusieurs composantes, auxquelles le concepteur de rseaux est confront.
port srie de PC), deux techniques peuvent tre employes pour assurer la compatibilit des trames.
La mthode recommande est lactivation de la conversion des trames PPP synchrones en trames PPP
asynchrones sur ladaptateur de terminal RNIS. Si cela nest pas possible, V.120 peut alors tre utilis
pour encapsuler les trames PPP asynchrones, afin quelles puissent tre transportes sur RNIS.
Authentification PPP
Les protocoles dauthentification de PPP, PAP (Password Authentication Protocol) et CHAP (Chal-
lenge Handshake Authentication Protocol), sont dfinis dans le RFC 1334. Aprs ltablissement de la
connexion PPP par LCP, un protocole dauthentification optionnel peut tre implment avant de
procder la ngociation et ltablissement des protocoles de contrle de rseau (NCP, Network
Control Protocols). Si lauthentification est souhaite, elle doit tre ngocie en tant quoption, durant
la phase dtablissement de LCP. Elle peut tre bidirectionnelle (chaque ct authentifie lautre) ou
unidirectionnelle (un seul ct, gnralement lappelant, authentifie lautre).
La plupart des conceptions RNIS ncessitent que lquipement appel authentifie le dispositif appe-
lant. Outre les avantages sur le plan de la scurit, lauthentification fournit galement une indication
sur ltat de DDR et des faisceaux MultiLink PPP.
Figure 11.7
NCP
MultiLink PPP en action.
Faisceau MLP
LCP LCP
Liaison Liaison
Lorsquun paquet NCP dune taille suprieure 30 octets arrive sur une interface matre MLP pour
tre transmis, il est fragment, puis envoy sur chaque liaison physique du faisceau MLP. Lorsque
les fragments de paquet MLP arrivent sur la destination PPP, MLP rassemble les paquets origi-
naux, puis les rordonne correctement dans le flux de donnes.
Avec MLP, les quipements BRI peuvent doubler leur bande passante de connexion sur la liaison,
en passant de 56/64 Kbit/s 112/128 Kbit/s. MLP est support tant que les quipements font partie
du mme groupe de rotation de numrotation ou du mme pool.
Les fonctionnalits avances de Cisco IOS et de Cisco 700 sont utilises pour dterminer quel
moment ajouter des liaisons linterface matre MLP, ou en supprimer. La fonction DDR de Cisco
IOS autorise une configuration, selon un certain seuil de charge. Le facteur de charge peut tre
calcul sur le trafic entrant, sur le trafic sortant, ou sur le trafic bidirectionnel.
La configuration partielle suivante pour un serveur NAS place deux interfaces BRI dans un groupe
de rotation de numrotation, active le support de MLP, puis dfinit un seuil de charge, afin de dte-
rminer quel moment des canaux B supplmentaires doivent tre activs :
interface BRI2/0
encapsulation ppp
dialer rotary-group 1
isdn spid1 0835866201
isdn spid2 0835866401
!
interface BRI2/1
encapsulation ppp
dialer rotary-group 1
isdn spid1 0835867201
isdn spid2 0835967401
!
interface Dialer1
ip unnumbered Ethernet0/0
encapsulation ppp
dialer in-band
dialer map ip 172.20.2.1 name kdt-nas 8358661
dialer load-threshold 100 either
dialer-group 1
ppp authentication chap callin
ppp multilink
Ltat du protocole MLP, ainsi que celui des sessions, peut tre contrl au moyen des commandes
show user et show ppp multilink.
Chapitre 11 Conception de rseaux RNIS 363
KDT-5200#sh user
Line User Host(s) Idle Location
* 51 vty 1 admin idle 00:00:00
Vi1 jack-isdn Virtual PPP (Bundle) 00:00:46
Vi9 cisco776 Virtual PPP (Bundle) 00:00:46
Se0:18 jack-isd Sync PPP 00:09:06
Se0:21 cisco776 Sync PPP 00:18:59
Se0:22 jack-isdn Sync PPP 00:08:49
Member Link: 1
Serial0:21
Member Links: 2
Serial0:18
Serial0:22
Comme nous lavons vu prcdemment, MLP utilise le nom dauthentification PPP pour construire
et maintenir les faisceaux MLP. Pour activer MLP sur un routeur Cisco 700, appliquez la commande
de configuration suivante :
set ppp multilink on
Scurit RNIS
A laide de SS7, RNIS peut livrer des lments dinformations de bout en bout, par exemple liden-
tifiant dappelant ou le numro appel (DNIS). Ces informations peuvent tre utilises dans le but
364 Partie I Architecture de rseaux
Plusieurs commandes isdn caller peuvent tre employes, si ncessaire. Si un appel est reu
sans indication de lidentifiant dappelant, ou quil prsente un identifiant non conforme, lappel
est rejet.
m Rappel de lappelant. La fonction de rappel (callback) permet un routeur (en gnral, un
routeur distant) dinitier une liaison WAN par circuit commut vers un autre quipement, et de
demander celui-ci de le rappeler. Lquipement (par exemple, un routeur de site central) rpond
la requte en appelant le dispositif lorigine de la demande de connexion. La fonction de
rappel utilise le protocole PPP et les spcifications du RFC 1570. La Figure 11.8 illustre un
processus de ngociation type.
3. Le routeur A sauthentifie auprs du routeur B laide des protocoles PAP ou CHAP de PPP. Le
routeur B peut optionellement sauthentifier auprs du routeur A.
4. Les deux routeurs interrompent la connexion sur le circuit commut.
5. Le routeur B tablit une connexion par circuit commut vers le routeur A.
La fonction de rappel permet de centraliser la facturation pour les services de connexions
synchrones par commutation. Elle permet galement de tirer profit des diffrences de tarification
entre les communications nationales et internationales. Toutefois, le rappel ncessite ltablisse-
ment dune connexion par circuit commut avant que la requte de rappel ne puisse tre trans-
mise. Cela induit toujours un cot minimum (selon la tarification locale) pour le routeur qui
demande le rappel.
Reportez-vous au Chapitre 10 pour plus de dtails sur le rappel DDR. Le Chapitre 21 fournit un
exemple de configuration de rappel.
m Vrification du numro appel. Lorsque plusieurs quipements et un routeur partagent la
mme boucle locale RNIS, vous pouvez vrifier que cest bien le dispositif appropri qui rpond
lappel entrant. Pour cela, il faut configurer lquipement afin quil compare le numro appel
et la sous-adresse donne par le commutateur dans le message SETUP avec le numro et la sous-
adresse qui ont t dfinis.
Pour configurer la fonction de vrification du numro appel sur le routeur, utilisez les comman-
des de configuration dinterface isdn answer1 ou isdn answer2 sur linterface BRI. Elles permet-
tent de spcifier soit le numro appel, soit le numro de sous-adresse, ou les deux. Si vous
nutilisez aucune de ces commandes, le routeur traite et accepte tous les appels entrants.
LAN. Toutes les commandes de configuration de routeurs Cisco 700 suivantes activent la traduction
NAT pour la fonction PAT.
Profils virtuels
Les profils virtuels (introduits avec Cisco IOS 11.3) sont des applications PPP, qui crent des inter-
faces daccs virtuel pour chaque utilisateur connect. Ils apportent une souplesse de conception
supplmentaire lors de llaboration de rseaux RNIS pour le support de SOHO. Leur emploi pour
les connexions entrantes par circuits commuts peut simplifier ladressage de nud et la mise en
correspondance dadresses, ces fonctions tant autrement fournies par lutilisation de DDR sur les
interfaces RNIS. Les appels sortants fonds sur des profils virtuels ne sont plus supports partir de
la version Cisco IOS 11.3.
La configuration dinterface daccs virtuel peut tre clone partir dun modle virtuel dinterface.
Pour en apprendre davantage sur les interfaces daccs virtuel, visitez le site http://cio.cisco.com/
warp/customer/131/4.html. Les profils virtuels se fondent sur des modles virtuels, et peuvent
utiliser AAA fond sur une configuration par utilisateur pour crer des interfaces daccs virtuel. La
configuration par utilisateur peut tre ajoute afin de rpondre aux besoins spcifiques du protocole,
pour des utilisateurs individuels ou des groupes.
Les interfaces daccs virtuel Cisco IOS peuvent simplifier le support des nuds distants pour IPX
et AppleTalk, en utilisant la mme configuration que celle employe sur les interfaces de groupe
asynchrones traditionnelles. La configuration suivante fournit ladressage dhomologue pour IP,
IPX et AppleTalk, au moyen de linterface Virtual-Template1 :
interface Virtual-Template1
ip unnumbered Ethernet0/0
appletalk client-mode
ipx ppp-client Loopback0
peer default ip address pool default
Cisco IOS, sinon plusieurs canaux B risqueraient de ne pas tre rassembls. Par exemple, un
AS5300 peut supporter jusqu quatre interfaces PRI, en fournissant un maximum de 120 canaux B
(bass E1) dans un seul groupe de voies pour appel entrant. Une plus grande capacit de NAS
devrait tre fournie par la configuration dun nouveau groupe (avec un nouveau numro dannuaire
pilote) pour chaque serveur daccs de rseau (voir Figure 11.9). Cela a pour effet ngatif de frag-
menter le pool dappel.
Figure 11.9
MMP permet un groupe
MMP
de voies de loprateur
tlphonique de stendre
sur plusieurs serveurs NAS.
A
NAS1
RNIS
NAS2
NAS3
Cisco affirme que, quelle que soit la taille de NAS dveloppe, il subsistera toujours des clients qui
auront besoin de pools de ports daccs plus grands. Ainsi, la version Cisco IOS 11.2 a introduit le
protocole MMP (Multichassis MultiLink Point-to-Point Protocol), qui tend le protocole MLP
(MultiLink PPP) en fournissant un mcanisme qui permet de regrouper de faon transparente les
canaux B sur plusieurs serveurs NAS.
MMP inclut deux composantes principales, qui viennent complter MLP :
m Le groupe de numrotation Stack Group. Il englobe les serveurs NAS, qui oprent en groupe lors
de la rception dappels MLP. Chaque session MLP reue par un NAS est transmise sous forme
doffre, au moyen du protocole SGBP (Stack Group Bidding Protocol). Cela permet principalement
des liaisons MLP secondaires dtre regroupes vers linterface MLP matre. Diffrentes stratgies
doffre, telles que hors charge (off-load) ou avec quilibrage de charge (load-sharing) peuvent tre
employes afin de dterminer qui doit remporter loffre dinterface matre.
m Le protocole L2F (Level 2 Forwarding, transmission de niveau 2). Avant-projet de standard
de lIETF, le protocole L2F permet lencapsulation de fragments MLP dans un tunnel entre
linterface physique MLP et linterface matre MLP.
Chapitre 11 Conception de rseaux RNIS 369
A laide de MMP, le potentiel MLP peut tre aisment augment ou rduit, dans les grands pools de
numrotation, selon les besoins. Des ressources processeur peuvent tre ajoutes aux pools de numro-
tation, par lintermdiaire de serveurs hors charge. Des tches, telles que la fragmentation et le
rassemblage MLP, la compression PPP et le cryptage, peuvent tre gourmandes en ressources proces-
seur ; leur excution sur des serveurs hors charge peut se rvler avantageuse (voir Figure 11.10).
Figure 11.10
STACKQ STACKQ STACKQ
Sessions
MMP actives. Interface de
numrotation
Interface de faisceau
utilisateur x
Transmis Transmis
P V V P P
Lgende
Pour configurer MMP sur un serveur NAS Cisco IOS, utilisez la commande sgbp, comme suit :
kdt-3640(config)#sgbp ?
group SGBP group name
member SGBP group member configuration
ppp-forward SGBP participation for non-MultiLink PPP also
seed-bid mastership query seed bid
source-ip SGBP source ip address
370 Partie I Architecture de rseaux
Pour surveiller et dpanner MMP, utilisez la fois sgbpet vpdn (pour L2F) :
sh sgbp
sh vpdn
debug sgbp
debug vpdn
MMP reprsente une solution qui peut interoprer avec des matriels qui proviennent de diffrents
fabricants, car il ne ncessite pas de fonctionnalits logicielles particulires sur les sites distants. La
seule exigence est le support du standard de lindustrie MLP (RFC 1717).
Analyse de trafic
La plupart des solutions RNIS peuvent demeurer rentables tant que les canaux B RNIS restent inac-
tifs la majeure partie de la journe. Lexprience montre que le Frame Relay peut reprsenter une
solution plus rentable partir dun certain nombre dheures par jour, selon lapplication utilise. Le
point partir duquel une ligne loue devient plus rentable dpend des structures de cot de chaque
application point--point.
Chaque application et chaque protocole de rseau possde son lot de difficults. Les clients de cour-
rier lectronique peuvent tre configurs pour interroger rgulirement les serveurs POP. En vue
dune synchronisation, lemploi du protocole NTP (Network Time Protocol) peut tre souhaitable.
Pour pouvoir contrler exactement quel moment les connexions DDR sont tablies, le concepteur
du rseau doit tudier de prs les points suivants :
m Quels sont les sites qui peuvent initier des connexions en fonction du trafic ?
Chapitre 11 Conception de rseaux RNIS 371
m Est-ce que les appels sortants sont requis vers des sites SOHO ? Si oui, le sont-ils pour ladmi-
nistration rseau ou ladministration des stations de travail ?
m Quels sont les sites qui peuvent librer les connexions en se fondant sur linactivit de liaison ?
m Comment les services dannuaires et les tables de routage sont-ils supports travers une
connexion inactive ?
m Quelles sont les applications qui doivent tre gres sur des connexions DDR ? Pour combien
dutilisateurs ?
m Quels sont les protocoles qui peuvent provoquer des connexions DDR de manire inattendue ?
Peuvent-ils tre filtrs ?
m Les filtres de numrotation fonctionnent-ils comme prvu ?
Des directives devraient tre donnes aux utilisateurs sur la manire de limiter et/ou dliminer les
frais RNIS excessifs. Ces directives rsulteront en premier lieu de lidentification des applications
requises sur ces connexions. Les outils de suivi de paquets peuvent tre utiliss avec beaucoup
defficacit afin de dterminer comment rduire ou liminer les connexions DDR inutiles. Par
exemple :
m Lenvoi et la rception de courrier lectronique devront, si possible, tre manuels.
m Un rseau Windows peut ncessiter un change de trafic de services dannuaires priodique.
m Les serveurs AppleShare devront tre dconnects pour viter les paquets tickle.
m Les applications daccs aux bases de donnes, telles que les logiciels de planification, peuvent
avoir besoin dtre dconnectes lorsquelles ne sont pas utilises.
Structure de tarification
Certains fournisseurs de services RNIS procdent une facturation la connexion et la minute,
mme pour les appels locaux. Il est important dexaminer la question des frais de communications
locales et longue distance lors du choix de la conception et des paramtres DDR. La fonction de
rappel RNIS peut tre utilise dans le but de centraliser les frais de communication longue distance,
ce qui peut rduire considrablement la surcharge lie aux tches administratives, et offrir loppor-
tunit de rviser le cadre de facturation. La fonction de rappel RNIS peut galement permettre
damliorer la scurit.
Exploitation de SNMP
Le protocole SNMP (Simple Network Management Protocol) sappuie sur des bases dinformations
dadministration, les MIB (Management Information Base), afin de stocker des donnes sur les
372 Partie I Architecture de rseaux
vnements de rseau. Actuellement, aucun standard nexiste pour les MIB RNIS mais, depuis
lintroduction de Cisco IOS version 10.3(3), deux MIB RNIS Cisco sont disponibles. Grce ces
MIB, les plates-formes dadministration compatibles SNMP (par exemple, HP OpenView ou
SunNet Manager) peuvent interroger les routeurs Cisco afin dobtenir des statistiques sur RNIS.
Les MIB RNIS Cisco se concentrent principalement sur linterface RNIS et les informations de
voisinage. Deux groupes MIB sont dfinis : demandNbrTable et demandNbrEntry. Le Tableau 11.2
rpertorie certaines des variables MIB disponibles dans les MIB RNIS. Lapplication CEA pour
RNIS peut permettre laccs aux donnes de la MIB dhistorique dappels (Call History).
demandNbrPhysIf Valeur dindex de linterface physique sur laquelle le voisin sera appel ;
sur une interface RNIS, cest la valeur ifIndex du canal D.
demandNbrMaxduration Dure maximale dappel, en secondes.
demandNbrLastduration Dure du dernier appel, en secondes.
demandNbrAcceptCalls Nombre dappels en provenance du voisin accepts.
demandNbrRefuseCalls Nombre dappels en provenance du voisin refuss.
La MIB Cisco dhistorique dappels conserve les informations dappel des fins de comptabilit.
Lobjectif est de fournir lhistorique dune interface RNIS, ce qui inclut le nombre dappels effec-
tus et leur dure. La plupart des variables MIB dhistorique dappels font partie du groupe MIB
ciscoCallHistory. Le Tableau 11.3 rpertorie certaines de ces variables MIB.
Les MIB RNIS de Cisco impliquent le support de SNMP sur le rseau. Si une plate-forme compati-
ble SNMP est prsente, les MIB peuvent fournir des informations prcieuses sur les liaisons RNIS.
La MIB dhistorique dappels apporte en particulier des renseignements essentiels sur les dures
dactivit RNIS, ce qui est utile pour contrler les frais.
Cisco propose une large gamme de produits RNIS afin de rpondre la varit des besoins en matire
de connexion. Le systme Cisco IOS fournit un certain nombre de fonctionnalits qui optimisent les
Chapitre 11 Conception de rseaux RNIS 373
performances du rseau RNIS et en minimisent les frais dexploitation, telles le routage Snapshot, les
listes daccs, le filtrage NBP (pour AppleTalk), ainsi que le contrle de paquets watchdog et keepalive
(pour IPX).
Comptabilit AAA
La comptabilit AAA peut tre implmente pour fournir un retour dinformations sur la dure de
connexion des sessions PPP. Les informations de comptabilit sont transportes vers des serveurs
TACACS+ ou RADIUS, o elles peuvent en gnral tre consultes au moyen doutils SQL stan-
dards, afin de gnrer ou de planifier des rapports. La commande suivante active les enregistrements
de la comptabilit AAA pour les sessions PPP :
aaa accounting network stop-only
Dpannage de RNIS
Lors du dpannage de RNIS, il est important de garder lesprit larchitecture de protocoles RNIS,
ainsi que sa relation avec le modle de rfrence OSI. RNIS opre au niveau des trois couches OSI
infrieures, cest--dire physique, liaison de donnes et rseau. Au niveau de la couche rseau, des
protocoles tels I.430 pour BRI et I.431 pour PRI sont rpartis sur les canaux B et D. Au niveau
liaison de donnes, PPP est utilis en tant que protocole de canal B. HDLC pourrait ltre
galement, mais il prsente moins davantages que PPP. LAPD (Q.921) est employ en tant que
protocole de canal D sur cette couche. Au niveau de la couche rseau, des protocoles tels que IP,
IPX, etc. sont employs sur des canaux B ; Q.931 est utilis sur le canal D.
Il faut donc tenir compte de cette structure lors du dpannage, et procder de faon systmatique et
progressive. Commencez par rsoudre les problmes de la couche physique, avant de vous attaquer
ceux des couches suprieures. Examinez toujours les deux extrmits dune connexion RNIS ; cela
vous permettra de cerner de nombreux problmes, qui seront traits en dtail plus loin dans ce chapitre.
Avant de dpanner un lien RNIS, il est conseill dexcuter un ping de linterface RNIS distante. Si
vous y parvenez, cela signifie que la connexion fonctionne correctement. Dans le cas contraire,
inutile de mettre en cause le routage. Noubliez pas quune interface RNIS est une interface DDR ;
avec Cisco IOS, elle devient active uniquement lorsque des paquets intressants dclenchent
ltablissement de la connexion. Pour vrifier la configuration du routeur et surveiller le trafic int-
ressant, vous pouvez utiliser sur le routeur les commandes suivantes : debug dialer events et
debug dialer packets.
Lexemple suivant illustre la prsence de paquets intressants qui dclenchent la liaison RNIS. Vous
pouvez voir leurs adresses IP source et de destination :
Router # debug dialer events
Dialing cause: BRI0: ip (s=20.20.20.20 d20.20.22.22)
Router # debug dialer packets
BRI0: ip (s=20.20.20.20, d=20.20.22.22), 100 bytes, interesting (ip PERMIT)
374 Partie I Architecture de rseaux
Lorsquun problme survient, le paquet IDREQ est retransmis avec des valeurs RI diffrentes et
une valeur AI de 127, sans que le commutateur nenvoie de paquet IDASSN. Dans ce cas, le routeur
fonctionne correctement, linverse du commutateur, qui nacquitte pas le message du routeur. Il
arrive parfois que le commutateur rponde, mais en assignant un identifiant TEI invalide, ce qui est
galement rvlateur dun dysfonctionnement du commutateur :
Router # debug isdn q921
TX -> IDREQ ri = 89898 ai = 127
TX -> IDREQ ri = 90976 ai = 127
TX -> IDREQ ri = 23434 ai = 127
Aprs que le commutateur local a assign au routeur un identifiant TEI valide, le routeur tente
dtablir une connexion HDLC traditionnelle avec le commutateur. Le routeur envoie un message
SABME (Set Asynchronous Balance Mode Extended) avec lidentifiant TEI 64 qui vient dtre assi-
gn par le commutateur local. Lidentifiant de point daccs au service (SAPI, Service Access Point
Identifier) se comporte comme tant un champ de type sur Ethernet, et identifie le protocole de
couche suprieure. Dans le rsultat de la commande debug isdn q921, vous pouvez voir que la
valeur de SAPI est gale 0, ce qui veut dire que le protocole de canal D de couche 3 utilis est
Q.931. Le commutateur rpond au message SABME par un message UA, ce qui signifie quil
accepte lidentifiant
Router # debug isdn q921
TX -> SABMEp sapi = 0 tei = 64
RX <- UAf sapi = 0 tei = 64
Une fois la connexion de liaison de donnes tablie, des trames dinformation INFO sont changes
entre le routeur et le commutateur local. Ces trames sont acquittes au moyen dautres trames INFO
ou de trames RR (Receive Ready). Noubliez pas que ces trames INFO contiennent les messages
de signalisation Q.931, cest--dire quelles contiennent un champ NS (envoi de numro de
squence)et un champ NR (numro de squence suivant attendu) :
Router # debug isdn q921
RX <- INFOc sapi = 0 tei = 64 ns = 0 nr = 0
TX -> RRr sapi = 0 tei = 64 nr = 1
TX -> INFOc sapi = 0 tei = 64 ns = 0 nr = 1
Lorsquaucune trame INFO nest change entre le routeur et le commutateur local, vous devriez
remarquer un change priodique de trames RR. Cet change fait office de mcanisme keepalive,
378 Partie I Architecture de rseaux
cest--dire quil permet de contrler lactivit de la connexion de niveau 2, mme si aucun trame
INFO ne circule. Dans ce cas, la commande debug isdn q921 produirait une sortie analogue ce
qui suit :
Router # debug isdn q921
RX <- RRp sapi = 0 tei = 80 nr = 5
TX -> RRf sapi = 0 tei = 80 nr = 4
RX <- RRp sapi = 0 tei = 80 nr = 5
TX -> RRf sapi = 0 tei = 80 nr = 4
RX <- RRp sapi = 0 tei = 80 nr = 5
TX -> RRf sapi = 0 tei = 80 nr = 4
RX <- RRp sapi = 0 tei = 80 nr = 5
TX -> RRf sapi = 0 tei = 80 nr = 4
Lorsque la communication au niveau de la couche 2 est oprationnelle, vous devriez obtenir le rsultat
suivant, avec la commande debug isdn q921 (tous les champs affichs ont t dcrits prcdemment) :
Router # debug isdn q921
TX -> IDREQ ri = 15454 ai = 127
RX <- IDASSN ri = 15454 ai = 64
TX -> SABMEp sapi = 0 tei = 64
RX <- UAf sapi = 0 tei = 64
RX <- INFOc sapi = 0 tei = 64 ns = 0 nr = 0
TX -> RRr sapi = 0 tei = 64 nr = 1
TX -> INFOc sapi = 0 tei = 64 ns = 0 nr = 1
A prsent, la commande show isdn status devrait rvler la valeur TEI et ltat de la couche 2 :
Router # show isdn status
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 0, State =
MULTIPLE_FRAME_ESTABLISHED
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 0 CCBs = 0
Vous pouvez donc voir que la valeur TEI est gale 0, ce qui signifie quil sagit dune liaison PRI.
Sil stait agi dune interface BRI, la valeur TEI aurait t valide (cest--dire quelle serait situe
dans une plage de 64 126). Ltat de la couche 2 indiqu (MULTIPLE_FRAME_ESTABLISHED) signifie
quelle est oprationnelle, linverse de la couche 3, qui nest pas active.
Q.931
Q.931 est un protocole de signalisation de couche 3 pour les canaux D, dans un environnement
RNIS. Etant donn quil na pas t normalis ds les dbuts de RNIS, il existe plusieurs moutures
de ce protocole, dont plusieurs ont t dveloppes par les principaux oprateurs tlphoniques.
Bien que ces versions soient semblables, vous devez veiller configurer le mme type de commuta-
tion au niveau du routeur et du commutateur RNIS local. Si le commutateur est configur pour la
commutation RNIS de type basic-ni1, le routeur doit tre configur pour supporter ce mme type
de commutation, dont il existe galement plusieurs versions. Des efforts sont mis en uvre en vue de
dfinir basic-net3 en tant que standard europen, et basic-ni1 en tant que standard amricain.
Q.931 supporte 37 mthodes dtablissement de connexion diffrentes. Il sagit dun protocole trs
souple et trs tendu. La signalisation SVC Frame Relay ainsi que la signalisation UNI ATM se
fondent sur la signalisation Q.931. La commande debug isdn q931 peut tre active sur le routeur
pour surveiller les signaux Q.931 et dtecter une ventuelle dfaillance. Pour obtenir une vision
densemble, vous devez lexcuter des deux cts de la connexion. Tous les signaux Q.931 de
niveau 3 sont transmis dans des trames INFO de niveau 2 :
Router # debug isdn q931
TX -> INFOc sapi = 0 tei = 80 ns = 6 nr = 6
SETUP pd = 8 callref = 0x02
Bearer Capability i = 0x8890
Channel ID i = 0x83
Called Party Number i = 0x80, 555555
RX <- INFOc sapi = 0 tei = 80 ns = 6 nr = 7
CALL_PROC pd = 8 callref = 0x82
Channel ID i = 0x89
RX <- INFOc sapi = 0 tei = 80 ns = 7 nr = 7
CONNECT pd = 8 callref = 0x82
Chaque fois que le routeur tablit un appel, il doit envoyer un paquet SETUP contenant toujours un
descripteur de protocole pd = 8 (pd, protocol descriptor). Une valeur hexadcimale alatoire est
gnre pour le numro de rfrence callref, qui est utilis pour garder trace de lappel. Si deux
appels sont tablis, la valeur de callref permet de dterminer quel appel appartient le message
RX (reu). 0x8890 signifie quil sagit dun appel de type donnes 64 Kbit/s ; 0x8890218F dun
appel de type donnes 56 Kbit/s ; et 0x8090A2 dun appel de type voix. Lidentifiant de canal
0x83 signifie que le routeur demande au commutateur de lui assigner un canal D. Le numro de la
partie appele est 555555.
Le message CALL_PROC indique que lappel est en cours. Le premier chiffre du numro de rf-
rence est diffrent, afin de distinguer un appel TX dun appel RX. Le second chiffre est identique
celui contenu dans le message SETUP. Lidentifiant de canal 0x89 dsigne le premier canal B, et
0x8A dsigne le second. Cette squence dvnements est la mme pour chaque tablissement
dappel. Le routeur est totalement dpendant de la socit de tlphonie en ce qui concerne lassi-
gnation dun canal B. Si le commutateur nassigne pas de canal au routeur, lappel ne peut tre
tabli. Dans ce cas, un message CONNECT, avec le mme numro de rfrence que celui reu pour
CALL_PROC (0x82), est reu de la part du commutateur.
380 Partie I Architecture de rseaux
SPID
Une fois que les couches 1 et 2 sont actives, le routeur doit en premier lieu envoyer lidentifiant
SPID au commutateur, avant tout message SETUP. Les identifiants SPID sont assigns par le four-
nisseur de services et devraient tre configurs sur le routeur tels quils ont t fournis. Il sagit
habituellement de nombres de 12 14 chiffres constitus du numro de tlphone et de chiffres
supplmentaires. Ils sont utiliss uniquement en Amrique du Nord, et seuls certains types de
commutateurs requirent leur emploi (par exemple, dms-100 et ni-1). De plus, ils sont mis en uvre
uniquement dans des environnements BRI.
Ces identifiants permettent dassocier un terminal particulier un profil de service spcifique. Ils
sont valids par le commutateur RNIS local lors dun change avec le routeur. Un identifiant SPID
valide est acquitt par un identifiant de point terminal (endpoint ID). Si le SPID est rejet par le
commutateur, il renvoie un message de contenu dlment dinformation invalide (Invalid IE
Contents). Cette ngociation peut tre visualise au moyen de la commande debug isdn q931. Dans
le rsultat suivant, vous pouvez voir que le routeur envoie au commutateur deux identifiants SPID,
lun aprs lautre. Les deux sont acquitts par le commutateur, ce qui est signifi par lenvoi dun
identifiant de point terminal pour chaque SPID transmis. Ces SPID sont cods au format Ascii,
cest--dire que 36 signifie 3, 31 signifie 1, etc. Dans certains cas, vous devez configurer le numro
LDN aprs les SPID. Ce numro est configur afin de pouvoir recevoir des appels entrants sur le
second canal B.
Router # debug isdn q931
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x363133373835323631323030
RX <- INFORMATION pd = 8 callref = (null)
ENDPOINT IDent i = 0xF180
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x363133373835323631333030
RX <- INFORMATION pd = 8 callref = (null)
ENDPOINT IDent i = 0xF080
Dans le rsultat suivant, vous pouvez voir que le SPID envoy au commutateur est rejet au moyen
dun message de contenu dlment dinformation invalide ("Invalid IE contents"). En effet, le
SPID est invalide. Dans ce cas, il faut dterminer si le routeur et le commutateur sont configur avec
le SPID correct :
TX -> INFORMATION pd = 8 callref = (null)
SPID Information i = 0x31323334353536373736
RX <- INFORMATION pd = 8 callref = (null)
Cause i = 0x82E43AInvalid IE contents
A ce stade, la commande sh isdn status renseignera sur ltat des SPID. Dans la sortie suivante,
les deux SPID sont rejets, car ils sont invalides :
Router # show isdn status
Layer 1 Status:
ACTIVE
Layer 2 Status:
TEI = 88, State = MULTIPLE_FRAME_ESTABLISHED
Spid Status:
TEI 88, ces = 1, state = 6(not initialized)
spid1 configured, no LDN, spid1 sent, spid1 NOT valid
TEI Not Assigned, ces = 2, state = 1(terminal down)
spid2 configured, no LDN, spid2 NOT sent, spid2 NOT valid
Chapitre 11 Conception de rseaux RNIS 381
Layer 3 Status:
0 Active Layer 3 Call(s)
Activated dsl 1 CCBs = 0
Messages RELEASE_COMP
Une fois que le commutateur a valid les SPID, lappel peut tre tabli. Il existe plusieurs raisons
pour lesquelles un appel peut tre refus. Si lautre extrmit est configure pour le filtrage dappel
et nautorise par consquent que certains numros dont vous ne faites pas partie , lappel peut
chouer. Il est possible galement que le rseau soit dfaillant. Le rsultat suivant, produit par la
commande debug isdn q931, montre que la connexion RNIS na pas t tablie. Lenvoi dun
message SETUP rsulte en un message RELEASE_COMP en retour, qui contient un identifiant de
cause relatif au rejet de lappel. On peut voir quil sagit ici dun problme de niveau Q.931. Il est
important de faire la diffrence entre une connexion qui na jamais tablie (problme Q.931) et une
connexion qui la t pendant quelques secondes avant dtre interrompue (Q.931 fonctionne
normalement, mais non PPP) :
Router # debug isdn q931
TX -> SETUP pd = 8 callref = 0x01
Bearer Capability i = 0x8890
Channel ID i = 0x83
Called Party Number i = 0x80, 4839625
RX <- RELEASE_COMP pd = 8 callref = 0x81
Cause i = 0x8295 - Call rejected
Lidentifiant de cause relatif au rejet dappel est une valeur hexadcimale. Pour dterminer la cause
dune dfaillance, dcodez-la, puis consultez votre fournisseur. Si lappel stablit puis sinterrompt
aprs quelques secondes, Q.931 fonctionne normalement, mais non PPP. Ce protocole sexcute sur
le canal B de RNIS et est transparent pour loprateur. Il se fonde sur le RFC 1548, entre autres. Les
trois principaux composants de PPP sont lencapsulation multiprotocole, LCP et les protocoles
NCP. LCP est utilis afin dtablir et de maintenir la liaison de donnes, ainsi que pour assurer la
ngociation doptions (telle lutilisation de CHAP). Les protocoles NCP sont employs afin
dtablir et de configurer les protocoles de niveau 3, dont la ngociation doptions spcifiques aux
protocoles (adresses) ainsi que diffrents protocoles de niveau 3 (IPCP, IPXCP, ATCP, etc.). Lors de
la ngociation PPP, les options LCP sont ngocies en premier et suivies des options NCP.
LCP
Lors de la ngociation LCP, une requte de configuration (CONFREQ) propose plusieurs options.
Lorsque ces dernires sont toutes acceptables, la station distante retourne un acquittement de confi-
guration (CONFACK). Toutes les ngociations PPP sont bidirectionnelles. Vous pouvez observer ce
processus en excutant des commandes debug sur certains routeurs Cisco. Le rsultat de la
commande debug suivante montre une requte CONFREQ entrante (I, incoming) et un message
CONFACK sortant (O, outgoing) :
Router # debug ppp packet
PPP BRI: B-Channel 1: I LCP CONFREQ(1) id 2 (4)
PPP BRI: B-Channel 1: O LCP CONFACK(2) id 2 (4)
Le rsultat de la commande debug suivante montre la ngociation pour le type dauthentification
PAP (value = C023) et le nombre magique (MAGICNUMBER) qui vite la formation de boucle sur
la connexion.
382 Partie I Architecture de rseaux
Sil sagissait dune authentification CHAP, vous verriez la valeur hexadcimale C223 :
Router # debug ppp negotiation
ppp: sending CONFREQ, type = 3 (CI_AUTHTYPE), value = C023/0
ppp: sending CONFREQ, type = 5 (CI_MAGICNUMBER), value = 8C01B4
ppp: config ACK received, type = 3 (CI_AUTHTYPE), value = C023
ppp: config ACK received, type = 5 (CI_MAGICNUMBER), value = 8C01B4
La commande show interface bri 0 1 indique si ltat de LCP est ouvert (OPEN) ou ferm
(CLOSED). Si les options sont ngocies, ltat devrait tre ouvert. Le rsultat suivant indique un
tat LCP ouvert, mais les options NCP nont pas encore t ngocies :
Router # show interface bri 0 1
BRI0: B-Channel 1 is up, line protocol is up
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
lcp state = OPEN
ncp ipcp state = REQSENT ncp osicp state = NOT NEGOTIATED
ncp ipxcp state = NOT NEGOTIATED ncp xnscp state = NOT NEGOTIATED
ncp vinescp state = NOT NEGOTIATED ncp deccp state = NOT NEGOTIATED
ncp bridgecp state = NOT NEGOTIATED ncp atalkcp state = NOT NEGOTIATED
Last input 0:00:00, output 0:00:00, output hang never
Last clearing of "show interface" counters never
Output queue 0/40, 0 drops; input queue 0/75, 0 drops
Five minute input rate 0 bits/sec, 0 packets/sec
Five minute output rate 0 bits/sec, 1 packets/sec
9099 packets input, 855915 bytes, 0 no buffer
Si ltat LCP est ferm, les options PPP ne correspondent pas sur les deux quipements ( moins
quil ne sagisse dune liaison 56 Kbit/s). La majorit des connexions longue distance en Amri-
que du Nord, ainsi que les connexion internationales avec cette partie du monde, sont limites
56 Kbit/s. Pour ces connexions, il arrive parfois que le bit de poids de plus fort des donnes
envoyes soit remplac par les informations de signalisation, ce qui modifie les donnes ou gnre
des erreurs CRC visibles pour lquipement situ lautre extrmit. Dans ce cas, utilisez la spci-
fication V.110 56 Kbit/s. Avec cette spcification, sur les huit positions binaires pour chaque canal B,
seuls sept bits sont utiliss pour le transfert des donnes, le huitime contenant des donnes quel-
conques, de faon viter une altration de la charge utile.
Dans plusieurs situations, les connexions intercommutateurs peuvent ramener la vitesse 56 Kbit/s.
Il existe plusieurs capacits de canal porteur (bearer capability) qui spcifient si lappel est tabli
56 Kbit/s et sil exploite ladaptation de dbit de la spcification V.110. Si le protocole de signalisa-
tion international sur le rseau RNIS est adapt RNIS, cette indication de 56 Kbit/s sera transmise
jusqu labonn distant, qui traitera lappel cette vitesse. Parfois, sur les liaisons internationales,
cette indication est limine, car loprateur met en uvre une ancienne version de SS7. Dans ce
cas, la partie rceptrice pense que lappel seffectue 64 Kbit/s. Linstruction dialer map sur un
routeur Cisco permet de spcifier la vitesse de lappel sortant, la valeur par dfaut tant de 64 Kbit/s.
Le rsultat de la commande debug isdn q931 fait parfois apparatre un message qui indique que
lappel nest pas un appel RNIS de bout en bout ("Call not end-to-end RNIS"). Si vous obtenez ce
message, vous pouvez configurer isdn not-en-to-end 56 sur le routeur, afin quil traite lappel
une vitesse de 56 Kbit/s :
Router # debug isdn q931
TX -> SETUP pd = 8 callref = 0x02
Bearer Capability i = 0x8890
Channel ID i = 0x83
Chapitre 11 Conception de rseaux RNIS 383
Protocoles NCP
Il faut ensuite se concentrer sur les problmes lis aux protocoles NCP, qui ngocient et vrifient les
paramtres de niveau rseau. Un protocole NCP diffrent est associ chaque protocole de rseau
(IPCP pour IP, IPXCP pour IPX, etc.). Une requte de configuration NCP est envoye un proto-
cole NCP, lautre extrmit de la connexion. Si cette dernire supporte le protocole NCP, elle
acquitte la requte au moyen dun message dacquittement. Sinon, elle renvoie un message de
configuration NCP non acquitte ("NCP configure-not-acknowledge"). Les deux parties changent
ces messages afin de saccorder sur les NCP supports par chacune. Le rsultat de la commande
debug suivante illustre la ngociation du protocole IPCP :
Router # debug ppp negotiation
BRI0: B-Channel 1: O IPCP CONFREQ id D (10) Type3 (6) 147 211 117 40
BRI0: B-Channel 1: I IPCP CONFREQ id C (10) Type3 (6) 147 211 117 1
BRI0: B-Channel 1: O IPCP CONFACK id C (10) Type3 (6) 147 211 117 1
BRI0: B-Channel 1: I IPCP CONFACK id D (10) Type3 (6) 147 211 117 40
La commande show interface bri 0 1 permet de connatre ltat du protocole NCP. Le rsultat
suivant indique que ltat de IPCP est ouvert. OSICP et XNSCP ne sont pas ngocis, car aucune
tentative na t entreprise. IPXCP se trouve dans un tat de requte, cest--dire quune ngocia-
tion a t initie sans succs, probablement parce que le numro de rseau IPX de linterface RNIS
distante na pas t configur.
Router # show interface bri 0 1
BRI0: B-Channel 1 is up, line protocol is up
Hardware is BRI
MTU 1500 bytes, BW 64 Kbit, DLY 20000 usec, rely 255/255, load 1/255
Encapsulation PPP, loopback not set, keepalive set (10 sec)
lcp state = OPEN
ncp ipcp state = OPEN
ncp osicp state = NOT NEGOTIATED
ncp ipxcp state = REQSENT
ncp xnscp state = NOT NEGOTIATED
A prsent que les trois couches sont actives et fonctionnent normalement, vous devriez pouvoir excu-
ter un ping de ladresse IP distante de linterface RNIS. A ce stade, vous pouvez vous proccuper des
problmes de routage. Si vous ne parvenez pas raliser un ping dune adresse IP situe au-del de
linterface RNIS distante, le problme ne relve pas de la connectivit RNIS. Vrifiez que le trafic
intressant ainsi que le filtrage dappel ont t dfinis correctement. Nattendez pas de recevoir votre
premire facture RNIS ! Utilisez les commandes IOS show dialer, debug dialer, et show isdn
history afin de surveiller le trafic intressant.
Rsum
La disponibilit croissante ainsi que la baisse des cots font de RNIS une solution de choix pour de
nombreuses applications de rseau. Les fonctions de Cisco IOS permettent llaboration de solu-
tions RNIS tendues et souples. Le routage DDR est utilis pour initier et terminer les connexions.
Les profils virtuels peuvent tre utiliss pour faciliter lvolution en masse des solutions de rseau
RNIS par commutation de circuits. Certaines prcautions doivent toutefois tre prises afin de garan-
tir la matrise des cots.
12
Conception de rseaux
LAN commuts
Ce chapitre dcrit les trois technologies qui peuvent tre utilises par les concepteurs de rseaux
dans la conception de rseaux LAN commuts :
m commutation LAN (Ethernet, Fast Ethernet et Gigabit Ethernet) ;
m rseaux LAN virtuels (VLAN) ;
m commutation ATM (LANE, MPOA).
Les aspects pratiques de la conception de rseaux de campus volutifs seront galement abords.
des canaux, cest--dire que la capacit totale de transport devait tre suprieure lensemble des
besoins des stations, en matire de communication. Lincroyable monte en puissance de lordina-
teur de bureau, ds la fin des annes 80, a rendu obsolte un dbit de 10 Mbit/s qui risquait de
provoquer un goulet dtranglement au niveau des transmissions. De plus, le nombre toujours crois-
sant des quipements par segment a contribu la gnralisation de lutilisation de la bande
passante. Afin damliorer les performances de lutilisateur, les administrateurs de rseaux
commencrent segmenter les LAN partags au moyen de ponts. Les ponts de rseaux locaux ont
t disponibles partir de 1984, mais leur capacit interne de pontage demeurait un frein, et il tait
rare quils puissent exploiter la capacit totale du cblage sous-jacent. Avec les progrs accomplis
dans le domaine des semi-conducteurs, courant 1990, on a assist lmergence de circuits intgrs
conus sur mesure afin dintgrer des fonctions spcifiques certaines applications (ASIC, Applica-
tion-Specific Integrated Circuits), ce qui a permis la fabrication de ponts LAN multiports capables
de transmettre les trames la vitesse du cble. Ces ponts ont t lancs sur le march en tant que
commutateurs. Les concepteurs de rseaux se sont ensuite empresss de remplacer, dans les armoi-
res de cblage, les hubs existants par ces commutateurs (voir Figure 12.1).
Commutateur Concentrateur
ATM de campus CDDI/FDDI
Routeur
Routeur Routeur Cisco
Routeur Cisco
Epine dorsale
traditionnelle Nouvelle pine dorsale
Hub partag
Cette stratgie a permis aux administrateurs de rseau de sauvegarder les investissements existants
en matire de cblage, et daccrotre ainsi les performances de leur rseau, grce une bande
passante ddie pour chaque utilisateur. Lvolution des armoires de cblage concide avec une
volution analogue, au niveau de lpine dorsale du rseau. Aujourdhui, le rle de Fast Ethernet,
dATM (Asynchronous Transfer Mode) et, plus rcemment, de Gigabit Ethernet, est en augmenta-
tion constante. Plusieurs protocoles ont t standardiss, tels que LANE (LAN Emulation), 802.1q/p,
ainsi que 802.3z et 802.3ab (1000BaseTX). Les concepteurs de rseaux concentrent leurs rseaux
fdrateurs de routeurs au moyen de commutateurs multicouches hautement performants, de
routeurs de commutation et de commutateurs ATM, afin de fournir la bande passante supplmen-
taire requise par les services de donnes fort dbit.
Chapitre 12 Conception de rseaux LAN commuts 387
NOTE
Les rseaux LAN commuts sont frquemment appels rseaux LAN de campus.
388 Partie I Architecture de rseaux
m Les commutateurs fournissent une bande passante ddie aux utilisateurs, au moyen de techno-
logies commutes et de groupes commuts haute densit Ethernet 10-100 Mbit/s sur fibre ou
cuivre, Fast EtherChannel, Gigabit Ethernet, Gigabit EtherChannel et LANE ATM, ou MPOA
(Multiprotocol over ATM).
Commutateurs ATM
La famille de commutateurs ATM multiservices dentreprise de Cisco Systems inclut des commuta-
teurs ATM de moyenne gamme pour les groupes de travail et les pines dorsales de campus, les
rseaux MAN, et les pines dorsales dautres fournisseurs de services. Les performances de cette
srie de commutateurs stendent entre 5 et 40 Gbit/s. Ils fournissent des services optimiss pour
les applications bases sur la commutation de cellules et de paquets, ce qui inclut le support de
toutes les classes de trafic ATM, jusquaux fonctionnalits de commutation OC-48. A mesure que
cette famille sagrandit, les nouveaux produits membres peuvent tirer parti de lensemble des
modules existants, savoir les modules CAM (Carrier Adapter Modules) et PAM (Port Adapter
Modules), des logiciels de commutation, ou encore utiliser des modules CAM et PAM spcialement
conus pour ces produits. Cette compatibilit en aval protge les investissements existants en qui-
pement et logiciels, tout en facilitant lvolution du rseau.
Pour les rseaux de campus, cette famille de produits inclut actuellement les commutateurs suivants :
m LightStream 1010 (LS1010). Commutateur ATM non bloquant, totalement modulaire 5 Gbit/s,
qui supporte une grande varit dinterfaces allant des vitesses T1/E1 jusqu OC-12c, 622 Mbit/s.
m Catalyst 8510 (Cat8510). Commutateur L2/L3/ATM non bloquant, modulaire 10 Gbit/s, qui
atteint actuellement une vitesse OC-12c, ce qui assure un routage adapt au cble. Il supporte
Fast Ethernet et Gigabit Ethernet.
m Catalyst 8540 (Cat8540). Commutateur L2/L3/ATM, modulaire 40 Gbit/s, qui atteint actuel-
lement une vitesse OC-12. Il supporte Fast Ethernet et Gigabit Ethernet, avec une redondance
optionnelle du circuit de commutation et du processeur.
De la mme manire quil existe des routeurs et des commutateurs LAN qui prsentent des diff-
rences en termes de prix, de performances et de fonctionnalits, les commutateurs ATM peuvent
tre rpartis dans les quatre catgories distinctes suivantes, qui refltent les besoins dapplications et
de marchs spcifiques :
m commutateurs ATM de groupe de travail ;
m commutateurs ATM de campus ;
Chapitre 12 Conception de rseaux LAN commuts 391
Commutateurs LAN
Un commutateur LAN est un quipement gnralement dot de nombreux ports qui permettent de
connecter des segments LAN (habituellement Ethernet 10-100 Mbit/s), ainsi que de plusieurs ports
haute vitesse (tels Fast Ethernet 100 Mbit/s, ATM OC-12/48 ou Gigabit Ethernet). Ces ports ultra-
rapides peuvent leur tour relier le commutateur LAN dautres quipements du rseau. Il existe
trois catgories principales de commutateurs LAN :
m Commutateur darmoire de cblage. Equipement qui assure un accs pour les htes la fron-
tire du rseau (par exemple, les sries Catalyst 2900XL, Catalyst 4000, voire Catalyst 5x00).
392 Partie I Architecture de rseaux
Multiplexeur de services
StrataCom
LightStream
1010
ATM d'entreprise
Routeurs
Routeurs Cisco
WAN
StrataCom
Lorsquun commutateur LAN dmarre initialement, et mesure que les diffrents quipements qui
lui sont connects demandent des services dautres quipements, il construit une table qui associe
ladresse MAC source de chaque quipement local au numro de port sur lequel il sest signal.
Ainsi, pour reprendre lexemple de la Figure 12.2, lorsque lhte A situ sur le port 1 a besoin de
communiquer avec lhte B situ sur le port 2, le commutateur transmet directement les trames du
port 1 vers le port 2, ce qui pargne aux autres htes situs sur le port 3 de rpondre aux trames qui
ne leur sont pas destines. Si lhte C a besoin denvoyer des donnes vers lhte D, alors que lhte
A envoie des donnes vers lhte B, cela reste possible, car le commutateur LAN peut transmettre
des trames du port 3 vers le port 4 en mme temps quil transmet les trames du port 1 vers le port 2.
Chapitre 12 Conception de rseaux LAN commuts 393
Chaque fois quun quipement connect au commutateur LAN envoie un paquet vers une adresse
qui ne se trouve pas dans la table dadressage du commutateur, ou un paquet broadcast ou multicast,
le commutateur envoie le paquet sur tous ses ports, lexception de celui sur lequel il est arriv.
Cette technique est appele inondation (flooding). Plusieurs techniques existent qui permettent de
restreindre linondation du trafic multicast certains ports seulement, tels que le protocole CGMP
(Cisco Group Management Protocol) et la surveillance IGMP (Internet Group Management Protocol)
pour les commutateurs qui supportent des fonctions de commutation de niveau 3. Ces protocoles
agissent sur les paquets multicast uniquement, non sur les paquets broadcast. Une autre fonctionna-
lit, appele suppression broadcast, peut permettre de limiter les effets ngatifs des temptes de
broadcast.
Etant donn que les commutateurs LAN fonctionnent comme des ponts transparents traditionnels,
ils liminent les limites de groupes de travail ou de dpartements dj dfinis. Un rseau construit et
conu uniquement avec des commutateurs LAN prsente une topologie de rseau linaire, qui ne
comporte quun seul domaine de broadcast. Par consquent, un tel rseau est susceptible de rencon-
trer les problmes propres aux rseaux linaires (ou ponts), cest--dire quils sont peu volutifs.
Notez cependant que les commutateurs LAN qui supportent des rseaux VLAN sont plus volutifs
que les ponts traditionnels. Le problme dvolutivit dpend principalement dun protocole trs
utile, rencontr sur la plupart des rseaux de niveau 2 redondants, savoir le protocole darbre
recouvrant (Spanning Tree IEEE 802.1d).
Plates-formes de routage
Outre les commutateurs LAN et ATM, les concepteurs emploient galement des routeurs en tant
que composants essentiels dune infrastructure de rseau commut. Alors que les commutateurs
LAN sont ajouts dans les armoires de cblage afin daugmenter la bande passante et de rduire les
niveaux de congestion sur les hubs de mdias partags existants, les technologies dartre, telles
que Gigabit Ethernet ou la commutation ATM, sont dployes sur les pines dorsales. Sur un rseau
commut, les plates-formes de routage permettent linterconnexion de technologies LAN et WAN
disparates, tout en implmentant galement des filtres de broadcast et des systmes de pare-feu
logiques. De manire gnrale, si vous avez besoin de services de rseau avancs, tels que la protec-
tion par pare-feu contre les diffusions broadcast ou la communication entre des rseaux LAN
dissemblables, les routeurs sont ncessaires. De plus, les routeurs de commutation jouent un rle
important sur les rseaux de campus actuels. Ils limitent ltendue des VLAN et, plus particuli-
rement, ltendue des domaines arbre recouvrant. Avec la cration de fermes de serveurs
centralises, les modles de trafic requirent maintenant lutilisation de routeurs de commutation,
qui oprent la vitesse du cble. Plusieurs techniques sont disponibles pour rpondre cette
394 Partie I Architecture de rseaux
demande, tels MLS (Multilayer LAN Switching), CEF (Cisco Express Forwarding) et MPOA
(Multiprotocol over ATM). Les routeurs (ou routeurs de commutation, ou encore commutateurs
multicouches) sont aujourdhui essentiels pour assurer lvolutivit des rseaux de campus. Les
rseaux linaires implments au moyen de VLAN de campus disparaissent avec laffirmation de
cette tendance.
Rseaux VLAN
Un VLAN se compose gnralement de plusieurs systmes terminaux, des htes ou des quipe-
ments de rseau (tels que des commutateurs et des routeurs), qui sont tous membres dun seul
domaine logique de broadcast. Un VLAN nest pas soumis des contraintes de proximit physique
pour le domaine de broadcast. Ce type de rseau est support sur divers quipements (par exemple
des commutateurs LAN) capables de grer des protocoles de tronons VLAN entre eux. Chaque
VLAN gre un arbre recouvrant distinct au moyen du protocole Spanning Tree (IEEE 802.1d), ce
qui autorise diverses topologies logiques sur un seul rseau physique (cest--dire, lquilibrage de
charge VLAN sur des tronons de mme cot, etc.). Il est frquent dimplmenter des VLAN
fonds sur un sous-rseau de protocole de niveau 3.
La premire gnration de VLAN sappuie sur divers mcanismes de multiplexage, au niveau de la
couche 2 du modle OSI tels que IEEE 802.10 pour les interfaces FDDI, LANE (LAN Emula-
tion) sur les liaisons ATM, ISL (Inter-Switch Link, liaison intercommutateur), ou IEEE 802.1q sur
Ethernet , qui permettent la formation de groupes broadcast multiples, disjoints, et superposs sur
Chapitre 12 Conception de rseaux LAN commuts 395
une seule infrastructure de rseau. Cela signifie quil est possible de supporter de nombreux VLAN
sur une mme interface physique, galement appele tronon (trunk). La Figure 12.3 illustre un
exemple de rseau LAN commut, qui utilise des VLAN de campus (un concept qui a commenc
merger en 1996). La couche 2 du modle de rfrence OSI assure la transmission fiable de
donnes travers un lien physique. Elle est lie ladressage physique, la topologie du rseau, la
gestion de laccs au mdia, la notification derreur, la livraison ordonne des trames et au
contrle de flux. LIEEE a divis cette couche en deux sous-couches, MAC et LLC, cette dernire
tant parfois simplement appele couche de liaison.
Ethernet Port 1
Ethernet Port 2 Port grande vitesse
Ethernet
Ethernet Port 3
Port 4
Port n
Hte C
Hte D
A la Figure 12.3, un rseau Ethernet 10-100 Mbit/s connecte les htes de chaque tage aux
commutateurs A, B, C et D. Un rseau Fast Ethernet, ou Gigabit Ethernet, 100 Mbit/s connecte
ces commutateurs au commutateur E. Le VLAN 10 se compose des htes situs sur les ports 6 et 8
du commutateur A, et sur le port 2 du commutateur B. Le VLAN 20 se compose des htes qui se
trouvent sur le port 1 du commutateur A, et sur les ports 1 et 3 du commutateur B.
Les VLAN peuvent servir regrouper des utilisateurs qui prsentent une caractristique commune,
indpendamment de leur connectivit physique. Ils peuvent tre rpartis sur un environnement de
campus, ou mme disperss gographiquement.
ressources CPU, par exemple), le rseau peut connatre des dfaillances. Voici les caractristiques
dun domaine de broadcast STP :
m Les liens redondants sont placs dans un tat bloquant, et ne transportent aucun trafic.
m Des chemins non optimaux existent entre diffrents points.
m La convergence du protocole STP requiert en gnral 50 secondes (2 Forward Delay + Max Age
= (2 15) + 20 = 50 ; Forward Delay et Max Age sont deux temporisateurs utiliss par STP). Bien
que les valeurs IEEE minimales autorisent une convergence aussi rapide que 14 secondes [(2 4)
+ 6], il est tout fait dconseill dappliquer ces valeurs sur la plupart des rseaux.
m Le trafic broadcast au sein du domaine de couche 2 dconnecte tous les htes.
m Les temptes de broadcast ou dunicast au sein du domaine de couche 2 affectent le domaine
dans son intgralit. Un problme local peut rapidement devenir gnral.
m Lidentification des problmes est une tche laborieuse et longue.
m La scurit de rseau assure au niveau 2 du modle OSI est limite.
A laide dun routeur, les htes dun VLAN peuvent communiquer avec ceux dun autre VLAN.
Compars STP, les protocoles de routage prsentent les caractristiques suivantes :
m quilibrage de charge sur de nombreux chemins cot identique (jusqu six chemins sur certai-
nes plates-formes Cisco) ;
m chemins cot optimal ou rduit entre les rseaux ;
m convergence plus rapide quavec STP, avec des protocoles intelligents (EIGRP, IS-IS et OSPF) ;
m informations daccessibilit rsumes (et donc volutives) ;
m identification des problmes de niveau 3 plus aise.
Couche
d'accs
Hub Hub Hub Hub Hub Hub Hub Hub Hub
Couche de
distribution
FDDI double
Couche Epine dorsale FDDI
anneau
centrale double hbergement
Serveurs
d'entreprise
Le modle avec hubs et routeurs est volutif, grce aux fonctionnalits de protocoles de routage
intelligent, tels OSPF et EIGRP. La couche de distribution reprsente la ligne de dmarcation entre
la couche daccs et la couche centrale.
Les routeurs de la couche de distribution assurent la segmentation, ainsi que la terminaison de
domaines de collision et de domaines de broadcast. Le modle est cohrent et dterministe, ce qui
simplifie les tches de dpannage et dadministration. Il sadapte efficacement tous les protocoles
de rseau, tels que Novell IPX, AppleTalk, DECnet et TCP/IP.
Ce modle est simple configurer et maintenir, en raison de sa modularit. Les routeurs de la couche
de distribution sont tous configurs avec les mmes fonctionnalits, et les lments de configuration
398 Partie I Architecture de rseaux
courants peuvent simplement tre copis. Le comportement des routeurs est donc prvisible, ce qui
facilite lidentification des problmes.
La charge de la commutation de paquets de niveau 3 et des services intermdiaires est rpartie entre
tous les routeurs.
La puissance de traitement dun rseau fond sur ce modle peut voluer, au fur et mesure
quaugmentent les exigences en matire de performances. Le mdia partag au niveau de la couche
daccs et de la couche centrale peut voluer vers la commutation de niveau 2, et la couche de
distribution peut voluer vers la commutation de niveau 3, au moyen de commutateurs multicou-
ches. La monte en puissance du mdia partag (niveau 1) naffecte pas la structure dadressage du
rseau, la conception logique ou la configuration des routeurs.
Couche de
distribution
X Couche
centrale
Les connexions de VLAN au routeur X pourraient tre remplaces par un seul tronon ISL. Dans
les deux cas, le routeur X est dsign par le terme routeur manchot (one-armed router), du fait quil
reoit et transmet tout le trafic sur le mme port. Davantage de routeurs pourraient tre employs
pour rpartir la charge, auquel cas chacun deux serait reli plusieurs, voire tous les VLAN. Le
Chapitre 12 Conception de rseaux LAN commuts 399
trafic entre les groupes de travail doit traverser le rseau partir du VLAN source, vers un port du
routeur passerelle, afin dtre redirig vers le VLAN de destination.
La Figure 12.6 illustre une variante du modle de VLAN de campus qui tire parti de la commutation
multicouche. Le commutateur X fait partie de la srie de commutateurs multicouches Cata-
lyst 5000. Le routeur manchot est remplac par un module RSM (Route Switch Module) et par la
fonction de commutation matrielle de niveau 3 de la carte NetFlow Feature Card (NFFC). Les
serveurs dentreprise situs dans la ferme de serveurs pourraient tre rattachs au moyen de Fast
Ethernet (FE) 100 Mbit/s, ou Fast EtherChannel (FEC), afin dobtenir une bande passante duplex
(FDX, Full DupleX) qui atteigne les 200 Mbit/s ou 400 Mbit/s.
Couche de
distribution
X
Distribution Commutateur
de serveurs multicouche Si
Catalyst 5000
Serveurs Serveur
d'entreprise d'entreprise
relis via FE reli via FEC
Le modle de VLAN de campus est trs dpendant de la rgle des 80/20. Lorsque 80 % du trafic
demeurent dans les limites dun groupe de travail, 80 % des paquets sont commuts au niveau 2,
entre le client et le serveur. Toutefois, si 90 % du trafic sont transmis aux serveurs dentreprise dans
la ferme de serveurs, 90 % des paquets sont commuts par le routeur manchot. Ladaptabilit des
performances du modle VLAN est limite par les caractristiques du protocole STP. Chaque
VLAN quivaut un rseau pont linaire.
La souplesse de ce modle autorise le dplacement de stations terminales configures de faon stati-
que vers un autre tage ou immeuble au sein du mme campus, grce au serveur VMPS (VLAN
Membership Policy Server) de Cisco et au protocole VTP (VLAN Trunking Protocol). Par exemple,
400 Partie I Architecture de rseaux
un utilisateur mobile peut connecter un PC portatif un port LAN situ dans un autre immeuble. Le
commutateur local envoie une requte au serveur VMPS, afin de connatre les rgles daccs pour
lutilisateur, et de savoir quel VLAN il appartient, puis ajoute le port de lutilisateur au VLAN
appropri.
Serveur
X
d'entreprise
MPC
Serveur MPS multiprotocole
route le premier paquet Commutateur
du flot unicast IP d'accs
MPC
Serveur
d'entreprise
Serveurs d'entreprise reli via FEC
MPOA ajoute les lments matriels et logiciels MPC (MultiProtocol Client, client multiprotocole)
sur les commutateurs daccs, ainsi que sur le serveur multiprotocole (MPS, MultiProtocol Server)
qui est implment au niveau logiciel sur le routeur X. Lorsque le client du VLAN B communique
avec un serveur dentreprise situ dans la ferme de serveurs, le premier paquet est transmis par le
client MPC sur le commutateur daccs au serveur MPS, au moyen de LANE. Le serveur fait suivre
le paquet vers le client MPC de destination, toujours en utilisant LANE, puis demande aux deux
MPC dtablir une connexion SVC (Switched Virtual Circuit, circuit virtuel commut) directe entre
le sous-rseau A et le sous-rseau de la ferme de serveurs.
Chapitre 12 Conception de rseaux LAN commuts 401
Avec MPOA, les paquets unicast IP empruntent le circuit virtuel commut, tel que spcifi. En
revanche, les paquets multicast sont envoys au BUS, afin dinonder le rseau ELAN dorigine.
Ensuite, le routeur X reproduit le trafic multicast vers le BUS de chaque ELAN ayant besoin de le
recevoir, tel que dfini par le routage multicast. Puis, les BUS en question inondent chaque ELAN
de destination avec le paquet.
Les paquets de protocoles autres que IP suivent toujours une logique ditinraire LANE-routeur-
LANE, sans tablir de circuit virtuel commut. La conception de MPOA doit tenir compte de la
quantit de trafic broadcast, multicast, et non IP, en rapport avec les performances du routeur.
Limplmentation de MPOA devrait tre envisage sur les rseaux qui transportent principalement
un trafic unicast IP, ainsi que sur les tronons ATM relis au commutateur darmoire de cblage.
Modle multicouche
Pour concevoir des rseaux de campus efficaces et volutifs, il faut se reprsenter le rseau comme
tant un grand puzzle modulaire, dans lequel de nouvelles pices peuvent facilement tre ajoutes
(une pice peut tre un nouvel immeuble, un nouveau groupe dutilisateurs ou une ferme de
serveurs, par exemple). Lobjectif du modle multicouche est dintroduire les diffrentes couches
dans cette reprsentation modulaire.
Une alternative est la srie 6000, plus puissante, ainsi que son module de commutation multicouche
MSM (Multilayer Switching Module), qui se fonde sur le module SRP (Switch Route Processor) du
Catalyst 8510, avec des performances qui atteignent les 6 millions de paquets par seconde pour IP
et IPX. Pour encore plus de puissance, la carte MSFC (Multiprotocol Switching Feature Card), de la
famille de Catalyst 6000, peut tre utilise afin dobtenir des performances qui atteignent les
15 millions de paquets par seconde pour IP et IPX.
La Figure 12.8 illustre une conception de rseau de campus multicouche simple. Le rseau consiste
en trois immeubles, A, B et C, relis au moyen dune pine dorsale (couche centrale). La couche de
distribution est forme de commutateurs multicouches de la famille Catalyst 5000 ou 6000. Le
modle multicouche tire parti des performances et des fonctionnalits de commutation de niveau 2
offertes par cette srie de commutateurs. Il permet galement de prserver la conception ainsi que
ladressage logique du rseau existant, comme dans le modle traditionnel avec hubs et routeurs.
Les sous-rseaux de la couche daccs se terminent au niveau de la couche de distribution, de mme
que les sous-rseaux dpine dorsale. Par consquent, le modle multicouche ne consiste pas en des
rseaux VLAN de campus, mais tire parti des tronons VLAN, comme mentionn prcdemment.
Serveur
Si Si Si d'immeuble
Couche de
distribution reli via ISL
Commutateur
multicouche
Catalyst 5000
Couche Commutateur
centrale de niveau 2
Catalyst 5000
Serveur
d'entreprise
reli via FEC
LAM est utile sur les intranets de campus qui nont pas dploy de services DHCP ; elle autorise
des stations de travail configures avec des passerelles et des adresses IP statiques tre dplaces
sur tout le rseau. LAM fonctionne en propageant ladresse des htes mobiles (route dhte ou
32 bits) vers la table de routage de niveau 3.
Il existe en fait des centaines de fonctionnalits Cisco IOS intressantes qui permettent damliorer
la stabilit, lvolutivit et la gestion des rseaux dentreprise. Elles sappliquent tous les protoco-
les que lon peut rencontrer sur un rseau de campus, tels que DECnet, AppleTalk, IBM SNA,
Novell IPX, TCP/IP, etc. Un facteur commun ces fonctionnalits est quelles influent toutes sur
lensemble du rseau, cest--dire quelles sont globales. Elles sopposent en cela des caractristi-
ques telles que la densit de ports ou les performances de ports, qui concernent un seul quipement.
Ces caractristiques individuelles nont pas grand-chose voir avec la stabilit, lvolutivit et la
facilit de gestion des rseaux dentreprise.
Le principal atout du modle multicouche vient de sa nature hirarchique et modulaire. Il est hirar-
chique, car les couches sont clairement dfinies et spcialises. Il est modulaire, car tous les
lments dune mme couche excutent les mmes fonctions logiques. Le grand avantage dune
conception modulaire est quelle autorise le dploiement de diffrentes technologies, sans
rpercussion sur la structure logique du modle. Par exemple, Token Ring peut tre remplac par
Ethernet, FDDI par Fast Ethernet commut, des hubs par des commutateurs de niveau 2, Fast Ether-
net par LANE ATM, LANE ATM par Gigabit Ethernet, etc. Une telle modularit facilite la migra-
tion et lintgration avec les technologies existantes.
Un autre avantage important de la conception modulaire est que tous les quipements dune couche
sont programms de la mme manire et excutent les mme tches, ce qui facilite grandement la
configuration. Le dpannage en est galement simplifi, car la conception densemble est haute-
ment dterministe en termes de performances, de dtermination de chemin et de rtablissement la
suite de dfaillances.
Au niveau de la couche daccs, un sous-rseau correspond un VLAN. Un VLAN peut tre asso-
ci un ou plusieurs commutateurs de niveau 2. Inversement, un ou plusieurs VLAN peuvent tre
configurs au niveau dun seul commutateur de niveau 2. Si des commutateurs des sries Cata-
lyst 4000, 5000 ou 6000 sont utiliss sur cette couche, les tronons VLAN (ISL ou 802.1q) autori-
sent lassignation souple de rseaux et de sous-rseaux sur plusieurs commutateurs. Plus loin dans
ce chapitre, des exemples de configuration avec deux VLAN par commutateur illustrent lutilisation
de tronons VLAN, afin dimplmenter lquilibrage de charge et la rcupration rapide aprs
panne entre la couche de distribution et la couche daccs.
Dans sa forme la plus simple, la couche centrale est un seul rseau logique, ou VLAN. Les exemples
de ce chapitre prsentent cette couche comme tant une simple infrastructure commute de niveau 2,
exempte de boucles. Il est prfrable dviter les boucles darbre recouvrant au niveau de cette
couche. La section suivante se concentre sur lexploitation de lquilibrage de charge et de la conver-
gence rapide des protocoles de routage de niveau 3, tels que OSPF et EIGRP, pour grer la
dtermination de chemin et le rtablissement aprs panne, sur lpine dorsale. Par consquent, ces
fonctions sont gres au niveau de la couche de distribution du modle multicouche.
404 Partie I Architecture de rseaux
Conception de rseau
de campus multicouche Couche
d'accs
redondante.
Couche de Si Si Si Si Si Si
distribution
A B C D
Serveurs
d'immeuble
relis via ISL
Couche
centrale X Y
Serveur
d'entreprise
Serveurs reli via FEC
d'entreprise
La connectivit redondante des domaines nord, ouest et sud est assure par des commutateurs de la
couche de distribution. La redondance de lpine dorsale est mise en uvre avec linstallation de
deux commutateurs Catalyst, ou plus, au niveau de la couche centrale. Les liens redondants qui
partent de la couche de distribution vers la couche centrale assurent la reprise de fonction (failover),
ainsi que lquilibrage de charge sur plusieurs chemins, travers lpine dorsale.
Des liens redondants connectent donc chaque commutateur de la couche daccs un couple de
commutateurs Catalyst de la couche de distribution. Une reprise de fonction rapide au niveau 3 est
possible grce au protocole HSRP (Hot Standby Router Protocol) de Cisco. Les deux commutateurs de
couche de distribution dun domaine donn cooprent pour fournir des fonctions de routeur-passerelle
HSRP pour tous les htes IP de limmeuble. Au niveau 2, cest lalgorithme de convergence UplinkFast
de Cisco qui assure la reprise de fonction de la liaison principale vers la liaison de secours, et ce en trois
secondes environ.
Lquilibrage de charge travers la couche centrale est gre par des protocoles de routage intelli-
gent de niveau 3, implments par le systme Cisco IOS. Dans notre exemple, il existe quatre
chemins de mme cot entre tous les immeubles, pris deux par deux. Comme le montre la
Figure 12.9, les quatre chemins entre le domaine nord et le domaine ouest sont AXC, AXYD, BYD
Chapitre 12 Conception de rseaux LAN commuts 405
et BYXC. Ces chemins de niveau 2 sont considrs comme tant de cot gal par les protocoles de
routage de niveau 3. Notez que tous les chemins des domaines nord, ouest et sud vers lpine
dorsale comprennent un seul saut (hop). Le systme Cisco IOS supporte lquilibrage de charge sur
un maximum de six chemins de cot identique pour IP (ce que ne permet actuellement pas la srie
de routeurs de commutation Catalyst 8500, qui supporte seulement deux chemins de mme cot), et
sur davantage de chemins pour dautres protocoles.
La Figure 12.10 prsente le modle multicouche avec une ferme de serveurs dentreprise. Cette
ferme de serveurs est implmente en tant que bloc de conception modulaire, au moyen de la
commutation multicouche. Le tronon Gigabit Ethernet A transporte le trafic entre les serveurs. Le
tronon Fast EtherChannel B transporte le trafic de lpine dorsale. Tout le trafic interserveur est
maintenu lextrieur de lpine dorsale, ce qui prsente des avantages la fois en termes de scu-
rit et de performances. Les serveurs dentreprise bnficient dune redondance HSRP rapide entre
les commutateurs multicouches X et Y. La stratgie daccs la ferme de serveurs peut tre contrle
par des listes daccs configures sur ces commutateurs. Dans cette figure, les commutateurs de
niveau 2 de couche centrale V et W sont spars des commutateurs de distribution de serveurs, par
souci de clart. Normalement, sur un rseau de cette taille, V et W seraient regroups avec X et Y.
Modle multicouche,
avec une ferme Couche
d'accs
de serveurs.
Couche de Si Si Si Si Si Si
distribution
Serveurs
d'immeuble
relis via ISL
Couche
centrale V B W
Distribution X Y
de serveurs
Si A Si
Serveur Serveur
d'entreprise d'entreprise
reli via FEC reli via FEC
Le fait de regrouper des serveurs dans une ferme permet galement dviter les problmes lis la
redirection IP et de slectionner le meilleur routeur-passerelle, lorsque les serveurs sont directement
rattachs au sous-rseau dpine dorsale (voir Figure 12.9). En effet, HSRP ne serait pas utilis
pour les serveurs dentreprise illustrs dans cette figure. Ils emploieraient plutt Proxy ARP
406 Partie I Architecture de rseaux
(Address Resolution Protocol), IRDP (Internet Router Discovery Protocol), GDP (Gateway Discovery
Protocol) ou la surveillance RIP (Routing Information Protocol) afin de constituer leurs tables de
routage.
La Figure 12.11 illustre le fonctionnement de HSRP entre deux commutateurs de la couche de
distribution. Les systmes htes se connectent un port de commutateur de couche daccs. Les
sous-rseaux numros pairs sont associs aux VLAN numros pairs, et les sous-rseaux num-
ros impairs aux VLAN numros impairs. Le rle de routeur-passerelle HSRP principal est assur
par le commutateur X pour les sous-rseaux pairs, et par le commutateur Y pour les sous-rseaux
impairs. Le rle de routeur-passerelle HSRP de secours est assur par le commutateur Y pour les
sous-rseaux pairs, et par le commutateur X pour les sous-rseaux impairs. La convention suivie ici
est la suivante : chaque routeur-passerelle HSRP possde toujours une adresse dhte 100, cest--
dire que la passerelle HSRP pour le sous-rseau 15.0 est 15.100. Si la passerelle 15.100 nest plus
alimente ou est dconnecte, le commutateur X endosse ladresse 15.100, ainsi que ladresse MAC
HSRP, en deux secondes environ.
Figure 12.11 Hte A 10.1 Hte B 11.1 Hte C 15.1 Hte D 17.1
Sous-rseau pair 10.0 sous-rseau impair 11.0 sous-rseau impair 15.0 sous-rseau impair 17.0
Redondance Passerelle 10.100 Passerelle 11.100 Passerelle 15.100 Passerelle 17.100
avec HSRP.
Couche d'accs
Tronons ISL
Multiplexage VLAN
Fast Ethernet ou
Fast EtherChannel
X Y
HSRP principal HSRP principal
Sous-rseaux pairs Sous-rseaux impairs
VLAN pairs Si Si VLAN impairs
10, 12, 14, 16 11, 13, 15, 17
La Figure 12.12 illustre lquilibrage de charge entre la couche daccs et la couche de distribution,
au moyen du protocole de tronons VLAN ISL (ou IEEE 802.1q) de Cisco. Dans cet exemple, les
VLAN 10 et 11 sont associs au commutateur A de la couche daccs, et les VLAN 12 et 13 au
commutateur B. Chaque commutateur de couche daccs possde ainsi deux tronons vers la
couche de distribution. Le protocole darbre recouvrant STP place les liens redondants dans un tat
bloquant, tel quillustr. La rpartition de la charge est mise en uvre en dsignant un tronon
comme tant le chemin de transmission actif pour les VLAN pairs, et lautre tronon comme tant
un chemin de transmission actif pour les VLAN impairs.
Chapitre 12 Conception de rseaux LAN commuts 407
Sur le commutateur A, le tronon T10 est le chemin de transmission du VLAN 10, et le tronon T11
celui du VLAN 11. Le tronon B11 est le chemin bloquant du VLAN 11, et le tronon B10 celui du
VLAN 10. Pour accomplir cela, le commutateur X est configur comme racine des VLAN pairs, et
le commutateur Y comme racine des VLAN impairs.
La Figure 12.13 illustre la configuration de la Figure 12.12, aprs une dfaillance de liaison, signi-
fie par la grande croix. Lalgorithme UplinkFast fait en sorte que le tronon T10 du commutateur A
devienne le chemin de transmission actif du VLAN 11.
Z
Racine STP Racine STP
VLAN pairs Si Si VLAN impairs
10, 12, 14, 16 11, 13, 15, 17
408 Partie I Architecture de rseaux
Le trafic est commut sur le tronon Fast EtherChannel Z, si ncessaire. Le tronon Z est le chemin
de secours de niveau 2 de tous les VLAN du domaine, mais transporte galement le trafic en retour,
qui est rparti entre les commutateurs X et Y. Avec STP, la convergence se ferait en 40 50 secondes.
Avec UplinkFas, la reprise de fonction prend environ trois secondes.
Figure 12.14 A B C
Augmentation de optimale correcte acceptable
la bande passante VLANs VLANs VLANs
de tronons Ethernet. 1, 2, 3, 4, 5, 6 1, 2, 3, 4, 5, 6 1 2 3
FEC ISL
VLANS Fast Fast
1, 2, 3, 4, 5, 6 1, 2 3, 4 5, 6 Ethernet 1 2 3 Ethernet
400 Mbit/s ISL
duplex
Si Si Si
Chapitre 12 Conception de rseaux LAN commuts 409
Il est conseill dimplmenter la configuration A lorsque cela est possible, car Fast EtherChannel
permet une exploitation plus efficace de la bande passante, en multiplexant le trafic de plusieurs
VLAN sur un seul tronon. Si vous ne disposez pas dune carte de ligne Fast EtherChannel, choisis-
sez la configuration B. Si ni Fast EtherChannel, ni les tronons ISL ne sont envisageables, utilisez la
configuration C. Dans le cas dune segmentation simple, chaque VLAN utilise un seul tronon, ce
qui signifie quun tronon peut tre congestionn alors quun autre reste inexploit. De plus, davan-
tage de ports sont ncessaires pour obtenir des performances quivalentes aux deux premires
configurations. Laugmentation de la bande passante des pines dorsales ATM se fait par lajout de
tronons OC-3, OC-12 ou OC-48. Le routage intelligent fourni par le protocole PNNI (Private
Network-to-Network Interface) gre lquilibrage de charge et la reprise rapide de fonction.
Figure 12.15
Partitionnement Domaine A Domaine B Domaine C
physique de la Serveurs
couche centrale. Couche de Si Si Si de groupe
distribution de travail
Couche VLAN
V W
centrale VLAN 200
100 Rseau IPX
Sous-rseau IP BEEF0001
131.108.1.0
Distribution
X Y
de serveurs
Si Si
Serveurs Serveurs
Web IP de fichiers
WWW Novell IPX
410 Partie I Architecture de rseaux
Bien entendu, il est prfrable que la topologie de lpine dorsale soit la plus simple possible. Un
nombre limit de VLAN ou ELAN est conseill. Les problmes dvolutivit relatifs un grand
nombre de commutateurs de niveau 3, relis deux par deux travers plusieurs rseaux, seront traits
plus loin, la section "Problmes dvolutivit".
Serveur N
A,B,C,D
Couche
W X
centrale
Les serveurs dentreprise Y et Z sont placs dans une ferme, en implmentant la commutation
multicouche sur les commutateurs de distribution de serveurs. Le serveur Y est reli par Fast Ether-
net, et le serveur Z par Fast EtherChannel. Le moyen de contrler laccs ces serveurs est impl-
ment au moyen de listes daccs situes sur les commutateurs de couche centrale. Un autre
Chapitre 12 Conception de rseaux LAN commuts 411
avantage important de la distribution de serveurs est quelle permet lutilisation de HSRP afin
dassurer la redondance avec reprise rapide de fonction. Elle permet galement de maintenir le
trafic interserveur en dehors de lpine dorsale.
Le serveur M se trouve dans le groupe de travail D, qui correspond un VLAN. Il est reli par
lintermdiaire de Fast Ethernet au port dun commutateur de couche centrale, puisque la majorit
du trafic vers ce serveur est interne au groupe de travail (rgle 80/20). Ce serveur pourrait tre dissi-
mul lentreprise, grce la configuration dune liste daccs au niveau du commutateur H de
couche de distribution, si ncessaire.
Le serveur N est reli au commutateur H. Il sagit dun serveur dimmeuble, qui communique avec
les clients des VLAN A, B, C et D. Un chemin commut direct de niveau 2 entre le serveur N et les
clients des VLAN A, B, C et D peut tre implment de deux faons. A laide de quatre cartes
rseau, le serveur peut tre directement rattach chaque VLAN. A laide dune carte rseau ISL, il
peut communiquer directement avec les quatre VLAN, par lintermdiaire dun tronon VLAN.
A linstar du serveur M, le serveur N peut galement tre dissimul lentreprise, grce la confi-
guration dune liste daccs au niveau du commutateur H, si ncessaire.
LECS
principal
Couche LECS de secours Lightstream 1010 C7500
centrale LightStream ATM switch
LANE ATM 1010 ATM LECS backup
Distribution
de serveurs LES/BUS LES/BUS
principal de secours
Catalyst 5000
Si Si Catalyst 5000
X Y
Serveurs
d'entreprise Serveur
d'entrepris
reli via FEC
412 Partie I Architecture de rseaux
Tous les commutateurs multicouches Catalyst 5000 de la couche de distribution sont quips dune
carte LANE, qui agit comme un client LEC, ce qui leur permet de communiquer travers lpine
dorsale. Cette carte est dote dune interface physique ATM OC-3 ou OC-12 redondante, appele
Dual-PHY. Dans la Figure 12.17, les lignes pleines reprsentent des lignes actives ; celles en poin-
tills des lignes de secours dynamique (hot standby). Deux commutateurs LightStream 1010
forment la couche centrale ATM. Les routeurs et serveurs dots dinterfaces ATM natives sont
directement rattachs aux ports ATM de lpine dorsale. Les serveurs dentreprise situs dans la
ferme de serveurs sont relis par Fast Ethernet ou Fast EtherChannel aux commutateurs multicou-
ches Catalyst 5000 X et Y. Ces derniers sont galement quips de cartes LANE, et agissent comme
LECS pour connecter les serveurs dentreprise bass Ethernet au rseau ELAN ATM de couche
centrale.
Les commutateurs de couche centrale LightStream 1010 peuvent tre relis par des tronons OC-3,
OC-12 ou OC-48, selon les besoins. Lorsque davantage de puissance est ncessaire, ces commuta-
teurs peuvent tre remplacs par des routeurs multiservices Catalyst 8500. Le protocole PNNI gre
lquilibrage de charge ainsi que le routage intelligent entre les commutateurs ATM. Le routage
intelligent est dune importance capitale, au fur et mesure que le nombre de commutateurs de
couche centrale devient suprieur deux. Le protocole STP nest pas utilis sur lpine dorsale. Les
protocoles de routage intelligent, tels OSPF et EIGRP, assurent la dtermination de chemin ainsi
que la rpartition de la charge entre les commutateurs de la couche de distribution.
Cisco a implment le protocole SSRP (Simple Server Redundancy Protocol) afin dassurer la redon-
dance des LECS et LES/BUS. Ce protocole est disponible sur les routeurs Cisco 7500, sur la srie de
commutateurs Catalyst 5000, et sur les commutateurs ATM LightStream 1010. Il est compatible avec
tous les LECS qui se conforment au standard LANE 1.0.
La carte LANE pour les commutateurs de la srie Catalyst 5000 est un BUS efficace qui affiche des
performances broadcast de 120 Kbit/s. Cette capacit suffit mme aux rseaux de campus les plus
grands. La Figure 12.17 prsente le couple LES/BUS principal sur le commutateur X et celui de
secours sur le commutateur Y. Sur un petit rseau de campus SSRP, la reprise de fonction LES/BUS
requiert seulement quelques secondes, mais peut atteindre plusieurs minutes sur un trs grand
rseau. Pour cette raison, des pines dorsales ELAN doubles sont souvent exploites sur les grands
rseaux de campus, afin doffrir une convergence rapide en cas de dfaillance LES/BUS.
Imaginez que deux ELAN, Rouge et Bleu, soient crs sur lpine dorsale. Si le couple LES/BUS
de lELAN Rouge est dconnect, le trafic est rapidement rerout vers lELAN Bleu, jusquau rta-
blissement de lELAN Rouge. Une fois ce dernier rtabli, les commutateurs multicouches de la
couche de distribution y rtablissent la communication et rinitient lquilibrage de charge sur les
deux ELAN. Ce processus sapplique aux protocoles routs, mais non aux protocoles ponts.
La base de donnes des LECS principal et de secours est configure sur les commutateurs ATM
LightStream 1010, en raison de leur position centrale. Lorsque ltat du ELAN est stable, le LECS
ne subit aucune surcharge processeur, puisquil est contact uniquement lorsquun nouveau LEC
rejoint lELAN. Par consquent, les performances ne rentrent pas vraiment en ligne de compte lors
du choix de lemplacement des LECS principal et de secours. Une option intressante pour un
LECS principal serait de le placer sur un routeur Cisco 7500, avec une connexion ATM directe
lpine dorsale, car il ne serait pas affect par le trafic de signalisation ATM dans le cas dune panne
LES/BUS.
Chapitre 12 Conception de rseaux LAN commuts 413
La Figure 12.18 prsente une autre option dimplmentation de la couche centrale LANE qui utilise
des commutateurs Catalyst 5500. Ici, le Catalyst 5500 agit en tant que commutateur ATM, suite
lajout dune carte processeur ATM (ASP, ATM Switch Processor Card). De plus, il est configur en
tant que LEC au moyen dune carte LANE/MPOA OC-12, et en tant que commutateur de trames
Ethernet grce lajout de cartes de ligne Ethernet ou Fast Ethernet appropries. La ferme de
serveurs est implmente au moyen de la commutation multicouche. Le Catalyst 5500 combine les
fonctionnalits dun LightStream 1010 et dun Catalyst 5000 en un seul chssis. Grce au module
ATM FIM (Fabric Integration Module), il est galement possible de combiner en un seul chssis les
fonctionnalits du Catalyst 8510 SRP et celles du Catalyst 5500.
Figure 12.18
Domaine A Domaine B Domaine C
Couche centrale Immeuble A Immeuble B Immeuble C
LANE ATM, avec
des commutateurs
Catalyst 5500. Couche de Si Si Si Si Si Si
distribution
Liaisons
Couche montantes
centrale OC-3 ou OC-12
LANE ATM
LES/BUS LES/BUS de
principal secours
Distribution
de serveurs Catalyst 5500 Catalyst 5500
Si Si
Serveurs Serveur
d'entreprise d'entreprise
reli via FEC
Multicast IP
Les applications fondes sur le multicast IP occupent une place de plus en plus importante sur les
intranets dentreprise. Des applications telles IPTV, Microsoft NetShow et NetMeeting sont en
cours de dploiement. Plusieurs facteurs doivent tre pris en compte afin de pouvoir grer efficace-
ment le trafic multicast :
m routage multicast : modes PIM (Protocol-Independant Multicast) dense, clairsem ou clairsem-
dense ;
m les clients et les serveurs rejoignent des groupes multicast au moyen du protocole IGMP (Inter-
net Group Management Protocol) ;
m lagage darbres multicast avec CGMP (Cisco Group Multicast Protocol) et surveillance IGMP ;
m performances multicast de routeurs et de commutateurs ;
m stratgie multicast.
414 Partie I Architecture de rseaux
Le protocole de routage multicast le plus utilis est PIM (Protocol-Independant Multicast). Il est
largement dploy sur lInternet et sur les rseaux dentreprise, et opre en collaboration avec de
nombreux protocoles de routage, tels que OSPF et EIGRP. Les routeurs PIM sont parfois
ncessaires pour pouvoir interagir avec DVMRP (Distance Vector Multicast Routing Protocol), qui
est un protocole de routage multicast existant dploy sur les pines dorsales multicast dInternet
(MBONE, Multicast backbone). Actuellement, 50 % des pines dorsales multicast lutilisent, et
lon sattend ce quil remplace un jour DVMRP.
PIM peut tre configur en mode dense (dense), clairsem (sparse), ou clairsem-dense (sparse-
dense). Le mode dense est utilis par des applications comme IPTV, cest--dire lorsque le rseau
de campus comprend un seul serveur multicast et de nombreux clients. Le mode clairsem est
utilis par les applications de groupe de travail, telles que NetMeeting. Dans les deux cas, PIM
labore des arbres multicast, afin de rduire la quantit de trafic qui circule sur le rseau, ce qui est
particulirement important pour les applications consommatrices en bande passante, comme la
vido en temps rel. Mais, dans la plupart des environnements, PIM est configur en mode clair-
sem-dense, de faon que le choix du mode se fasse automatiquement, selon les besoins. Cest--
dire que le choix du mode dense ou clairsem est dtermin en fonction du mode utilis par le
groupe multicast.
IGMP est exploit par les clients et serveurs multicast afin de joindre ou dannoncer des groupes
multicast. Le routeur passerelle local transmet les diffusions multicast sur les sous-rseaux qui
comprennent des couteurs (listener) actifs, mais bloque le trafic dans le cas contraire. CGMP tend
llagage (prune) multicast jusquau commutateur Catalyst. Un routeur Cisco envoie un message
CGMP afin de fournir ladresse MAC de tous les htes qui appartiennent un groupe multicast.
Lorsque les commutateurs Catalyst reoivent le message CGMP, ils le transmettent uniquement aux
ports dont ladresse MAC se trouve dans leur table de transmission. Ce processus permet de bloquer
les paquets multicast en provenance de ports de commutateurs auxquels ne correspond aucun
membre de groupe en aval. En ce qui concerne les commutateurs de niveau 3, la surveillance IGMP
reprsente une solution plus efficace que CGMP, car elle leur fournit suffisamment de fonctionnali-
ts pour pouvoir analyser les paquets IGMP en provenance de clients et crer les entres de table de
transmission appropries.
Larchitecture des commutateurs Catalyst leur permet de transmettre les flux multicast sur un port,
plusieurs ports ou tous les ports, sans que les performances en soient affectes. Ils peuvent grer un
ou plusieurs groupes multicast simultanment, la vitesse du cble.
Comme illustr la Figure 12.19, une faon dimplmenter une stratgie multicast est de regrouper
les serveurs multicast dans une ferme place derrire le commutateur Catalyst X. Ce dernier agit en
tant que pare-feu multicast. Il veille au respect des limitations de dbit et contrle laccs des
sessions multicast. Pour isoler davantage le trafic multicast, vous pouvez crer un VLAN/sous-
rseau multicast spar, au niveau de la couche centrale. Le VLAN multicast peut tre une partition
logique des commutateurs de couche centrale existants, ou un commutateur ddi, si le trafic est
trs dense. Un point de rendez-vous (RP, Rendezvous Point), cest--dire la racine dun arbre multi-
cast, peut tre implment sur le commutateur X.
Chapitre 12 Conception de rseaux LAN commuts 415
Figure 12.19
Clients pour multicast Clients pour multicast Clients pour multicast
Pare-feu multicast A uniquement B uniquement C uniquement
et pine dorsale.
Si Si Si
Couche de
distribution
B C
uniquement uniquement
A
uniquement
Distribution
de serveurs X
Si Si
Ferme de Ferme de
serveurs serveurs
multicast multicast
Problmes dvolutivit
Le modle de conception multicouche est volutif en soi. Les performances de la commutation de
niveau 3 peuvent augmenter, car il sagit dune commutation distribue. Les performances dpine
dorsale peuvent tre optimises par lajout de plusieurs liens entre les commutateurs. Les domaines
de commutation ou immeubles individuels peuvent supporter jusqu 1 000 quipements clients
avec deux commutateurs de couche de distribution, dans une configuration redondante classique.
Davantage de groupes dimmeubles ou de serveurs peuvent tre ajouts sans quil soit ncessaire de
modifier la conception. Etant donn que ce modle est trs structur et dterministe, il est
galement volutif en termes de gestion et dadministration.
Dans toutes les conceptions multicouches qui ont t prsentes, les boucles ont t vites sur
lpine dorsale, grce STP. Ce protocole requiert environ 40 50 secondes pour converger, et ne
supporte pas lquilibrage de charge sur plusieurs chemins. Sur les pines dorsales Ethernet, aucune
boucle nest configure ; sur les pines dorsales ATM, PNNI gre la rpartition de la charge. Dans
tous les cas, les protocoles de routage intelligent de niveau 3, tels OSPF et EIGRP, assurent la
dtermination de chemin ainsi que lquilibrage de charge sur de multiples liens au niveau de lpine
dorsale.
La surcharge associe OSPF sur lpine dorsale augmente avec le nombre de commutateurs de
couche de distribution. Cela est d au fait que ce protocole lit un routeur dsign et un routeur
dsign de secours, chargs de grer la plupart des tches OSPF pour les autres commutateurs de
niveau 3 de couche de distribution. Si deux VLAN ou ELAN sont crs sur lpine dorsale, un
routeur dsign et un routeur dsign de secours sont dfinis pour chacun. Par consquent, le trafic
416 Partie I Architecture de rseaux
de routage OSPF et la surcharge processeur augmentent en mme temps que le nombre de VLAN
ou ELAN. Cest pourquoi, il vaut mieux limiter le nombre de ces rseaux sur une pine dorsale. En
ce qui concerne les grandes pines dorsales LANE ATM, il est recommand de crer deux ELAN
(voir la section "Epine dorsale LANE ATM", plus haut dans ce chapitre).
Une autre considration importante relative lvolutivit de OSPF est la synthse de routage. Sur
un grand rseau de campus, il est recommand de configurer une zone OSPF par immeuble, et de
configurer les commutateurs de la couche de distribution en tant que routeurs interzones (ABR,
Area Border Router). La synthse de routage est mise en uvre en regroupant un bloc dadresses de
sous-rseaux contigus en une seule annonce au niveau du routeur interzones. Cela permet de
rduire la quantit dinformations de routage qui circulent sur le rseau, et damliorer la stabilit
de la table de routage. EIGRP peut tre configur de la mme manire pour cette fonctionnalit.
La surcharge de certains protocoles, tels que AppleTalk RTMP (Routing Table Maintenance Proto-
col), Novell SAP et Novell RIP, augmente en mme temps que le nombre dhomologues. Supposez
que douze commutateurs de couche de distribution soient relis lpine dorsale et excutent
Novell SAP. Si 100 services SAP sont annoncs sur le rseau de campus, chaque commutateur de
cette couche injecte 100 : 7 = 15 paquets SAP sur lpine dorsale toutes les 60 secondes. Tous ces
commutateurs reoivent et traitent donc 12 15 = 180 paquets SAP ce rythme. Le systme Cisco
IOS fournit des fonctionnalits comme le filtrage SAP, qui permet de bloquer les annonces SAP en
provenance de serveurs locaux lorsque cela est ncessaire. Nanmoins, 180 paquets est un nombre
raisonnable. Mais que dire de 100 commutateurs de couche de distribution qui annoncent 1 000 servi-
ces SAP ?
La Figure 12.20 illustre la conception dune grande pine dorsale ATM redondante et hirarchique
de campus. Le couche centrale ATM, dsigne par la lettre B, consiste en huit commutateurs
LightStream 1010, avec un maillage partiel de tronons OC-12.
Figure 12.20
A Si
C
Si
Si
B Si
X Si Si Y
Distribution
de serveurs
Chapitre 12 Conception de rseaux LAN commuts 417
Le domaine C est form de trois couples de commutateurs LightStream 1010, et peut tre configur
avec un prfixe dadresse ATM, rsum au niveau de sa connexion avec la couche centrale. Sur un
rseau de cette chelle, la configuration manuelle de la synthse de routage ne prsente pas vrai-
ment davantage. La synthse par dfaut implique un maximum de 26 entres de routage, corres-
pondant aux 26 commutateurs de la figure. Dans le domaine A, des couples de commutateurs de
couche de distribution sont rattachs au circuit de commutation ATM avec LANE OC-3. Une ferme
de serveurs situe derrire les commutateurs Catalyst X et Y est directement relie la couche
centrale, au moyen de cartes LANE/MPOA OC-12.
Stratgies de migration
Le modle de conception multicouche dcrit la structure logique du rseau de campus. Ladressage et
la conception de niveau 3 sont indpendants du mdia. Les principes de conception logique sont les
mmes, quils soient implments laide dEthernet, de Token Ring, de FDDI ou dATM. Ce qui
nest pas toujours le cas avec des protocoles ponts, tels que NetBIOS et SNA (Systems Network
Architecture), qui dpendent du mdia. Par exemple, les applications Token Ring qui traitent des
trames dont la taille dpasse les 1 500 octets autoriss par Ethernet mritent une attention particulire.
La Figure 12.21 prsente un rseau de campus multicouche, avec une pine dorsale FDDI parallle.
Celle-ci pourrait tre raccorde lpine dorsale Fast Ethernet commute, grce la mise en uvre
dun pontage avec traduction des trames (translational bridging) au niveau de la couche de distribu-
tion. Une autre solution serait de configurer lpine dorsale FDDI en tant que rseau logique spar.
Plusieurs raisons justifient de conserver une pine dorsale FDDI existante. FDDI supporte des
trames de 4 500 octets, alors que les trames Ethernet ne peuvent pas dpasser 1 500 octets. Cet
aspect a son importance pour le trafic de protocoles ponts en provenance de systmes terminaux
Token Ring qui gnrent des trames de 4 500 octets. Il est galement important pour les serveurs
dentreprise dots de cartes dinterface FDDI.
Couche de
distribution Si Si Si
Epine dorsale
Ethernet commute
DLSw+ (Data Link Switching Plus) est limplmentation de Cisco du standard DLSw. Les trames
SNA en provenance du client SNA B natif sont encapsules dans TCP/IP par un routeur, ou un
commutateur de couche de distribution dans le modle multicouche. Un commutateur de couche de
distribution dsencapsule le trafic SNA vers un FEP (Front-End Processor, processeur frontal) reli
Token Ring dans le centre de donnes. Les commutateurs multicouches peuvent tre rattachs
Token Ring au moyen dune carte VIP (Versatile Interface Processor) et dun adaptateur de port
(Port Adapter) Token Ring.
Figure 12.22
Distribution WAN
vers lInternet.
Couche de Si Si Si Si Si Si
distribution
Couche
centrale
distribution
X Commutateur
WAN
multicouche
Si Si
comme routeur
Hte bastion pare-feu interne
serveurs Web
quipements
pare-feu
dans la zone
dmilitarise
Routeurs pare-feu
externes
problmes dvolutivit rencontrs avec des conceptions pontes ou commutes linaires. Enfin,
grce la commutation multicouche, il peut grer la commutation de niveau 3 au niveau matriel,
sans provoquer de dgradation de performances, linverse de la commutation de niveau 2.
Rsum
Les conceptions de rseaux locaux de campus utilisent des commutateurs en remplacement des
hubs traditionnels, et emploient une combinaison approprie de routeurs afin de rduire la propaga-
tion des messages broadcast. Grce aux composants logiciels et matriels appropris en place et
une conception efficace, il est possible de construire des topologies semblables aux exemples
dcrits dans ce chapitre.
13
Protocole PIM Sparse Mode
Ce chapitre est extrait de louvrage Developing IP Multicast Networks, Volume I paru (en langue
anglaise) chez Cisco Press (ISBN : 1-57870-077-9).
Pour revoir les notions lmentaires du multicast IP, reportez-vous lAnnexe I.
A linstar du protocole PIM-DM (Protocol Independent Multicast Dense Mode), le protocole PIM-
SM (Protocol Independent Multicast Sparse Mode) utilise la table de routage unicast pour excuter
la fonction de contrle RPF (Reverse Path Forwarding, transmission sur chemin inverse) au lieu de
maintenir une table de routage multicast spare. Par consquent, quels que soient les protocoles
de routage unicast utiliss pour remplir la table de routage unicast (incluant les routes statiques),
PIM-SM utilise ces informations pour assurer la transmission multicast. Il est donc indpendant du
protocole.
Certaines des caractristiques essentielles de PIM-SM sont les suivantes :
m indpendant du protocole (utilise la table de routage unicast pour le contrle RPF) ;
m pas de protocole de routage multicast spar du type protocole de routage multicast par
vecteur de distance (DVMRP, Distance Vector Multicast Routing Protocol) ;
m comportement dadhsion explicite ;
m sans classe ( condition que le routage unicast sans classe soit mis en uvre).
Ce chapitre prsente les mcanismes fondamentaux utiliss par PIM-SM, qui sont les suivants :
m modle dadhsion explicite ;
422 Partie I Architecture de rseaux
m arbres partags ;
m arbres de plus court chemin (SPT, Shortest Path Tree) ;
m enregistrement de source ;
m routeur dsign (DR, Designated Router) ;
m basculement SPT ;
m actualisation dtat (State-Refresh) ;
m dcouverte de point de rendez-vous (RP, Rendez-vous Point).
De plus, certains des mcanismes utiliss dans PIM-DM sont galement exploits par PIM-SM,
parmi lesquels :
m dcouverte de voisin PIM ;
m valuations PIM.
Etant donn que ces mcanismes ne sont pas abords ici, tudiez-les avant de procder la lecture
de ce chapitre. Pour finir, ce chapitre se limite la prsentation du protocole PIM-SM, et donc ses
aspects lmentaires.
Les routeurs de dernier saut (cest--dire ceux auxquels sont directement connects des destinataires
pour un groupe multicast) qui doivent recevoir le trafic de la part dun groupe multicast spcifique
se joignent larbre partag. Lorsquun routeur de dernier saut na plus besoin de recevoir le trafic
dun groupe multicast spcifique (cest--dire lorsque plus aucun destinataire pour le groupe multi-
cast nest directement connect au routeur), il sexclut lui-mme de larbre partag.
Etant donn que PIM-SM utilise un arbre partag unidirectionnel sur lequel le trafic peut seulement
circuler vers le bas de larbre, les sources multicast doivent senregistrer auprs du RP pour que leur
trafic multicast puisse tre transmis sur larbre (via le RP). Ce processus denregistrement dclenche
lenvoi dun message Join SPT par le RP vers la source lorsquil existe sur le rseau des destinataires
actifs pour le groupe multicast. Ces messages Join SPT sont dcrits plus en dtail la section "Arbres
de plus court chemin PIM-SM" et le processus denregistrement est dcrit la section "Enregistre-
ment de source multicast".
Figure 13.1
Adhsion un arbre
partag PIM Etape 1.
A B RP D
C E
Rapport
d'adhsion
IGMP
Destinataire 1
(Groupe G )
Comme le destinataire 1 est le premier hte rejoindre le groupe multicast dans lexemple, le
routeur C doit crer une entre dtat (*,G) dans sa table de routage multicast pour ce groupe multi-
cast. Il place ensuite linterface Ethernet dans la liste des interfaces sortantes de lentre (*,G) (voir
la flche, Figure 13.1). Etant donn que le routeur C d crer une nouvelle entre dtat (*,G), il
doit galement envoyer au RP un message Join PIM (*,G)(voir la flche en pointills, Figure 13.2),
afin de rejoindre larbre partag. Le routeur C sappuie sur sa table de routage multicast pour dter-
miner linterface utiliser en direction du RP.
424 Partie I Architecture de rseaux
Figure 13.2
Adhsion un arbre
partag PIM Etape 2.
A B RP D
Join (*,G)
C E
Destinataire 1
(Groupe G )
Le RP reoit le message Join (*,G), et comme il navait pas non plus dentre dtat pour le groupe
multicast G, il cre une entre dtat (*,G) dans sa table de routage multicast et ajoute la route vers
le routeur C dans sa liste dinterfaces sortantes. A ce stade, un arbre partag pour le groupe multi-
cast G a t construit entre le RP, le routeur C et le destinataire 1 (voir les flches en gras,
Figure 13.3). A prsent, tout le trafic adress au groupe multicast G qui atteint le RP peut circuler
vers le bas de larbre partag en direction du destinataire 1.
Figure 13.3
Adhsion un arbre
partag Etape 3.
A B RP D
C E
Destinataire 1
(Groupe G )
Poursuivons avec notre exemple en supposant quun autre hte (Destinataire 2) rejoigne le groupe
multicast G (voir Figure 13.4). A nouveau, cet hte fait part de son dsir de joindre le groupe multi-
cast en envoyant un rapport dadhsion IGMP au routeur E.
Chapitre 13 Protocole PIM Sparse Mode 425
Figure 13.4
Adhsion un arbre
partag Etape 4.
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Comme le routeur E navait pas dentre dtat pour le groupe multicast G, il cre une entre dtat
(*,G) dans sa table de routage multicast et ajoute linterface Ethernet dans sa liste dinterfaces
sortantes (voir la flche en gras au niveau du routeur E, Figure 13.5). De plus, puisquil a d crer
une entre dtat (*,G), il envoie au RP un message Join (*,G), (voir la flche en pointills,
Figure 13.5), afin de rejoindre larbre partag pour le groupe G.
Figure 13.5
Adhsion un arbre
partag Etape 5.
A B RP D
Join (*,G)
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Lorsque le routeur C reoit le message Join (*,G) du routeur E, il dcouvre quil possde dj une
entre dtat (*,G) pour le groupe G, cest--dire quil participe dj larbre partag pour ce
groupe. Par consquent, il ajoute simplement le lien vers le routeur E dans la liste dinterfaces
sortantes de son entre (*,G).
426 Partie I Architecture de rseaux
La Figure 13.6 prsente larbre partag rsultant (signifi par les flches en gras), qui inclut les
routeurs C et E ainsi que leurs htes directement connects, cest--dire les destinataires 1 et 2.
Figure 13.6
Adhsion un arbre
partag Etape 6.
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Figure 13.7
Elagage darbre
partag Etape 1.
A B RP D
C E
Leave IGMP
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Chapitre 13 Protocole PIM Sparse Mode 427
Comme le destinataire 2 tait le seul hte ayant rejoint le groupe multicast G sur linterface Ether-
net du routeur E, cette interface est supprime de la liste dinterfaces sortantes de son entre (*,G)
(voir labsence de flche entre le routeur E et le destinataire 2, Figure 13.8). Une fois linterface
supprime, la liste dinterfaces sortantes pour cette entre se retrouve vide (nulle), ce qui veut dire
que le routeur E na plus besoin de recevoir de trafic pour ce groupe. Il envoie donc au RP un
message Prune (*,G) (voir Figure 13.8), pour sexclure de larbre partag.
Lorsque le routeur C reoit le message Prune, il supprime son lien vers le routeur E de sa liste
dinterfaces sortantes pour lentre (*,G) (voir labsence de flche entre ces deux routeurs,
Figure 13.9). Toutefois, comme le routeur C comprend toujours un hte directement connect pour
le groupe multicast (Destinataire 1), sa liste dinterfaces sortantes pour lentre (*,G) ne se retrouve
pas vide (non nulle). Par consquent, il demeure dans larbre partag et nenvoie pas de message
Prune au RP.
Figure 13.8
Elagage darbre
partag Etape 2.
A B RP D
C Prune (*,G) E
Destinataire 1
(Groupe G )
Figure 13.9
Elagage darbre
partag Etape 3.
A B RP D
C E
Destinataire 1
(Groupe G )
428 Partie I Architecture de rseaux
NOTE
Lexemple dlagage darbre partag prsent dans cette section naborde pas la situation dans laquelle un
message Prune (*,G) est envoy sur un rseau multiaccs (tel quun segment Ethernet) sur lequel plusieurs
routeurs PIM-SM continuent faire partie du mme arbre partag.
NOTE
Plusieurs mthodes, incluant lutilisation dentres DNS (Domain Name System) dynamiques, ont t
proposes pour indiquer aux routeurs quelles sources sont actuellement actives pour quels groupes. A laide
de ces informations, un routeur pourrait immdiatement et directement joindre larbre SPT de toutes les
sources actives dans un groupe, liminant ainsi le besoin dun arbre partag et dun RP. Malheureusement,
aucune des mthodes envisages jusqu prsent na permis de recueillir le consensus de la communaut
Internet.
La prochaine section prsente le processus de construction dun arbre SPT au moyen de messages Join
et Prune (S, G). Ne perdez pas de vue que lobjectif est ici de comprendre les concepts lmentaires de
Chapitre 13 Protocole PIM Sparse Mode 429
ladhsion. Les situations et conditions dans lesquelles des routeurs PIM-SM rejoignent habituellement
un arbre SPT seront traites plus loin dans ce chapitre.
Figure 13.10
Adhsion SPT Etape 1. Source S1
(Groupe G )
A B RP D
C Join (S1, G) E
SPT
Destinataire 1
(Groupe G )
Pour notre exemple, nous allons supposer que le routeur E sait (par magie) que la source S1 est active
pour le groupe G.
NOTE
En ralit, le routeur E aurait appris que la source S 1 est active suite la rception dun paquet provenant
de la source via larbre partag. Toutefois, pour mettre en vidence le fait que les arbres SPT sont indpen-
dants des arbres partags (et pour simplifier lexemple), ignorons ce dtail et concentrons-nous sur la possi-
bilit qua un routeur de joindre explicitement un arbre SPT, de la mme manire quil peut joindre un
arbre partag.
430 Partie I Architecture de rseaux
Comme le routeur E souhaite joindre larbre SPT pour la source S1, il envoie un message Join (S1, G)
vers la source. Il dtermine linterface approprie pour envoyer ce message en calculant linterface
RPF en direction de la source S1. Le processus de calcul RPF sappuie sur la table de routage
unicast qui indique que le routeur de premier saut vers la source est le routeur C.
Lorsque le routeur C reoit le message Join (S1, G) du routeur E, il cre une entre (S1, G) dans sa
table de transmission multicast et ajoute linterface de rception du message dans la liste dinterfa-
ces sortantes de lentre (voir la flche en gras entre les routeurs C et E, Figure 13.11). Etant donn
que le routeur C a d crer une entre dtat pour (S1, G), il envoie galement vers la source un
message Join (S1, G) (voir la flche en pointills, Figure 13.11).
Figure 13.11
Adhsion SPT Etape 2. Source S1
(Groupe G )
A B RP D
Join (S1, G)
C E
SPT
Destinataire 1
(Groupe G )
Lorsque le routeur A reoit le message Join (S1, G), il ajoute le lien vers le routeur C dans la liste
dinterfaces sortantes de son entre (S1, G) existante (voir la flche en gras entre ces deux routeurs,
Figure 13.12). Le routeur A, aussi appel routeur de premier saut pour la source S1, a dj cr une
entre (S1, G) lorsquil a reu le premier paquet multicast en provenance de la source.
NOTE
A nouveau, lexemple dlagage darbre SPT prsent dans cette section naborde pas la situation dans
laquelle un message Prune (S, G) est envoy sur un rseau multiaccs (tel quun segment Ethernet) sur
lequel plusieurs routeurs PIM-SM continuent faire partie du mme arbre SPT.
Chapitre 13 Protocole PIM Sparse Mode 431
Figure 13.12
Adhsion SPT Etape 3. Source S1
(Groupe G )
A B RP D
C E
Destinataire 1
(Groupe G )
Supposez maintenant que le routeur E ne possde plus de destinataire directement connect pour le
groupe G et quil na donc plus besoin de recevoir de trafic (S1, G). Il envoie donc vers la source S1
un message Prune (S1, G) (voir la flche en pointills, Figure 13.13).
Figure 13.13
Elagage SPT Etape 1. Source S1
(Groupe G )
A B RP D
Prune (S1, G)
C E
Lorsque le routeur C reoit le message Prune (S1, G) du routeur E, il supprime linterface de rception
du message de la liste des interfaces sortantes de son entre (S1, G) (voir labsence de flche entre ces
deux routeurs, Figure 13.14). Comme le routeur C se retrouve avec une liste dinterfaces sortantes vide,
il doit envoyer vers la source S1 un message Prune (S1, G) (voir la flche en pointills, Figure 13.14).
432 Partie I Architecture de rseaux
Figure 13.14
Elagage SPT Etape 2. Source S1
(Groupe G )
A B RP D
Prune (S1, G)
C E
Lorsque le routeur A reoit le message Prune (S1, G) du routeur C, il supprime linterface de rception
du message de la liste des interfaces sortantes de son entre (S1, G) (voir labsence de flche entre ces
deux routeurs, Figure 13.15). Toutefois, comme le routeur A est le routeur de premier saut pour la
source S1, cest--dire quil y est directement connect la source, plus aucune action na lieu et il
continue simplement supprimer les paquets provenant de la source S1, car la liste des interfaces
sortantes pour lentre (S1, G) est vide.
Figure 13.15
Elagage SPT Etape 3. Source S1
(Groupe G )
A B RP D
C E
NOTE
Les exemples darbres SPT utiliss ici ont t radicalement simplifis afin de faciliter la comprhension du
concept SPT dans PIM-SM. A nouveau, lobjectif tait de dmontrer que le mcanisme explicite dadhsion/
lagage PIM-SM peut aussi bien tre mis en uvre avec des arbres SPT quavec des arbres partags. Cette
possibilit prend toute son importance dans les prochaines sections relatives lenregistrement de source
et au basculement SPT.
Chapitre 13 Protocole PIM Sparse Mode 433
NOTE
Les informations relatives au contenu des messages Join/Prune sont prsentes ici, car elles sont particuli-
rement importantes pour comprendre le processus dlagage de flux de trafic provenant dune source
spcifique sur un arbre partag, dcrit plus loin dans la section "Basculement SPT".
434 Partie I Architecture de rseaux
NOTE
Le processus dactualisation priodique est vraisemblablement lun des aspects de PIMSM le plus souvent
ignor lorsque des tudiants sinitient aux notions lmentaires de ce protocole. Il en rsulte une certaine
confusion concernant la maintenance de certains temporisateurs dans la table de transmission multicast,
mais aussi lorsque ce trafic de messages Join est observ durant des sessions de dbogage.
NOTE
On simagine souvent, tort, quune source doit senregistrer avant quun destinataire ne puisse participer
un arbre partag. En ralit, des destinataires peuvent joindre un arbre partag mme sil nexiste aucune
source active. Ainsi, lorsquune source devient active, le RP joint alors larbre SPT vers la source et commence
transmettre le trafic vers le bas de larbre partag. De la mme manire, une source peut senregistrer en
labsence de destinataires actifs sur le rseau. Ensuite, lorsquun destinataire rejoint le groupe, le RP joint
larbre SPT vers toutes les sources du groupe et commence transmettre le trafic sur larbre partag.
La section suivante dcrit le processus denregistrement dune source au moyen de messages PIM
Register et RegisterStop. Ce processus opre en signalant un RP une source active sur le rseau
et en transmettant les paquets multicast initiaux au RP pour quil les envoie vers le bas de larbre
partag. En fin de section, un exemple dtaill illustre ce processus.
NOTE
Contrairement aux autres messages PIM qui sont envoys en mode multicast sur un segment local et qui
circulent de saut en saut travers le rseau, les messages PIM Register et RegisterStop sont transmis en
mode unicast entre le routeur de premier saut et le RP.
Figure 13.16
Enregistrement de Source S1
source Etape 1. (Groupe G )
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Etant donn que le routeur A est le DR de premier saut, il rpond au trafic multicast provenant de la
source S1 en encapsulant les paquets multicast dans des messages Register et en les envoyant au RP
en mode unicast (voir la flche en pointills, Figure 13.17). Notez que les messages Register ne sont
Chapitre 13 Protocole PIM Sparse Mode 437
pas transmis saut par saut comme les autres messages PIM, mais sont envoys directement au RP
linstar dun paquet unicast normal.
Figure 13.17
Enregistrement de Source S1
source Etape 2. (Groupe G )
Register
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Lorsque le RP reoit le message Register, il le dsencapsule et dcouvre que le paquet est adress
au groupe multicast G. Comme il constate quil existe un arbre partag avec une liste dinterfaces
sortantes non vide, il envoie le paquet ainsi dsencapsul vers le bas de larbre (voir les flches en
gras, Figure 13.17). De plus, il envoie une requte Join (S1, G) vers la source S1 pour joindre larbre
SPT afin de recevoir le trafic (S1, G) et le transmettre sur larbre partag. La requte Join (S1, G)
circule de saut en saut jusquau DR de premier saut, le routeur A (voir Figure 13.18).
Une fois que la requte Join (S1, G) a atteint le routeur A, cela signifie quun arbre SPT (S1, G) a t
construit entre ce routeur et le RP (voir les flches en gras, Figure 13.19). Ds lors, le trafic (S1, G)
peut commencer circuler vers le RP via le nouvel arbre SPT (S1, G).
Mais tant donn que le RP na plus besoin de continuer recevoir le trafic (S1, G) encapsul dans
des messages Register, il envoie un message RegisterStop unicast vers le DR de premier saut
(Router A) (voir Figure 13.19).
Poursuivons avec notre exemple et imaginons quune autre source multicast (Source S2) connecte
au routeur D commence mettre vers le groupe G. Le mme processus denregistrement a lieu,
avec pour rsultat ladhsion du RP larbre SPT (S2, G) afin quil puisse recevoir le trafic (S2, G)
et lenvoyer sur larbre partag pour le groupe G.
438 Partie I Architecture de rseaux
Figure 13.18
Enregistrement de Source S1
source Etape 3. (Groupe G )
Join (S1 , G)
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Figure 13.19
Enregistrement de Source S1
source Etape 4. (Groupe G )
Register-Stop
A B RP D
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Le RP participe donc aux arbres SPT (S1, G) et (S2, G) pour les deux sources actives du groupe G
(voir Figure 13.20). Ce trafic est transmis vers le bas de larbre partag (*,G) en direction des desti-
nataires 1 et 2. Les chemins sont prsents complets entre les sources et les destinataires et le trafic
multicast circule correctement.
Chapitre 13 Protocole PIM Sparse Mode 439
Figure 13.20
Enregistrement de Source S1
source Etape 5. (Groupe G )
A B RP D
RPT (*, G)
Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Basculement SPT
PIMSM autorise un routeur DR de dernier saut (cest--dire un DR avec des htes directement
connects qui ont joint un groupe multicast) basculer de larbre partag vers larbre SPT pour une
source spcifique. Ce processus est habituellement mis en uvre en spcifiant un seuil SPT relatif
la bande passante. Lorsque ce seuil est dpass, le DR de dernier saut joint le SPT. Sur les routeurs
Cisco, ce seuil est dfinit par dfaut avec la valeur zro, ce qui signifie que le SPT est rejoint ds
que le premier paquet multicast envoy par une source a t reu via larbre partag.
Figure 13.21
Basculement SPT Source S1
Etape 1. (Groupe G )
SPT (S1 , G)
A B RP D
Join (S1 , G)
Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Figure 13.22
Basculement SPT Source S1
Etape 2. (Groupe G )
SPT (S1 , G)
A B RP D
Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
NOTE
Normalement, les seuils SPT sont configurs de faon cohrente sur tous les routeurs du rseau. Dans une situa-
tion comme celle illustre ici, le routeur E initierait aussi un basculement vers le SPT en envoyant une requte
Join (S, G) au routeur en amont, vers la source, qui dans ce cas serait le routeur C. Toutefois, pour que cet exem-
ple reste simple, nous examinerons uniquement le cas du routeur C. Pour finir, noubliez pas que ce sont les
routeurs, et non les destinataires, qui initient ce basculement vers le SPT.
Chapitre 13 Protocole PIM Sparse Mode 441
Vous avez probablement remarqu que le trafic multicast (S1, G) peut maintenant emprunter deux
chemins pour atteindre le routeur C, savoir larbre partag et larbre SPT. Comme lutilisation de
ces deux chemins provoquerait la livraison de paquets dupliqus au routeur C et consommerait
inutilement la bande passante du rseau, il faut indiquer au RP dlaguer le trafic multicast (S1, G)
sur larbre partag.
Figure 13.23
Elagage de source Source S1
sur larbre partag (Groupe G )
Etape 1.
SPT (S1 , G)
A B RP D
Prune bit RP
(S1 , G) Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Pour stopper le flux de trafic (S1, G) devenu inutile, le RP envoie un message Prune (S1, G) vers la
source S1. Ce message, reprsent par les flches en pointills dans la Figure 13.24, passe par le
routeur B avant datteindre le routeur de premier saut, cest--dire le routeur A.
442 Partie I Architecture de rseaux
Figure 13.24
Source S1
Elagage de source
(Groupe G )
sur larbre partag
Etape 2. Prune (S1 , G)
A B RP D
Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
La Figure 13.25 prsente le rsultat. Larbre SPT (S1, G) a t lagu, laissant uniquement le lien
entre le routeur A et le routeur C. Le routeur E reoit toujours le trafic (S1, G) de la part du
routeur C (comme indiqu par la flche en gras entre ces deux routeurs) bien que le routeur E
ignore que son voisin en amont (Routeur C) a bascul vers le SPT pour la source S1.
Figure 13.25
Elagage de source Source S1
sur larbre partag (Groupe G )
Etape 3.
SPT (S2 , G)
A B RP D
SPT (S1 , G) RPT (*, G)
Source S2
(Groupe G )
C E
Destinataire 1 Destinataire 2
(Groupe G ) (Groupe G )
Dans la Figure 13.25, le trafic (S2, G) continue de circuler vers le RP et vers le bas de larbre partag
en direction des destinataires 1 et 2.
Chapitre 13 Protocole PIM Sparse Mode 443
Routeur DR PIMSM
PIM lit un routeur dsign ou DR (Designated Router) sur chaque rseau multiaccs (un segment
Ethernet, par exemple) en utilisant des messages Hello PIM. Dans le cas du protocole PIM-DM, le
rle de DR na de sens que si la version 1 de IGMP est utilise sur le rseau multiaccs, car elle ne
met pas en uvre de mcanisme IGMP dlection dinterrogateur (Querier Election). Si ctait le
cas, le routeur DR lu assurerait aussi la fonction dinterrogateur IGMP. Toutefois, comme nous
allons le voir, le rle dun DR est beaucoup plus important dans le cas du protocole PIM-SM.
Rle du routeur DR
Examinez lexemple de rseau illustr Figure 13.26, dans lequel deux routeurs PIM-SM sont
connects un rseau multiaccs commun comportant un destinataire actif pour le groupe G.
Comme le modle dadhsion explicite est mis en uvre, seul le DR (ici le routeur A) devrait
envoyer des requtes Join au RP pour construire larbre partag pour le groupe G. Si les deux
routeurs taient autoriss envoyer des requtes Join (*,G) au RP, des chemins parallles seraient
crs et lhte A recevrait un trafic multicast dupliqu.
Figure 13.26
Routeur DR PIM-SM. Join (*, G)
RP
Routeur A Routeur B
.1
Hte A
(membre du groupe G)
De la mme manire, si lhte A commenait mettre du trafic multicast pour le groupe, cest le
DR qui serait charg denvoyer des messages Register au RP. A nouveau, si les deux routeurs
taient autoriss envoyer des messages Register, le RP recevrait des paquets dupliqus.
Dans une telle situation, le routeur B sait dj quil existe un destinataire actif (Hte A) sur le
rseau, car il a reu le rapport dadhsion IGMP de ce dernier. Il dispose donc dune entre dtat
IGMP pour le groupe G sur cette interface, ce qui lamnerait envoyer une requte Join vers le RP
aussitt quil serait lu comme nouveau DR. La circulation du trafic serait alors tablie sur une
nouvelle branche de larbre partage via le routeur B. De plus, si lhte A mettait du trafic, le
routeur B initierait un nouveau processus Register immdiatement aprs avoir reu le paquet multi-
cast de la part de lhte A, dclenchant ainsi ladhsion du RP au SPT pour lhte A via la nouvelle
branche passant par le routeur B.
Dcouverte de RP
Pour garantir un fonctionnement efficace de PIM-SM, tous les routeurs dans un domaine PIM-SM
doivent connatre ladresse du RP. Sur les rseaux de petite taille qui utilisent un seul RP pour tous
les groupes multicast, il serait possible de spcifier manuellement ladresse IP du RP dans la confi-
guration de chaque routeur. Toutefois, sur un rseau en extension ou sur lequel le RP change
souvent, la configuration manuelle de chaque routeur peut rapidement devenir un cauchemar. De
plus, ce problme peut encore se compliquer lorsque plusieurs RP situs dans diffrents endroits du
domaine sont utiliss pour grer les groupes multicast, soit pour optimiser larbre partag ou pour
rpartir la charge de travail du RP entre plusieurs routeurs.
La version 2 de PIM dfinit un mcanisme appel Bootstrap qui permet tous les routeurs PIM-SM
dans un domaine de dcouvrir dynamiquement toutes les correspondances groupe-RP, vitant ainsi
le problme de configuration manuelle. Limplmentation Cisco de PIM fournit un autre
mcanisme appel AutoRP qui assure la mme fonction. Il a t dvelopp avant que ne soit
publie la spcification de PIMv2 pour permettre aux routeurs des rseaux PIM-SM existants de
connatre dynamiquement ces correspondances groupe-RP.
Evolutivit de PIM-SM
Etant donn que PIMSM utilise le modle dadhsion explicite, le trafic multicast est limit aux
portions du rseau sur lesquelles il est souhait. Par consquent, et comme mentionn prcdem-
ment, PIM-SM est plus efficace que les protocoles par inondation et lagage (flood-and-prune) tels
que DVRMP et PIM-DM et convient donc mieux pour les rseaux multicast pouvant compter des
htes de lautre ct de liaisons WAN.
Outre les avantages vidents du modle dadhsion explicite, PIM-SM permet aux ingnieurs de
rseaux de mettre en uvre des arbres SPT afin de rduire la latence gnralement associe lutili-
sation darbres partags. Quant au choix dutiliser ou non ces arbres SPT, il peut tre effectu indi-
viduellement pour chaque groupe. Par exemple, dans le cas dune application multicast cooprative
et interactive (many-to-many) faible dbit, comme SDR, sexcutant sur un rseau avec une topo-
logie en toile, lutilisation darbres SPT nest par forcment justifie. Dans ce cas, la dfinition
dun seuil SPT infini pourrait obliger tout le trafic de groupe demeurer sur larbre partag. Cette
possibilit de contrler lutilisation des arbres SPT offre aux ingnieurs de rseaux une meilleure
matrise de la quantit des tats crs sur les routeurs du rseau, sachant que le nombre de ces tats
reprsente lun des principaux facteurs affectant lvolutivit de nimporte quel protocole de
routage multicast.
Chapitre 13 Protocole PIM Sparse Mode 445
Pour la plupart des rseaux multicast gnraux, PIM-SM savre tre le protocole de routage multi-
cast intradomaine de choix. Il existe bien sr des exceptions, comme pour les rseaux usage plus
spcifique conus pour supporter des applications de rseau spcialises sexcutant sous le
contrle total des administrateurs de rseau. Dans ce genre de situation, PIM-SM pourrait toujours
reprsenter la solution la plus approprie, mais dautres protocoles pourraient galement tre dve-
lopps pour oprer efficacement dans le cadre dun contrle strict du rseau et des applications.
Rsum
Ce chapitre a prsent les notions lmentaires du protocole PIM-SM. Il se caractrise par lutilisa-
tion dun modle dadhsion explicite pour construire des arbres partags et des arbres SPT. De
plus, comme le trafic circule uniquement vers le bas dun arbre partag dans le cas dune implmen-
tation traditionnelle de PIM-SM, le RP est autoris rejoindre larbre SPT en direction de la source
pour recevoir le trafic provenant de celle-ci. Toutefois, comme le RP doit auparavant connatre
lexistence de la source, un processus denregistrement de source (Register) est mis en uvre. Le
dernier point, et peut-tre le plus ignor des aspects de PIM-SM, est que les routeurs comportant
des destinataires directement connects rejoignent le plus souvent immdiatement le SPT vers une
source nouvellement dtecte pour contourner le RP.
II
Etudes de cas
Ce chapitre fait partie de louvrage Performance and Fault Management, paratre chez Cisco
Press (en langue anglaise).
Il runit un ensemble de directives concernant la surveillance des pannes et la corrlation dvne-
ments, telles quelles sappliquent aux commutateurs et routeurs Cisco, dans le but daider les
administrateurs mieux grer leur rseau dquipements Cisco. Il dbute par une prsentation des
options de gestion de commutateurs et de routeurs, et se poursuit avec la dfinition plus spcifique
des objets MIB, des interceptions SNMP, et des messages Syslog associs aux problmes typiques
de fonctionnement ou de performances. Ces scnarios peuvent tre utiliss pour spcifier des
lments particuliers surveiller et implmenter des rgles de corrlation dvnements. Ce chapi-
tre inclut une base de connaissances Cisco relative ses commutateurs et routeurs.
Il aborde aussi les erreurs et la corrlation dvnements pour les commutateurs et routeurs Cisco en
sappuyant sur les objets MIB et les messages Syslog. Comme les bases MIB prives de Cisco
voluent constamment, certains des scnarios dcrits dans ce chapitre peuvent ne pas sappliquer
votre installation si les objets MIB et/ou les messages Syslog ne sont pas supports ou applicables
dans votre environnement. Le site Web www.cisco.com contient un listing crois de toutes les bases
MIB et messages Syslog, de faon prsenter les objets ou messages supports par certaines plates-
formes et versions de IOS.
Ce chapitre tait lorigine un livre blanc crit par un groupe dingnieurs rseau de chez Cisco
pour sattaquer aux proccupations des clients lors de la migration de leurs rseaux de routeurs ou
de hub partags vers des rseaux de routeurs ou commuts. Ils constatrent que la stratgie de
450 Partie II Etudes de cas
gestion de rseau qui tait oprationnelle pour les rseaux partags ntait pas suffisamment volu-
tive pour supporter et surveiller efficacement les rseaux commuts.
Ce chapitre se termine par un ensemble dtudes de cas qui vous aideront dans la gestion de rseaux
commuts.
Prsentation
Ce chapitre est un condens dune grande quantit dinformations sur la gestion dquipements
Cisco prvu pour aider les utilisateurs finaux mieux grer leurs rseaux, mais aussi pour permettre
aux fournisseurs dapplications de gestion de rseaux damliorer leur offre de produits. Les direc-
tives prsentes ici, visant amliorer le suivi du rseau et mieux comprendre les interdpendan-
ces dvnements, correspondent aux conditions que lauteur juge essentiel de surveiller.
Outre la description des vnements de commutateur et de routeur les plus importants analyser
sur un seul quipement, ce chapitre prsente une srie de scnarios de mise en relation dvne-
ments pour examiner un VLAN ou un sous-rseau, ou mme la totalit du rseau, travers plusieurs
dispositifs. Il introduit le modle vnementiel de Cisco ainsi quune description de tous les
moyens disponibles pour collecter des informations partir dun commutateur ou dun routeur.
Lectorat de ce chapitre
Ce chapitre sadresse aux ingnieurs en gestion de rseau qui doivent mettre en place une adminis-
tration de rseau pour les commutateurs et routeurs Cisco. Il suppose que le lecteur dtient les
connaissances de base sur les thories de commutation et de routage, sur le protocole SNMP
(Simple Network Management Protocol), et sur les commutateurs et routeurs Cisco. Il sadresse
aussi aux fournisseurs de plates-formes et dapplications de gestion de rseau afin quils amliorent
leurs produits en intgrant des rgles spcifiques de surveillance et de corrlation dvnements
pour les quipements Cisco.
Terme Description
Terme Description
BPDU Bridge Protocol Data Unit (unit de donnes de protocole de pont).
BRI Basic Rate Interface (interface primaire).
CAM Content-Addressable Memory (mmoire accessible par son contenu).
CDP Cisco Discovery Protocol (protocole de dcouverte Cisco).
CLI Command-Line Interface (interface en ligne de commande).
CPU Central Processing Unit (unit de traitement centrale).
CRC Cyclic Redundancy Check (contrle de redondance cyclique).
CRM Cisco Resource Manager (gestionnaire de ressource Cisco).
CWSI CiscoWorks for Switched Internetworks (CiscoWorks pour interrseaux commuts).
DBMS Database Management System (systme de gestion de bases de donnes).
EARL Enhanced Address Recognition Logic (circuit de reconnaissance dadresse avance).
ECS Event-Correlation System (systme de corrlation dvnements).
E-SPAN Enhanced Switched Port Analyzer (analyseur avanc de port commut).
event Gnralement, un message dinformation ou derreur gnr par un quipement Cisco.
(vnement)
FDDI Fiber Distributed Data Interface (interface de donnes distribue sur fibre optique).
GUI Graphical User Interface (interface graphique utilisateur).
ISL Inter-Switch Link (liaison inter-commutateurs).
LANE LAN Emulation (mulation LAN).
LLC Logical Link Control (contrle de liaison logique).
MAC Media Access Control (contrle daccs au mdia).
MAU Media Attachment Unit (unit de connexion au mdia).
MIB Management Information Base (base dinformations de gestion).
NIC Network Interface Card (carte dinterface de rseau).
NMP Network Management Processor (processeur de gestion de rseau).
NMS Network Management System (systme de gestion de rseau).
OID Object Identifier (identificateur dobjet).
OSI Open System Interconnection (interconnexion de systmes ouverts).
PDU Protocol Data Unit (unit de donnes de protocole).
PVID Port VLAN ID (identifiant de port VLAN).
452 Partie II Etudes de cas
Terme Description
RADIUS Remote Access Dial-In User Service (service utilisateur daccs distant par liaison commute).
RMON Remote Monitoring (suivi distance).
RNIS Rseau numrique intgration de services (ISDN dans le cas de caractristiques techniques
ou applications dorigines anglo-saxonnes, Integrated Services Digital Network).
severity Niveau de gravit dun vnement.
SLA Service-Level Agreement (accord de niveau service).
SNAP Subnetwork Access Protocol (protocole daccs au sous-rseau).
SNMP Simple Network Management Protocol (protocole dadministration de rseau simplifie).
SPAN Switched Port Analyzer (analyseur de port commut).
SRAM Static Random-Access Memory (mmoire statique accs slectif). Type de mmoire RAM
qui conserve son contenu tant quelle est sous tension. Elle ne requiert pas de rafrachissement
constant.
STP Spanning-Tree Protocol (protocole par arbre recouvrant).
syslog Un service de journalisation derreurs support par les commutateurs et routeurs fonction-
nant sous IOS.
syslogd Le dmon syslogd consigne des messages systme dans un ensemble de fichiers dfinis par
le fichier de configuration /etc/syslog.conf.
TACACS Terminal Access Controller Access Control System (Systme de contrle daccs de
contrleur daccs de terminal).
trap Interception. Il sagit dun vnement SNMP.
VLAN LAN virtuel.
VMPS VLAN Membership Policy Server (serveur de stratgie dadhsion VLAN).
VTP VLAN Trunk Protocol (protocole de tronon VLAN). Un protocole de messagerie de
niveau 2 qui maintient la cohrence de la configuration VLAN travers le rseau.
Dautres acronymes concernant la famille de Catalyst 5000 peuvent tre trouvs sur le site Web de
Cisco.
VLAN, et des ports) et celles de la CAM (consultation rapide par contenu au lieu dune recherche
squentielle). Les adresses MAC sont stockes sur une puce SRAM situe sur le moteur superviseur
et leur usage naffecte pas lutilisation de la mmoire ou du processeur sur le NMP (Network Mana-
gement Processeur, processeur de gestion de rseau). La puce est dote de suffisamment de SRAM
pour pouvoir stocker 16 000 adresses MAC.
Ltat de chaque port est dfini initialement lors de la configuration puis modifi ultrieurement par
le processus STP. Aprs configuration de ltat du port, la spcification 802.1D (RFC 1493) dter-
mine si le port transmet ou bloque les paquets.
des protocoles transparents de niveau infrieur. Il fonctionne sur tous les mdias qui supportent le
protocole SNAP (Subnetwork Access Protocol), y compris sur les rseaux LAN et Frame Relay. Il
opre uniquement au niveau de la couche liaison de donnes, pas au niveau rseau. Avec CDP, deux
systmes supportant des protocoles de niveau rseau diffrents peuvent se dcouvrir lun et lautre.
Les informations CDP places en cache sont disponibles pour les applications dadministration de
rseau. Les quipements Cisco ne transmettent jamais un paquet CDP. Lorsque de nouvelles infor-
mations sont reues, les anciennes sont alors ignores. Les outils CiscoWorks pour interrseaux
commuts (CSWI, CiscoWorks for Switched Internetworks) exploitent ces renseignements lors de
la dcouverte du rseau.
Le protocole CDP est galement trs utile pour le dpannage. Sur un rseau compos seulement de
routeurs, les tables ARP (Address Resolution Protocol), les tables de routage, ainsi que dautres
informations, sont utilises pour dcouvrir la topologie ou pour confirmer la connectivit de celle
qui est dj connue. Sur un rseau de ponts, ces tables ne sont pas utilises et lon utilise la place
une base de donnes de transmission (qui nest pas utile pour dcouvrir les ponts car elle sert pour
les stations finales) et des informations darbre recouvrant (qui peuvent tre dsactives, et sont
communiques uniquement en amont vers la racine). CDP est capable de dcouvrir tous les quipe-
ments Cisco voisins et peut fournir des informations telles que le nom dhte, la version du systme
Cisco IOS, et ladresse IP de gestion.
Visitez le site Web Cisco pour obtenir des informations sur la configuration de CDP sur un commu-
tateur Catalyst 5000.
5500 avec la version 2.1 ou ultrieure de Software Release, et sur tous les commutateurs de
groupe de travail Catalyst 2900 ;
m sous la forme de statistiques, dhistoriques, dalarmes, et dvnements (des neuf groupes
RMON) sur des segments Ethernet des commutateurs Catalyst 1900 et 2820 avec la version 5.33
ou ultrieure de Software Release ;
m sous la forme de statistiques, dhistoriques, dalarmes, et dvnements (des neuf groupes
RMON) sur des segments Ethernet des commutateurs de groupe de travail Catalyst 3000 (3000,
3100, et 3200) ;
m tous les neufs groupes RMON sur des segments Ethernet des commutateurs de groupe de travail
Catalyst 1200 avec Software Release supportant DMP et NMP version 3.1 ou ultrieure ;
m le systme IOS version 11.1 ou ultrieure supporte les fonctions EtherStats, EtherHistory,
dalarmes, ainsi que de groupes MIB dvnements.
Protocoles de base
Quatre types de protocoles sont disponibles pour administrer des quipements Cisco :
m Telnet ;
m SNMP ;
m RMON ;
m Syslog.
Telnet
Telnet (galement connu sous le nom de CLI) permet de se connecter directement un commuta-
teur ou un routeur pour accder aux commandes de configuration et de surveillance.
SNMP
Comme dfini dans le RFC 1157, le protocole SNMP sappuie sur un concept de gestionnaire SNMP
communiquant avec un ou plusieurs agents SNMP. Les oprations Get, Get-Next, et Set de SNMP sont
ralises par le gestionnaire vers un agent pour recueillir ou dfinir des variables dadministration
supportes par ce dernier. Les informations dadministration disponibles via SNMP et Telnet sont
gnralement identiques. Les agents SNMP peuvent avertir le gestionnaire au moyen dintercep-
tions (traps), pouvant contenir nimporte quelle quantit dinformations dadministration afin de
mieux qualifier leur objectif.
RMON
Fondes sur la technologie SNMP, les fonctions de suivi de rseaux distance sont assures par un
ensemble de donnes RMON ddies et un moteur de suivi situ sur un quipement. La communication
460 Partie II Etudes de cas
Syslog
Le protocole Syslog est utilis par les quipements Cisco pour mettre des notifications non sollici-
tes vers une station dadministration. Bien que semblable aux interceptions SNMP, il sert unique-
ment la notification dvnements. Lobjet CISCO-SYSLOG-MIB est implment sur les
quipements Cisco comme solution alternative lmission de messages Syslog pour autoriser
nimporte quel gestionnaire SNMP recevoir tous les vnements via SNMP.
Types dvnements
Tous les quipements Cisco gnrent des interceptions SNMP pour avertir les applications NMS de
certaines conditions dactivit et derreurs. De plus, les quipements utilisant le systme IOS gn-
rent des messages Syslog.
Messages Syslog
La fonction de journalisation Syslog du systme IOS est identique celle dUnix. Il sagit dun
mcanisme de journalisation bas sur UDP permettant aux applications et aux systmes dexploitation
de rapporter des conditions dactivit ou derreurs. Tous les routeurs et la plupart des commutateurs
gnrent des messages Syslog. Ceci signifie que nimporte quelle station dadministration Unix (de
prfrence la station dadministration du rseau Unix) peut servir de serveur Syslog pour nimporte
quel quipement Cisco. Lors de la journalisation, chaque message Syslog est accompagn dinforma-
tions de temps, de service, de niveau de gravit, et dune description.
Interceptions SNMP
Visitez le site Web Cisco pour obtenir une liste de toutes les interceptions SNMP supportes par
Cisco. Celles-ci peuvent galement tre obtenues dans les fichiers MIB de Cisco.
Interceptions SNMP publiques et prives. Tous les quipements Cisco gnrent des intercep-
tions SNMP. De plus, comme la plupart dentre eux grent la fonction dalarme standard RMON et
les groupes dvnements MIB, une fonction supplmentaire dinterrogation locale de nimporte
quelle variable MIB peut tre configure sur un quipement pour assurer le suivi des seuils et gnrer
des interceptions SNMP selon les besoins.
Interceptions SNMP Syslog. De plus en plus de routeurs Cisco implmentent la fonction MIB
Syslog de Cisco pour gnrer des interceptions SNMP, la place ou en plus des messages Syslog.
Elle optimise ladministration des quipements Cisco par lintermdiaire de SNMP en ajoutant un
Chapitre 14 Gestion de rseau commut 461
plus grand nombre de messages non sollicits pouvant tre reus par un processeur NMP, amlio-
rant ainsi ladministration des routeurs.
Pour activer les interceptions Syslog sur un routeur, excutez la commande suivante :
snmp-server enable traps syslog
La commande suivante spcifie le niveau de messages envoyer :
logging history niveau
Evnements de plate-forme
Les plates-formes SNMP peuvent gnrer leurs propres vnements ou interceptions suite linter-
rogation distante dobjets MIB spcifiques et de lapplication de seuils ces objets. De plus, des
moteurs de corrlation dvnements et des applications de reporting sur les performance de rseau
peuvent aussi gnrer leurs propres vnements destination du NMP.
Collecte dvnements
Lessentiel pour pouvoir tirer parti dun moteur de corrlation dvnements complet, est de
lalimenter avec autant dvnements que possible afin dobtenir le niveau maximal de filtrage et
de corrlation dsir.
Un moteur affichant de hautes performances est ncessaire pour pourvoir accepter tous les vne-
ments reus. Il doit pouvoir traiter les interceptions SNMP et les messages Syslog.
Corrlation dvnements
Aprs avoir filtr les vnements, il est important de toujours valuer la nature et le niveau de
gravit de chaque vnement par rapport un quipement ou dautres vnements. Un vnement
signalant quun routeur est inoprant peut tre temporairement ignor si, par exemple, vous savez
quil est en train de redmarrer suite une erreur logicielle. Sil nest pas de nouveau en ligne aprs
cinq minutes, loprateur doit toutefois tre immdiatement averti.
462 Partie II Etudes de cas
Normalisation d'vnements
Interceptions Evnements
SNMP intressants
Gestion. de seuils Filtre Rgles de corrlation Actions correctives :
d'intercept. SNMP
Oprations SNMP Set
Log Commandes IOS
Messages Evnements
Syslog intressants
Collecteur de Filtre
messages Syslog Oprations Ping Commandes
SNMP IOS
Log Get et Set
Commandes Evnements
IOS intressants
Gnrateur de Filtre
commandes IOS
Base de connaissances Il sagit dune base de donnes relationnelle contenant tous les messa-
ges Syslog et les recommandations du systme IOS de Cisco, ainsi que
les interceptions SNMP de Cisco. Elle devrait tre constitue partir
de la base de connaissances de messages Syslog existante de Cisco et
dautres programmes ou tables de correspondances de niveaux de
gravit.
Base de donnes topologiques Cette topologie est gnralement disponible partir de la plate-
forme NMS par lintermdiaire dAPI publies ou dune fonction
dexportation.
Gestionnaire de seuils SNMP Cette fonction est supporte soit au moyen de la plate-forme ou du
moteur dinterrogation, soit par lintermdiaire de la fonction dalarme
RMON intgre et des groupes dvnements MIB.
Collecteur dinterceptions SNMP Cette fonction est supporte soit par lintermdiaire de la plate-forme
existante, soit au moyen du collecteur dinterceptions du moteur de
corrlation.
Collecteur de messages Syslog Un module personnalis prvu pour recevoir et analyser de faon
approprie les messages Syslog.
Gnrateur de commandes IOS Il sagit gnralement dun client Telnet. Il peut tre fourni sous
forme de scripts ou tre intgr au moteur de corrlation.
464 Partie II Etudes de cas
Normalisation dvnements Chaque plate-forme ou moteur possde ses propres mthodes pour
normaliser un vnement.
Oprations SNMP Get et Set Elles peuvent apparatre sous forme de scripts ou tre intgres la
plate-forme NMS ou au moteur de corrlation.
Requtes ping (ICMP) Elles peuvent tre fournies sous forme de scripts ou tre intgres la
plate-forme NMS ou au moteur de corrlation.
Commandes IOS Il sagit gnralement dun client Telnet. Elles peuvent apparatre
sous forme de scripts ou tre intgres au moteur de corrlation.
Objets MIB Les objets MIB Cisco peuvent tre tlchargs vers la plate-forme
NMS ou dans le moteur de corrlation et servir de fondements pour la
base de connaissances.
Notifications par radio-messagerie Le courrier lectronique est gnralement support par la plate-forme
NMS ou par le moteur de corrlation. Les systmes de radio-messa-
gerie sont gnralement proposs par des fournisseurs tiers.
Actions correctives Elles peuvent tre invoques partir de la plate-forme NMS ou du
moteur de corrlation lorsquune rgle de corrlation est value
comme vraie dans le cadre dune tentative de correction de la condi-
tion fautive.
Etant donn que la plupart des procdures de gestion derreurs impliquent leur dtection et
lanalyse des causes originelles, ce chapitre attache moins dimportance aux actions de correction
automatiques.
Sinon, les oprateurs risquent de ragir des conditions de ports qui taient auparavant critiques
mais qui ne le sont plus suite un changement nayant pas t document.
Les sections suivantes traitent des stratgies dadministration pour les ports critiques. Ltablisse-
ment de rapports sur la disponibilit du rseau par quipement ou par port critique de commutateur
peut fournir la direction de lentreprise une rfrence importante partir de laquelle effectuer des
dcisions.
Surveillance de la disponibilit
La mthode la plus simple pour contrler la disponibilit des quipements est de vrifier les
rponses renvoyes aprs une requte ping (ICMP) ou get de SNMP. Les produits NMS standards
peuvent assurer le suivi de tous les objets quils grent par lintermdiaire de ces mcanismes
simples. Bien quune rponse ping ne garantit pas quun commutateur fonctionne correctement,
labsence dune telle rponse rvle manifestement un problme. Lutilisation dun dispositif NMS
avec contrle de disponibilit li la couleur dquipement sur une carte topologique est lexemple
le plus courant dun systme de contrle derreurs.
de chaque type de messages systme afin de ne pas encombrer les journaux avec des messages
superflus qui napporteraient pas dinformations utiles.
Bien que la fonction dinformation Syslog puisse tre utilise pour la gestion des erreurs, elle ne
reprsente pas un mcanisme dalerte en temps rel, contrairement une interception SNMP (
moins que vous neffectuiez un travail supplmentaire pour quelle le devienne). Les informations
Syslog sont toutefois utiles pour la corrlation dvnements. Lanalyse des fichiers Syslog la
recherche de messages se rapportant un vnement donn peut fournit des renseignements utiles
sur la cause dun problme. Vous pouvez configurer le serveur Syslog pour que les messages de
diffrents niveaux de gravit soient consigns dans des fichiers diffrents ou dans un seul fichier
volumineux. Vous pouvez ensuite utiliser des outils comme Perl pour y rechercher les informations
souhaites. Des outils comme le gestionnaire de ressources CRM (Cisco Resource Manager)
peuvent collecter des informations Syslog et crer des rapports bass sur les niveaux de gravit et
les dates. Ces outils peuvent galement synthtiser les messages pour en faciliter linterprtation.
La collecte de donnes de rfrence sur le rseau est galement une tape essentielle en raison de
limportance croissante de la planification des ressources. Selon Optimal (www.optimal.com),
85 % des nouveaux dploiements dapplications chouent aux tests de conformit de niveau service.
Voici quelques-unes des nombreuses raisons de cet chec :
m la complexit croissante des rseaux ;
m lutilisation dapplications multimdias forte bande passante et laugmentation des applications
produisant un trafic en rafales ;
m lexploitation croissante du rseau pour des applications non ddies lentreprise (trafic Inter-
net et Web) ;
m laugmentation du nombre dentreprises mettant jour leurs rseaux et applications existants au
lieu den concevoir de nouveaux.
La constitution dune base de rfrence est donc essentielle pour la planification des ressources. Elle
permet aux administrateurs de rseau de comprendre le niveau actuel des performances, ce qui est
crucial pour pouvoir envisager de nouvelles extensions du rseau ou des applications. Les valeurs de
rfrence doivent tre mises jour au moins tous les trimestres pour identifier les ressources et les
tendances.
Dterminez en premier lieu les informations que vous souhaitez observer dans la dure. Par exemple :
m lutilisation des ressources processeurs ;
m la consommation de la mmoire ;
m lutilisation des interfaces ;
m les taux derreurs, particulirement les erreurs CRC ;
m le trafic multicast ;
m le trafic broadcast.
Ces informations doivent tre collectes pendant une certaine priode, et au minimum pendant deux
semaines. Des mesures pouvant staler jusqu deux mois peuvent renseigner sur les fluctuations
normales qui doivent tre prises en compte. Cette dure minimale permet denregistrer le
"rythme" normal du trafic du rseau. Plus ltude sera longue, puis il sera possible de voir apparatre
les modles rels de comportement du trafic sur le rseau. Les chantillons devraient tre recueillis
assez frquemment pour pouvoir capturer prcisment les fluctuations, mais pas trop non plus, pour
viter que ces variations ne faussent pas les rsultats.
Aprs la collecte des donnes, vous pouvez crire des scripts ou acqurir des programmes pour
collationner les donnes et tablir des rapports comparatifs permettant didentifier les zones de
problmes ou celles de forte activit.
Vous pourriez par exemple collecter les informations de performances et derreurs pour les ports
critiques de commutateurs et de routeurs toutes les quinze minutes pendant deux semaines. A lissue
de cette priode de collecte, une analyse devrait mettre en vidence le trafic de rfrence et les taux
derreurs pour chaque port important. Ces moyennes seront ncessaires pour les tapes suivantes.
Chapitre 14 Gestion de rseau commut 469
Valeurs de seuils
Aprs avoir runi une base de valeurs de rfrence, vous devriez maintenant avoir une ide de ce qui
devrait tre considr comme un "comportement normal" pour diffrents segments de rseau, et en
particulier pour les ports critiques. Ltape suivante consiste configurer les seuils RMON.
Lalarme et les groupes dvnements RMON vous permettent de dfinir des seuils provoquant
lenvoi dune interception SNMP par le commutateur lorsquils sont franchis.
Pour contrler la gnration des alarmes, deux types diffrents de valeurs de seuils doivent tre
dfinis :
m Valeurs de seuils en augmentation. Elles provoquent la gnration dune alarme lorsque la
valeur de lobjet MIB augmente jusqu dpasser le seuil.
m Valeurs de seuils en diminution. Elles provoquent la gnration dune alarme lorsque la valeur
de lobjet MIB diminue et passe en-dessous du seuil.
Ces alarmes ne sont pas mises chaque fois quun seuil est franchi. Il existe un mcanisme
dhystrsis permettant de limiter le nombre dalarmes gnres. Chaque seuil agit comme un
mcanisme de rarmement pour autoriser le seuil oppos gnrer une alarme. Par exemple, supposez
que pour un port le seuil en augmentation soit configur pour 40 %, et que le seuil en diminution
soit dfini 25 %. Lutilisation du port est normalement proche de 20 %. Si elle augmente soudain
pour atteindre 50 % puis redescend pour fluctuer entre 35 % et 50 %, une alarme sera envoye
uniquement la premire fois que le seuil en augmentation sera franchi. Lors des fluctuations cons-
cutives de 35 50 %, aucune alarme ne sera mise. Lorsque lactivit du port retombe aux alentours
470 Partie II Etudes de cas
de 20 %, le seuil en diminution est alors franchi. Une alarme est gnre et le seuil en augmentation
est rarm. On peut ainsi en dduire que la situation lorigine de la premire alarme est passe. Ce
mcanisme empche la rception dinformations redondantes sur une condition dj connue et
permet aussi dtre renseign sur la fin dun incident.
Configuration de seuils
Pour gnrer des alarmes utiles, vous devez dfinir des seuils sensibles. Ceci nest malheureuse-
ment pas toujours facile raliser. En rgle gnrale, vous devriez vous appuyer sur les donnes de
rfrence que vous avez recueillies. Dfinissez un seuil qui puisse vous alerter lorsquune condition
problmatique se produit et un seuil oppos qui vous avertit lorsque la situation est redevenue
normale.
Voici une liste de directives permettant de dterminer les seuils appropris :
m Pour lutilisation des ports, cest--dire les niveaux de trafic multicast et broadcast, exploitez les
valeurs de rfrence que vous avez collectes.
m Les seuils concernant les erreurs CRC devraient tre trs bas, cest--dire ne dpassant pas une
erreur par heure. Vous ne devriez pas tablir dinformations de rfrence pour les erreurs CRC car
le taux derreur pour Ethernet est trs bas daprs les spcifications. Les collisions tant normales,
elles devraient tre rfrences et les seuils devraient tre configurs de faon approprie.
m Si vous dfinissez des valeurs de seuil trop faibles, de nombreuses alarmes seront gnres. Bien
que vous souhaitiez que les oprateurs soient avertis des vnements se produisant sur le rseau,
vous ne devez pas non plus les inonder de messages. Une trop grande quantit dalarmes risque
de provoquer lindiffrence des oprateurs qui finiront par les ignorer.
m Si au contraire vous dfinissez des seuils trop levs, les oprateurs risquent de ne pas tre avertis
suffisamment tt de certains vnements, ou de prendre connaissance dune situation critique long-
temps aprs la gnration de linterception SNMP. Par exemple, il nest pas logique de gnrer une
interception lorsque lutilisation dune liaison atteint 98 % car les utilisateurs finaux auront dj
souffert dune srieuse dgradation des performances, avant que le seuil de soit franchi.
Dune faon gnrale, vous pouvez dsactiver la collection des donnes historiques RMON lorsque
vous entrez dans la phase de collecte rgulire des donnes de rfrence. Ceci permet de rduire la
consommation de ressources processeur et mmoire sur le commutateur. Vous devriez toutefois
continuer surveiller les ports critiques de tronons de commutateur.
Conception du rseau
Les ponts racines devraient tre dfinis statiquement sur les commutateurs de distribution lorsque la
fonctionnalit darbre recouvrant (STP) est utilise. Elle devrait tre active sur tous les ports de
tronon. Vous pouvez aussi ventuellement lactiver sur les ports dutilisateurs finaux au cas o une
boucle viendrait se former par erreur sur le rseau. Cette simple prcaution peut permettre dviter
limmobilisation de votre rseau en cas de boucle.
472 Partie II Etudes de cas
Acquisition de donnes
Vous pouvez obtenir les mmes donnes de diffrentes faons partir dun commutateur. La
mthode que vous utilisez dpend de nombreux facteurs :
m la taille de votre rseau ;
m les besoins en matire dadministration de rseau ;
m les outils dont vous disposez pour collecter et traiter ces donnes.
Pour de trs petits rseaux, la simple interface CLI peut suffire. Pour des rseaux plus grands et plus
complexes, il peut savrer utile de mettre en place une station NMS avec des interrogateurs SNMP,
des gestionnaires dinterceptions SNMP, et une base de donnes relationnelle. Dans la plupart des
situations, on rencontre une combinaison de ces outils avec, en plus, lemploi de quelques scripts
Perl et Expect pour combler les manques. Les sections suivantes dcrivent les donnes collecter,
comment les obtenir, et comment les transformer en informations utiles. Elles prsentent les
donnes que vous pouvez obtenir partir des commandes CLI et des objets MIB de SNMP.
Cette section aborde galement la gestion de base des erreurs au moyen des interceptions SNMP et
des messages Syslog.
Interrogation SNMP
La mthode la plus couramment adopte pour recueillir des donnes de performances est SNMP.
Par lintermdiaire de linterrogation SNMP, vous pouvez collecter des informations MIB RMON,
MIB-2, et dautres donnes spcifiques de lentreprise. Ces informations incluent des statistiques de
trafic concernant les ports critiques et peuvent aussi comprendre des donnes spcifiques sur
lensemble des performances du commutateur, telles que lutilisation de la plaque de connexion
arrire.
Les plates-formes NMS commerciales comptent parmi les mthodes de gestion de rseau
sappuyant sur SNMP habituellement utilises. Vous pouvez galement utiliser les services dinter-
rogation de ce genre densembles logiciels pour recueillir priodiquement des informations spcifi-
ques sur vos commutateurs et les conserver dans une base de donnes quelconque. Celle-ci peut tre
aussi simple quun ensemble de fichiers linaires ou aussi complexe quun systme de gestion de
Chapitre 14 Gestion de rseau commut 473
base de donnes relationnelle (SGBDR). Des rapports peuvent ensuite tre gnrs partir de ces
donnes par importation des fichiers linaires dans un tableur ou avec lutilitaire de reporting du
SGBDR. Vous pouvez galement opter pour la cration de vos propres outils SNMP en utilisant un
langage de scripts tel que Perl. Celui-ci est galement utile pour crer des rapports partir de
fichiers linaires.
Cisco TrafficDirector est un exemple densemble de programmes spcialiss dans la gestion de
rseaux. Ils sont semblables aux produits NMS gnraux mentionns prcdemment, mais sont
spcifiques certains types de donnes, tels que les statistiques de trafic RMON ou MIB-2. Ces
ensembles proposent gnralement un certain nombre de rapports de base avec des options permet-
tant de les adapter vos besoins.
Une fois que vous disposez de moyens pour collecter les donnes, vous devez dcider de celles
interroger. Plusieurs objets MIB peuvent contenir les mmes donnes. Par exemple, etherStatsTable
de RMON, ifTable de MIB-2, et la MIB dot3, sont tous des objets qui fournissent des statistiques
semblables sur le trafic et les erreurs des ports Ethernet. Toutefois, nous vous recommandons
dutiliser etherStatsTable pour la plupart des interrogations. De nombreuses applications commer-
ciales sappuient dj sur cet objet pour recueillir des donnes et disposent doutils tout prts pour
les traiter et gnrer des rapports. Il est galement facile de tirer parti des fonctions RMON de
collecte de donnes historiques afin de rduire la charge de service des procdures dinterrogation.
Notez que certaines versions du systme Cisco IOS pour commutateur Catalyst autorisent la
dfinition de seuils RMON uniquement dans lobjet etherStatsTable. Comme nous voulons tablir
des objets de rfrence sur lesquels dfinir des seuils RMON, lobjet etherStatsTable convient bien
au dpart. Certains objets de statistiques utiles llaboration dune base de rfrence sont ether-
StatsOctets pour le trafic total, etherStatsMulticastPkts pour le trafic multicast, et etherStatsBroad-
castPkts pour le trafic broadcast.
Les objets de statistiques derreurs surveiller sont ceux qui concernent les trames en erreur, comme
etherStatsCRCAlignErrors, et peut-tre aussi ceux qui concernent les fragments et les perturbations
(jabber) Ethernet, comme etherStatsFragments et etherStatsJabber. La surveillance des collisions
Ethernet sur un rseau commut nest gnralement utile que sur les segments partags.
Pour obtenir une dfinition dtaille des objets MIB que vous interrogez, il nexiste pas de
meilleure source que le document MIB lui-mme. Tous les documents sur les objets MIB supports
par les quipements Cisco sont disponibles au public dans la zone MIB du site Web de Cisco. Les
rpertoires "v1"et "v2" contiennent les objets MIB ASN.1 complets avec les dfinitions dans la
syntaxe SNMP v1 ou SNMP v2. La plupart des stations NMS peuvent compiler ces fichiers directe-
ment dans une base MIB sans aucune modification. Les rpertoires "oid" et "schema" sont fournis
pour dautres stations NMS qui requirent des donnes MIB dans ce format. Le rpertoire "oid" est
galement commode pour rechercher lidentificateur dobjet complet (OID) dun objet donn si
vous crivez vos propres scripts pour collecter ces donnes. Le rpertoire "support_list" est une
directive un peu vague permettant de dterminer les objets supports certains niveaux des quipe-
ments et du systme Cisco IOS.
Aprs avoir install et configur votre rseau commut, vous devez mettre en place la station NMS
qui se chargera du processus dinterrogation SNMP. Linterrogation des commutateurs ressemble
celle des routeurs, la seule diffrence tant la quantit et le type des variables MIB sollicites. Un
grand nombre de variables MIB pour les interfaces et les ports ne seront pas interroges avec SNMP
474 Partie II Etudes de cas
en raison de la densit de ports sur les commutateurs et ltat inconnu des ports directement connec-
ts aux stations de travail ou PC pouvant tre teints tout moment. SNMP est trs utile pour
vrifier le bon fonctionnement des commutateurs et des ports de tronons. Les ports utilisateurs
peuvent tre grs uniquement en sappuyant sur les interceptions dvnements dtats de ligne,
tablie ou relche, ou en utilisant les fonctionnalits intgres de RMON. Les variables MIB de
commutateur tudies dans cette section proviennent directement des objets MIB suivants :
RFC1213, CISCO-STACK-MIB, ETHERLIKE-MIB, et BRIDGE-MIB.
Les trois sections suivantes sur les procdures dinterrogation de variables MIB sont tires des
directives contenues dans le guide Guidelines for Polling MIB Variables, telles quelles sappliquent
aux routeurs. Les mmes principes peuvent tre appliqus dans le cas dun environnement
commut, mais avec des variables MIB diffrentes.
Avant dtudier les lments qui doivent tre interrogs, nous devons dterminer lobjectif des
interrogations. On peut dire quil existe trois objectifs principaux aux interrogations : dterminer la
disponibilit dun quipement (interrogation de surveillance), dterminer si une condition derreur
sest produite ou est en passe de se produire (interrogation de seuils), ou analyser les donnes et
mesurer des tendances ou des performances (interrogation de performances).
Interrogation de surveillance
Lobjectif de linterrogation de surveillance est de dtecter les changements de comportement sur le
rseau et de gnrer immdiatement une alarme. Elle vise la dtection derreurs dites "dures", tel
quun quipement ne rpondant pas ou le changement dtat dune interface. Une alarme de cette
catgorie doit immdiatement tre suivie dune action approprie. Si votre systme fait lobjet dun
suivi permanent (24/24 heures et 7/7 jours), une alarme dinterrogation de surveillance devrait
gnrer un signal visible et sonore sur le systme de faon que loprateur puisse ragir immdiate-
ment. Si le suivi nest pas continu, il est recommand de diriger nimporte quelle alarme dinterro-
gation de surveillance vers la personne approprie, si possible par pager ou par e-mail.
Des applications dinterrogation de surveillance sont incluses dans la plupart des plates-formes
SNMP commerciales et applications de gestion de rseau bases sur SNMP. Leur but est danalyser
les points de donnes et de gnrer une alarme lorsque cela est ncessaire.
Interrogation de seuils
Lobjectif de linterrogation de seuils est de dterminer les conditions derreurs qui saggravent afin
dentreprendre les actions qui simposent avant que les performances ne soient rellement affectes.
Une grande varit de problmes apparat sous la forme de conditions derreurs aggraves. Elles
peuvent se transformer en erreurs "dures", ou se prsenter par intermittence. Linterrogation de
seuils est un outil qui permet de dtecter ces problmes.
Pour limplmenter, il faut en premier lieu dcider des variables MIB interroger (les variables
MIB pour les commutateurs suivent dans cette section). Les utilisateurs qui dbutent avec cette
forme dinterrogation peuvent commencer avec les variables qui sont suggres ci-aprs puis ajou-
ter toute autre variable MIB qui serait approprie pour leur rseau.
Aprs avoir choisi les variables MIB interroger, vous devez leur dfinir des valeurs de rfrences.
Pour cela, vous pouvez dmarrer une procdure dinterrogation de ces variables pendant une
Chapitre 14 Gestion de rseau commut 475
certaine priode (une semaine par exemple) et analyser ensuite les donnes produites. La
dtermination des valeurs de rfrence doit tre ralise lors de priodes de pointe de trafic pour
quelles soient les plus reprsentatives possibles de conditions inhabituelles. Plus votre rseau est
statique (changements annuels) et moins vous aurez renouveler les valeurs de rfrence, et plus il
est dynamique (changements mensuels), plus vous devrez mettre jour votre base de rfrence.
A laide de ces donnes talons, dterminez ensuite les valeurs situes en dehors des limites. Une
rgle gnrale est de dfinir des seuils dpassant de 10 20 % les valeurs maximales releves.
Les valeurs seuils pour nimporte quelle variable MIB peuvent tre appliques uniformment sur
tous les commutateurs, ou tre adaptes par groupes de commutateurs ayant des caractristiques
similaires (par exemple, commutateur central ou de distribution).
Une autre dcision devant tre prise concerne le choix des types de notification appropris mettre
lorsque les seuils sont franchis. Les dpassements de seuils ne sont pas indicateurs derreurs
"dures" et ne demandent gnralement pas une raction immdiate. La journalisation des valeurs
seuils et leur examen journalier est le meilleur moyen de rester inform. Il est trs important
danalyser les causes de dpassements rpts. Vous pouvez ainsi dterminer si un problme qui
sest produit peut tre corrig, ou si les valeurs hors limites sont simplement dues des seuils trop
faibles tant donn la situation.
Interrogation de performances
Lobjectif de linterrogation de performances est de collecter des donnes pouvant tre analyses
dans le temps pour dterminer les tendances et faciliter la planification des ressources. A linstar de
linterrogation de seuils, il faut commencer par dterminer les variables MIB interroger. Des
suggestions sont donnes plus loin dans cette section pour choisir les variables MIB qui seraient les
plus utiles linterrogation de performances des commutateurs.
Dans le cadre de ce processus, des points de donnes individuels (donnes brutes) sont stocks par
intermittence sur la machine assurant linterrogation. Selon le mcanisme dinterrogation utilis, les
donnes peuvent tre conserves dans un format brut ou dans une base de donnes relationnelle.
Afin damliorer la gestion des donnes, les informations brutes devraient tre priodiquement
compares et faire lobjet de calculs dont les rsultats seraient enregistrs dans une autre base de
donnes ou un autre fichier afin de gnrer des rapports ultrieurs. Les donnes brutes peuvent tre
conserves pendant un certain temps des fins de sauvegarde, mais il faut au final les supprimer et
ne conserver que les agrgats de performances. La dernire tape de ce processus est la production
de rapports partir des rsultats, qui seront examins priodiquement pour identifier les tendances
ou des fins de prvisions des ressources.
Pour mieux illustrer ce processus, voici un exemple de systme dinterrogation de performances
dune entreprise :
m Les variables MIB individuelles sont assembles pour former des groupes dinterrogations.
Chaque groupe est interrog toutes les cinq minutes et les donnes sont stocks dans une base de
donnes Sybase en fonction du nom du groupe. Chaque matin 12h01, les donnes brutes de la
base sont traites afin de calculer les valeurs minimales, maximales, et moyennes pour chaque
heure, et les rsultats sont ensuite enregistrs dans une autre base de donnes Sybase (au moyen
de programmes SQL crits spcifiquement pour cette opration).
476 Partie II Etudes de cas
m Chaque samedi matin 1h00, les points de donnes brutes individuels de la semaine passe son
supprime de la base de donnes. Le premier jour du mois, les valeurs de minimum, maximum,
et de moyenne par heure sont traites avec dautres calculs pour dgager des valeurs de minimum,
maximum et de moyenne journalire. Ces rsultats sont nouveau stocks dans une autre bases
de donnes. Le premier mardi du mois, une srie de rapports sont gnrs partir des rsultats
horaires et journaliers pour tre examins lors de la runion de planification des ressources. Aprs
la gnration des tats, les donnes de rsultats par heure sont archives sur bande.
Pour obtenir davantage dinformations sur la surveillance des performances, reportez-vous au
manuel de rfrence IBM (IBM Red Books) intitul Monitoring Performance In Router Networks,
Document GG24-4157-RMON.
RMON
Comme mentionn prcdemment, la plupart des commutateurs Catalyst supportent une version
"allge" de RMON qui se compose de quatre groupes de base RMON-1 : statistiques, historiques,
alarmes, et vnements. Pour llaboration des valeurs de rfrence, le groupe etherStats propose un
ventail de statistiques utiles sur le trafic de niveau 2. Vous pouvez utiliser les objets du Tableau 14.3
pour recueillir des statistiques sur le trafic unicast, multicast, et broadcast, ainsi que sur une varit
derreurs de niveau 2. Lagent RMON sur le commutateur peut tre configur pour stocker ces
chantillons dans le groupe historiques. Ce mcanisme permet de rduire le volume dinterrogations
sans rduire le nombre dchantillons. Lemploi des historiques RMON permet dobtenir des valeurs
de rfrence plus prcises sans entraner trop de surcharge de service due aux interrogations. Plus
vous collectez dhistoriques, plus les ressources du commutateur sont sollicites.
La fonction la plus puissante de RMON-1 est le mcanisme de gestion des seuils fourni par les
groupes alarmes et vnements. Il permet de configurer le commutateur de faon quil envoie une
interception SNMP lorsquune condition anormale se prsente. Aprs avoir identifi tous les ports
jugs critiques et recueilli des donnes de rfrence refltant lactivit normale sur ces ports laide
des interrogations SNMP (et peut-tre aussi des historiques RMON), vous tes prt dfinir les
seuils RMON. Dfinissez-les pour quils gnrent une alarme lorsque des carts importants sont
constats par rapport aux valeurs de rfrence sur un de ces ports. Prvoyez aussi des seuils inf-
rieurs afin dtre averti lorsque le trafic revient un niveau normal toujours par rapport aux valeurs
de rfrence.
Pour configurer ces seuils, la meilleure solution est dutiliser des ensembles logiciels dadministra-
tion RMON. La cration des lignes dans les tables dalarmes et dvnements est une tche labo-
rieuse et complexe. Les ensembles logiciels RMON NMS, tels que TrafficDirector, proposent des
interfaces graphiques qui facilitent cette configuration.
Bien que les commutateurs fournissent seulement quatre groupes de base RMON-1, il est important
de ne pas oublier le reste des objets RMON-1 et RMON-2. Vous pouvez obtenir des informations de
niveau 3 et suprieur sur vos commutateurs laide de la fonction de port SPAN et dune sonde
RMON externe, comme SwitchProbe de Cisco. Cette sonde supporte RMON-2 et peut tre alimen-
te partir dun port SPAN pour assurer le suivi complet des donnes RMON sur nimporte quel
port ou la totalit dun VLAN sur un commutateur donn. Vous pouvez utiliser cette combinaison
SwitchProbe et port SPAN pour capturer un flot de paquets sur un port spcifique (en utilisant le
Chapitre 14 Gestion de rseau commut 477
groupe de capture de paquets de RMON-1) puis les tlcharger vers un logiciel dadministration
RMON des fins danalyse. La combinaison SwitchProbe et port SPAN peut galement servir
recueillir des statistiques de niveau couche rseau et couche application sur un port donn ou sur un
VLAN. Le port SPAN est contrlable via SNMP avec le groupe SPAN de lobjet CISCO-STACK-
MIB. Ce processus est donc facile automatiser. TrafficDirector utilise ces fonctions avec sa fonc-
tionnalit dagent "errant" (roving).
Il y a certains risques sonder tout un VLAN. Mme si vous utilisez une sonde 100 Mbit/s, la tota-
lit du flux de paquets dun VLAN, ou mme dun port duplex 100 Mbit/s, peut excder la bande
passante dun port SPAN. Prenez donc soin de ne pas le surcharger. Sil fonctionne continuellement
pleine charge, il est possible que des donnes soient perdues.
Un seul pool de DRAM est ddi lallocation dynamique et chaque fonction/processus lutilise.
Sur le Catalyst 5000, version 3.1 ou ultrieure, utilisez la commande show version pour visualiser
la quantit de mmoire DRAM utilise et libre. En vous fondant sur les donnes prcdentes, dter-
minez les exigences de mmoire RMON. La sauvegarde de la configuration relative RMON
occupe approximativement les quantits de mmoire suivantes :
m 10 Ko despace NVRAM si la taille totale de la NVRAM du systme est de 128 Ko.
m 20 Ko despace NVRAM si la taille totale de la NVRAM du systme est de 256 Ko ou plus.
m Limpact au niveau des ressources processeur de lutilisation des fonctions RMON de collecte
dinformations et dalarme sur un commutateur Cisco, peut tre dcrit de la faon suivante :
Groupe statistiques : Il utilise des cycles processeur uniquement lorsquil traite une requte
SNMP Get recueillant des statistiques RMON de port. Son impact est donc minimal car les
informations etherStats sont collectes au niveau matriel.
Groupes historiques et alarmes/vnements : Ces groupes utilisent peu de cycles proces-
seur pour chaque priode dinterrogation par port (cest--dire, pour chaque clich dhistori-
que et chaque seuil dalarme valuer). Limpact dpend de lintervalle entre les
interrogations et du nombre de ports. La surcharge de processeur devrait tre minimale avec
un module superviseur 2 ou 3 (en supposant un nombre de ports infrieur 150 et des inter-
valles dinterrogation de 30 secondes ou davantage).
Notez galement que lindexation de chane de communaut naffecte pas laccs aux bases MIB ne
comportant quune instance. Par consquent, public@25 peut tre utilis pour accder RFC1213-
MIB pendant quun accs BRIDGE-MIB pour le VLAN 25 se produit.
Un autre exemple pour le commutateur Catalyst est la base SNMP-REPEATER-MIB. Pour accder
cette MIB pour un rpteur donn sur le commutateur Catalyst, utilisez la syntaxe chane
_commmunaut@numro_module/numro_port. Si la chane de communaut en lecture seule est
par exemple, "public", vous pouvez utiliser public@3/1 pour lire SNMP-REPEATER-MIB pour le
rpteur attach au port 1 sur le module 3.
Pour dterminer les VLAN disponibles sur un commutateur Catalyst donn, vous devez interroger le
groupe MIB vlanTable de la base CISCO-STACK-MIB en utilisant lidentifiant de VLAN comme
index.
Depuis Cat5xxx version 4.1(1), lidentifiant vlanIndex a t ajout la liste varBind des intercep-
tions newRoot et topologyChange dfinies dans la base BRIDGE-MIB. Ainsi, Les plates-formess et
les applications SNMP nont pas besoin de dcoder la chane de communaut dans linterception.
Voici deux exemples des nouvelles interceptions supportes :
Received SNMPv1 Trap:
Community: public@2
Enterprise: dot1dBridge
Agent-addr: 172.10.17.31
Enterprise Specific trap.
Enterprise Specific trap: 2 (interception topologyChange)
Time Ticks: 27654316
vtpVlanIndex.1.2 = 2 (numro de VLAN)
ifName.97 = 4/2 (index de linterface)
Received SNMPv1 Trap:
Community: public@3
Enterprise: dot1dBridge
Agent-addr: 172.10.17.31
Enterprise Specific trap.
Enterprise Specific trap: 1 (interception newRoot)
Time Ticks: 27651818
vtpVlanIndex.1.3 = 3 (numro de VLAN)
Commande Description
Vous trouverez des informations dtailles sur toutes les commandes set pour la version 4.2 sur le
site Web de Cisco.
Les mthodes habituelles de gestion derreur impliquent la journalisation des interceptions SNMP
(ce qui comprend des interceptions de seuils RMON) et des messages Syslog, puis le traitement des
donnes suivi des ractions appropries. La plupart des suites logicielles NMS fournissent un
dmon dinterception qui reoit et journalise les interceptions SNMP, ainsi que des mcanismes
permettant dy ragir. Parmi ces mcanismes, on trouve gnralement laffichage de messages,
lmission dalarmes sonores sur la station NMS, ou lexcution dun script de pager. Des actions
plus complexes peuvent comprendre lexcution dun script Expect qui collecte des donnes sensibles
Chapitre 14 Gestion de rseau commut 481
au temps afin de dterminer ltat du commutateur immdiatement aprs lapparition dune erreur,
ou le dclenchement dune procdure de capture de paquets partir du port appropri en utilisant
une sonde RMON externe. Plusieurs scnarios du genre sont dcrits plus loin dans ce chapitre.
En ce qui concerne les messages Syslog, la plupart des systmes Unix (si ce nest pas tous) fournis-
sent un dmon Syslog. Dautres dmons du domaine commercial ou public sont galement disponi-
bles pour les systmes Win95 ou WinNT. Ces dmons journalisent gnralement tous les messages
de commutateur dans un fichier particulier. Un script ou un outil quelconque de reporting peut
ensuite tre utilis pour analyser le fichier afin de produire des informations utiles. Lutilitaire Cisco
Resource Manager possde un utilitaire Syslog Analyzer qui cre des rapports partir des messages
Syslog en se basant sur les niveaux de gravit ou les quipements qui les ont gnrs.
La plupart des produits NMS commerciaux grent les interceptions SNMP standard de base (telles
que linkUp et linkDown) ainsi que les seuils RMON. En ce qui concerne les interceptions spcifiques
Cisco, vous devez configurer NMS pour les formater afin quelles puissent tre lues et reconnues.
Le site Web Cisco fournit dans le fichier trapd.conf des informations sur le formatage des intercep-
tions pour HP OpenView Network Node Manager et Tivoli NetView.
Les bases MIB spcifiques Cisco peuvent tre trouves dans les documents MIB, tels que ceux
lists dans le Tableau 14.5.
Tableau 14.5 : Liste des interceptions SNMP pour les commutateurs Cisco
Tableau 14.5 : Liste des interceptions SNMP pour les commutateurs Cisco (suite)
Interface CLI
Utilisez les commandes dcrites dans cette section comme mthodes additionnelles de collecte de
donnes sur les ressources de commutateur.
BIGA Receive:
RxDone : FALSE
First RBD : 101EF894 Last RBD : 101F1478
SoftRHead : 101F1210 SoftRTail : 101F11F4
FramesRcvd: 04572393 BytesRcvd : 589914384
QueuedRBDs: 00000256 RsrcErrors: 00000000
BIGA Transmit:
First TBD : 101F1494 Last TBD : 101F1B78
SoftTHead : 101F19D4 SoftTTail : 101F19D4
Free TBDs : 00000064 No TBDs : 00000000
AcknowErrs: 00000000 HardErrors: 00000000
QueuedPkts: 00000000 XmittedPkt: 11353833
XmittedByt: 909016542 Panic : 00000000
Frag<=4Byt: 00000306
Transmit:
First TBD : A055E7A4(0 ) Last TBD : A055F784(0 )
TxHead : A055F5A4(112) TxTail : A055F5A4(112)
AvailTBDs : 00000128 QueuedPkts: 00000000
XmittedPkt: 07626990 XmittedByt: 581073462
PanicEnd : 00000000 PanicNullP: 00000000
BufLenErrs: 00000000 Len0Errs : 00000000
Frag<=4Byt: 00000162 SpursTxInt: 00000000
No TBDs : 00000000 NullMbuf : 00000000
Receive:
First RBD : A0559FA4(0 ) Last RBD : A055E780(511)
RxHead : A055AE44(104) RxTail : A055AE20(103)
AvailRBD : 00000512 RsrcErrors: 00000824
PanicNullP: 00000000 PanicFakeI: 00000000
FramesRcvd: 18507368 BytesRcvd : 1676456769
RuntsRcvd : 00000000 HugeRcvd : 00000000
0558590
Cntl : 55C0
MALLOC STATS :
Block Size Free Blocks
16 1
48 2
112 1
144 1
208 1
240 1
400 1
496 4
Commande psc
Cette commande permet dafficher des donnes dutilisation processeur du NMP. La dernire ligne
du listing reprsente le temps dinactivit. Dans cet exemple, le processeur du commutateur est actif
59 % (41 % dinactivit). Sur cette mme ligne, les champs "high" et "low" reprsentent les limi-
tes suprieures et infrieures depuis le dernier dmarrage du commutateur. Le champ "Average"
indique la dure moyenne dinactivit depuis le dernier dmarrage. La colonne dutilisation du
processeur "CPU-Usage" totalise 100 % (avec plus ou moins derreurs darrondi) et indique la
dure doccupation du processeur par ce processus. Dans cet exemple, le noyau (kernel) utilise
93 % de 59 %, ce qui reprsente environ 49 % des capacits du processeur :
switch 5000 (enable) ps -c
CPU usage information:
Name CPU-Usage Invokations
--------------- ------------- -------------
Kernel 93% 1
SynDiags 0% 1
Chapitre 14 Gestion de rseau commut 485
SynConfig 0% 1
Earl 1% 1
THREAD 0% 1
Console 0% 1
telnetd 0% 1
cdpd 0% 1
cdpdtimer 0% 1
SptTimer 0% 1
SptBpduRx 0% 1
VtpTimer 0% 1
VtpRx 0% 1
DISL_Rx 0% 1
DISL_Timer 0% 1
sptHelper 0% 1
..etc
..etc
System Idle - Current: 41% High: 51% Low: 8% Average: 47%
Exceptions: 9
Last Exception occurred on Feb 18 1998 17:14:18 ...
Software version = 2.3(1)
Error Msg:
PID = 0 Co_-__?
PC: 1015A3AC, Status: 2009, Vector: 007C
sp+00: 20091015 A3AC007C 00000000 00000001
sp+10: 00400000 AAAA0000 107F0008 1025EEC0
sp+20: 107FFFAC 1017563E 00000000 107FFFE8
sp+30: 10175EA0 00000000 000006C7 00000000
sp+40: 00000000 00000000 00000000 00000000
sp+50: 00000000 00000000 50000200 00000007
sp+60: 68000000 00000000 00000000 00000000
sp+70: 00000000 00000000 00000000 00000000
sp+80: 00000000 00000000 00000000 00000000
sp+90: 00000000 00000000 00000000 00000000
486 Partie II Etudes de cas
NVRAM log:
Module 2 Log:
Reset Count: 2
Reset History: Thu Mar 19 1998, 16:09:04
Wed Mar 11 1998, 12:05:57
Module 3 Log:
Reset Count: 2
Reset History: Thu Mar 19 1998, 16:08:18
Wed Mar 11 1998, 12:05:11
Module 4 Log:
Reset Count: 1
Reset History: Mon Mar 23 1998, 10:50:06
Module 5 Log:
Reset Count: 2
Reset History: Thu Mar 19 1998, 16:08:18
Wed Mar 11 1998, 12:05:11
Interface CLI
Cette section contient des exemples de rsultats provenant de commandes de linterface CLI qui
renseignent sur ltat du chssis et de lenvironnement.
EARL Status :
NewLearnTest: .
IndexLearnTest: .
DontForwardTest: .
MonitorTest .
DontLearn: .
FlushPacket: .
ConditionalLearn: .
EarlLearnDiscard: .
EarlTrapTest: .
MII Status:
Ports 1 2
-----------
N N
SAINT/SAGE Status :
Ports 1 2 3
Chapitre 14 Gestion de rseau commut 489
--------------
. . .
Interface CLI
Cette section contient des exemples de rsultats de commandes CLI qui renseignent sur ltat des
modules.
490 Partie II Etudes de cas
Mod MAC-Address(es) Hw Fw Sw
--- ------------------------------------ ------ ------ -----------------
1 00-60-47-96-f2-00 thru 00-60-47-96-f5-ff 1.4 2.1 2.1(9)
3 00-60-3e-d1-86-e4 thru 00-60-3e-d1-86-ef 1.3 1.2 2.1(9)
4 00-60-3e-c9-90-54 thru 00-60-3e-c9-90-5f 1.1 1.2 2.1(9)
5 00-40-0b-d5-0e-10 thru 00-40-0b-d5-0e-1b 1.4 1.2 2.1(9)
SAINT/SAGE Status :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
-----------------------------------------
. . . . . . . . . . . .
Channel Status :
Ports 1 2 3 4 5 6 7 8 9 10 11 12
-----------------------------------------
. . . . . . . . . . . .
Topologie STP
Ces commandes show et variables MIB permettent dobtenir ltat de la topologie darbre recou-
vrant STP (Spanning-Tree) sur le commutateur. Reportez-vous aux prcdentes sections relatives au
protocole STP et lindexation base sur les communauts SNMP.
Chapitre 14 Gestion de rseau commut 491
NOTE
Reportez-vous la section "Indexation de chanes de communaut et VLAN" plus haut dans ce chapitre
pour obtenir des informations dutilisation.
Les bases MIB SNMP de cette liste devraient tre interroges si linterception newRoot ou topolo-
gyChange se produit.
Les informations suivantes sont disponibles sur le site Web Cisco :
m dot1dStpTimeSinceTopologyChange. La dure coule (en centimes de seconde) depuis le
dernier changement de topologie dtect par lentit.
m dot1dStpTopChanges. Le nombre total de changements de topologie dtects par ce pont
depuis la dernire rinitialisation ou initialisation de lentit dadministration.
m dot1dStpDesignatedRoot. Lidentificateur de pont de la racine de larbre recouvrant comme
dtermin par le protocole STP excut sur ce nud. Cette valeur est utilise comme paramtre
Root Identifier dans toutes les units BPDU (Bridge Protocol Data Unit) de configuration initis
par ce nud.
m dot1dStpRootCost. Le cot du chemin vers la racine partir de ce pont.
m dot1dStpRootPort. Le numro du port qui offre le chemin de plus faible cot vers le pont racine
partir de ce pont.
Interface CLI
NOTE
Le pont transparent Ethernet est le seul quipement trait ici.
NOTE
Reportez-vous la section "Indexation de chanes de communaut et VLAN" pour obtenir des informations
dutilisation.
La base de donnes de transmission de pont est utilise par le circuit EARL et est disponible via
lobjet MIB suivant :
m dot1dTpFdbTable. Une table qui contient des informations sur les entres unicast pour lesquel-
les le pont transmet et/ou filtre des donnes. Ces donnes sont utilises par la fonction de pont
transparent pour dterminer la faon de propager une trame reue.
Interface CLI
Les exemples suivants prsentent les informations affiches par les commandes CLI, et qui rensei-
gnent sur la table CAM.
Erreurs de port
Les variables MIB et les rsultats Telnet qui suivent rapportent des erreurs survenues sur les interfa-
ces de commutateur.
Interface CLI
Voici un exemple des rsultats renvoys par la commande CLI qui renseigne sur les comptes
derreurs par port.
m etherStatsBroadcastPkts. Le nombre total de paquets corrects reus qui ont t dirigs vers
ladresse de broadcast. Notez quil ninclut pas les paquets multicast.
m etherStatsMulticastPkts. Le nombre total de paquets corrects reus qui ont t dirigs vers une
adresse multicast. Notez quil ninclut pas les paquets envoys vers ladresse broadcast.
Interface CLI
Voici un exemple de rsultats renvoys par la commande CLI fournissant des statistiques de niveau
MAC.
Utilisation client
Certains clients sappuient sur leurs commutateurs pour obtenir des informations dutilisation rela-
tives aux utilisateurs et aux applications, afin de dterminer le niveau de respect de laccord SLA
(Service-Level Agreement, accord de niveau de service), et aussi des fins de facturation par utilisa-
teur ou par groupe. Pour cela, il est recommand dexaminer les couches situes au-dessus du
niveau 2 OSI. Dans cette situation, les commutateurs devraient tre traits comme des hubs ou des
MAU, et vous devriez exploiter les protocoles de niveaux suprieurs (qui voyageront "au-dessus"
du commutateur) pour collecter ces informations.
Si vous voulez connatre le niveau de disponibilit dun serveur pour ses utilisateurs, vous devriez
priodiquement excuter un ping du serveur (mais pas trop frquemment pour ne pas le congestionner)
et mesurer le temps de rponse. Partez du principe que la commutation est ralise la vitesse de la
ligne, moins que des donnes nindiquent que le commutateur reprsente un goulet dtranglement.
Ce chapitre de traite pas de la commutation Cisco Netflow ou multicouche.
Chapitre 14 Gestion de rseau commut 497
CISCO-STACK-MIB SysTraffic
SysTrafficPeak
SysTrafficPeaktime
SysConfigChangeTime
ChassisPs1Status
ChassisPs2Status
ChassisFanStatus
ChassisMinorAlarm
ChassisMajorAlarm
ChassisTempAlarm
ModuleStatus
ModulePortStatus
ModuleStandbyStatus
Erreurs dalignement
Les erreurs dalignement reprsentent un compte des trames reues qui ne se terminent pas par un
nombre pair doctets et qui affichent un CRC incorrect.
A rception de paquets dune taille infrieure 64 octets et ne se terminant par sur une limite
doctet (par exemple, un fragment provenant dune collision), le commutateur Catalyst incrmen-
tera les compteurs runts counter et align-err counter.
Une erreur dalignement est rvlatrice dun problme de cble ou dun transmetteur dfaillant sur
lquipement de rseau connect lautre extrmit. La valeur de ce compteur devrait tre gale
zro ou en tout cas trs faible. Des erreurs de ce type peuvent se produire lorsque le cble est
connect la premire fois. De plus, si un hub est connect, des collision entre dautres quipements
qui y sont connects peuvent aussi provoquer ce genre derreurs.
Chapitre 14 Gestion de rseau commut 499
Erreurs FCS
Le compte derreurs FCS reprsente le nombre des trames qui ont t transmises et reues avec une
somme de contrle incorrecte (valeur CRC) dans la trame Ethernet. Elles sont ignores et ne sont
pas propages sur les autres ports. Un faible nombre derreurs de ce genre est acceptable mais il
pourrait aussi indiquer la prsence de cbles, de cartes, ou dautres composants dfectueux.
Runts
Les trames runts (nains) sont trop petites pour un segment Ethernet.
Le comportement de ces trames se caractrise comme suit :
m Avec les paquets dune taille infrieure 64 octets (par exemple, des fragment provenant dune
collision) et un CRS incorrect, le commutateur Catalyst incrmentera le compteur runts counter.
m Avec les paquets dune taille infrieure 64 octets et ne se terminant pas sur une limite doctet
(par exemple, des fragment provenant dune collision), le commutateur Catalyst incrmentera
les compteurs runts counter et align-err counter.
m Aucune erreur FCS-err nest journalise avec des paquets dune taille infrieure 64 octets.
m Une erreur FCS-err est journalise lorsquun paquet de 63 octets est reu et que 4 bits sont ajou-
ts pour lerreur align et lerreur dribble, provoquant un paquet incorrect de 64 octets (voir
Tableau 14.8).
Un faible nombre derreurs de ce genre est acceptable mais il pourrait aussi indiquer la prsence de
cbles, de cartes, ou dautres composants dfectueux. Dans un environnement Ethernet partage,
les trames runts sont presque toujours provoques par des collisions. Si ces trames apparaissent et
que le niveau de collisions nest pas lev ou sil sagit dun environnement Ethernet, elles peuvent
rsulter de livraisons incompltes (underruns) ou dun programme dfaillant sur une carte rseau.
Connectez un analyseur de protocole pour tenter didentifier la carte dfectueuse en dterminant
ladresse source de ces trames.
Le Tableau 14.8 dcrit les compteurs qui sont incrments dans certaines situations derreurs.
66-1500
63 Undersize
63 CRC Runts
63 align align-err et runts
63 dribble Undersize
63 symbol Runts
63 CRC/align align-err et runts
63 CRC/align/dribble FCS-err
500 Partie II Etudes de cas
63 CRC/align/dribble/symbol FCS-err
63 align/dribble FCS-err
62 align/dribble Runts
54 align/dribble Runts
44 align/dribble Runts
MIB-II
Les objets MIB-II lists dans le Tableau 14.9 doivent tre surveills dans le cadre de ladministra-
tion de ports.
ifEntry.ifOperStatus Etat de fonctionnement Dtecte une transition de port dun tat actif vers
de base de port. un autre tat. Il est recommand de contrler cette
condition uniquement pour les ports de tronons.
ifEntry.ifLastChange Surveille les changements Dtecte si des administrateurs effectuent des
de configuration de port changements de configuration de ports. Les
inattendus. modifications normales devraient tre ignores.
Chapitre 14 Gestion de rseau commut 501
ifEntry.ifInDiscards Surveille les erreurs Dtecte les taux levs derreurs de ce genre.
ifInErrors dinterface. ipOutDiscards peut indiquer des checs de rou-
IfUnknownProtos tage de paquets valides de la part du routeur,
ifOutDiscards rvlant une insuffisance de tampons ou dautres
ifOutErrors conditions spcifiques cet quipement.
ipOutNoRoutes rvle des applications mal-
veillantes ou des attaques de la scurit gnrent
des paquets qui ne peuvent pas tre routs.
Signale ifOutQLen lorsquune telle erreur se produit.
IpInHdrErrors Surveilles les erreurs Dtecte les taux levs derreurs de ce genre.
ipInAddrErrors de trafic IP.
ipInUnknownProtos
ipInDiscards
ipOutDiscards
ipOutNoRoutes
ipReasmReqds
ipReasmFails
ipFragFails
ipFragCreates
TcpInErrs Surveille les erreurs Dtecte les taux levs derreurs de ce genre.
tcpOutRsts de trafic TCP.
udpInErrors Surveille les erreurs Dtecte les taux levs derreurs de ce genre.
de trafic UDP.
SnmpInBadCommunity Surveille les attaques Dtecte une augmentation notable du taux de cet
Names contre la scurit visant objet.
lagent SNMP.
snmpInBadVersions Surveille les requtes Dtecte si un NMS gnre trop de requtes inva-
snmpInASNParseErrs NMS. lides, ou de requtes valides qui conduisent un
snmpInTooBigs nombre excessif de rponses invalides.
snmpInNoSuchNames
snmpInBadValues
snmpOutTooBigs
snmpInGenErrs Surveille le comportement Dtecte si un agent SNMP rapporte trop
des agents SNMP. derreurs.
snmpEnableAuthenTraps Surveille que les intercep- Dtecte les changements dans cet objet.
tions sont mises comme
configures.
502 Partie II Etudes de cas
CISCO-STACK-MIB
Plusieurs objets MIB de la base CISCO-STACK MIB doivent tre surveills pour garantir une
certaine exactitude.
Conditions de modules
Le Tableau 14.11 liste les objets MIB de modules (cartes de lignes) qui devraient tre surveills.
504 Partie II Etudes de cas
Conditions de ports
Le Tableau 14.12 liste les objets MIB de ports qui devraient tre surveills.
portEntry.portOperStatus Surveille les checs de port. Dtecte si cet objet nest pas oprationnel,
Cette fonction serait excu- en supposant quil ne se trouve pas sur un
te si la condition prcdente module superviseur en mode veille. Rap-
ne sappliquait pas tous les porte ifOperStatus et ifAdminStatus en
ports mais seulement cer- utilisant son objet portEntry.portIfIndex
tains ports spcifiques. correspondant pour lire via index dans
ifTable.
portEntry.portLinkFaultStatus Surveille les liaisons Dtecte si cet objet ne prsente pas ltat
Gigabit. noFault(1) ou passe vers un autre tat.
Conditions de tronons
Le Tableau 14.13 liste les objets MIB de tronons qui devraient tre surveills.
vlanPortEntry.vlan Surveille les tronons qui sont Dtecte un chec de fonctionnement de tronon.
PortIslAdminStatus configurs en tant que tel. Pour que des ports connus (en supposant une
configuration avec ports prdfinis) puisse tre des
ports de tronons entre des commutateurs, comme
dfini par portEntry.portModuleIndex et portEntry-
.portIndex, lit leur objet portEntry.portIfIndex
correspondant et utilise cette valeur pour lire via
index dans la table ifTable leur objet ifEntry.if-
AdminStatus = up et ifEntry.ifOperStatus = up.
Pour ces mmes ports, utilise portModuleIndex et
portIndex pour lire via index dans la table vlan-
PortEntry et vrifier que leur objet vlanPortIsl-
AdminStatus = trunking.
Conditions de VLAN
Le Tableau 14.14 liste les objets MIB de VLAN qui devraient tre surveills.
vlanEntry.vlanPortIslOperStatus Surveille les ports de tronons. Pour chaque port dans le mode de
tronons, dtecte un changement
de lobjet vers le mode notTrunking,
et vice versa. Rapporte vlanPort-
Module et vlanPort dans la notification.
vlanEntry.vlanPortOperStatus Surveille ltat du VLAN En supposant que cette condition
sur les ports. sapplique tous les ports en mode
actif, dtecte un changement dtat
de lobjet. Rapporte les objets vlan-
PortModule et vlanPort correspon-
dants dans la notification.
Conditions EtherChannel
Le Tableau 14.15 liste les objets MIB pour EtherChannel qui devraient tre surveills.
Conditions RSM
Le Tableau 14.16 liste les objets MIB pour le module RSM qui devraient tre surveills.
moduleIpAddress Surveille les routes RSM. Pour les modules wsx5302 et wsx5304, lit leur objet
moduleIPAddress. Utilise ensuite ladresse IP dcouverte
pour lire les informations MIB-II. Applique les rgles
dfinies plus haut pour MIB-II.
Chapitre 14 Gestion de rseau commut 507
Conditions diverses
Le Tableau 14.17 liste les objets MIB gnriques qui devraient tre surveills.
Autres corrlations
Les scnarios de corrlation dvnements de cette section peuvent tre dvelopps pour un
commutateur Catalyst 5000.
Scnario 1. Dtecter que tous les modules ont t activs comme prvu. Ce scnario demande de
connatre le nombre de modules existants sur le commutateur. Il peut tre extrait de chassis-
Grp.chassisNumSlots.
Aprs le redmarrage dun commutateur (SYS-5: system reset) ou la rception dune interception
coldStart, vrifiez que tous les modules voulus sont nouveau en ligne, par lintermdiaire du
message Syslog SYS-5: Module x is online, o x est lindice de module. Un autre mthode permet-
tant de dtecter cette situation est de traiter linterception sysConfigChangeTrap (avec varBind
contenant lindice de module). Corrlez linterrogation et linterception pour viter lenvoi de noti-
fications dupliques loprateur. Incluez dans la notification, la valeur de lobjet moduleEntry
correspondant en fonction de lindice de module donn.
Chapitre 14 Gestion de rseau commut 509
Sinon, vous pouvez surveiller la valeur de chassisSlotConfig pour voir si la valeur na pas chang.
Scnario 2. Distinguer les erreurs mineures de source dalimentation des erreurs majeures.
Gnrez une notification mineure ou majeure loprateur selon le niveau derreur de la source
dalimentation (selon la valeur des objets chassisPs1Status ou statusPs2Status).
Scnario 3. Effectuer la corrlation des interceptions dalarmes de chssis avec linterrogation
dobjet MIB pour rechercher un changement dtat.
Associez tout changement dtat de chassisTempAlarm, chassisMinorAlarm, ou chassisMajor-
Alarm avec une interception chassisAlarmOn pour vous assurer quune seule notification est
envoye loprateur pour le mme problme, selon la nouvelle valeur de lun de ces objets. Emettez,
intensifiez, ou supprimez lalarme en consquence.
Assurez-vous que lobjet sysEnableChassisTraps est activ pour que ce scnario puisse fonctionner.
Scnario 4. Surveiller les modules superviseurs.
Pour tous les modules dont le type (moduleType) correspond un module superviseur (valeur = 23,
38 42, 57, 78, ou 300), effectuez les contrles priodiques suivants. Dans les notifications
loprateur, incluez moduleName, moduleModel, moduleHwVersion, moduleFwVersion, et module-
SwVersion.
Surveillez leur tat avec moduleStatus et gnrez une alarme correspondant au niveau de gravit du
champ dtat. Ajoutez lobjet moduleTestResult dans la notification loprateur.
Vrifiez que la version de microprogramme est correcte en contrlant que les champs module-
HwVersion, moduleFwVersion, et moduleSwVersion contiennent les valeurs attendues. Si le moteur
de corrlation ne peut pas comparer les chanes, les objets MIB moduleHwHiVersion, module-
HwLoVersion, moduleFwHiVersion, moduleFwLoVersion, moduleSwHiVersion, et moduleSwLo-
Version sont conformes ce quils sont supposs tre.
Dtectez lorsquune carte superviseur passe de ltat actif en mode veille, ou vice versa, en
surveillant lobjet moduleStandbyStatus. Dtectez aussi lorsque cet objet nest ni actif ni en veille.
A partir de tous les modules superviseurs installs (comme dfini par moduleType), assurez-vous
que lun dentre eux est actif (moduleStandbyStatus est actif) et que tous les autres sont en mode
veille.
Scnario 5. Surveiller les ports de cartes superviseurs.
Pour tous les modules dont le type (moduleType) correspond un module superviseur (valeur = 23,
38 42, 57, 78, ou 300), effectuez les contrles priodiques suivants sur les ports dont les objets
portModuleIndex (dans la table portTable) se vrifient avec lindice dun module superviseur (dans
la table moduleTable). Dans les notifications envoyes loprateur, incluez moduleName et module-
Model, et moduleHwVersion, moduleFwVersion, et moduleSwVersion.
Surveillez modulePortStatus (dcoder la chane doctet comme spcifi dans la MIB). Rapportez
tout changement dtat.
Vrifiez que lorsquun objet moduleStandbyStatus de module est active(2), les ports sur ce module
prsentent un tat correct sils sont utiliss, en contrlant le champ portOperStatus dans la table
portTable. Notez quune prochaine version de Catalyst 5000 rendra actifs les ports mme sur les
cartes superviseurs en mode veille, ce qui affectera ce scnario.
510 Partie II Etudes de cas
Messages Syslog
Les messages Syslog envoys par les routeurs et les commutateurs peuvent tre dirigs vers un ou
plusieurs serveurs Syslog. Les quipements peuvent tre configurs pour nenvoyer que certains
messages. En limitant leur nombre, un utilisateur peut se concentrer sur certains aspects spcifiques
de fonctionnement du rseau. Par exemple, le message Syslog suivant apparat lorsquune interface
sur un routeur tombe en panne :
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet1, changed state to down
Les messages Syslog envoys par les quipements peuvent tre collects par nimporte quel dmon
Syslog de type Unix des fins danalyse mais aussi de cration de rapports et dadoption de mesu-
res appropries.
SNMP
Les quipements Cisco configurs avec SNMP peuvent tre interrogs en vue dobtenir diverses
informations. De plus, ils peuvent envoyer des interceptions vers une station dadministration lors-
que des conditions spcifiques se produisent. En configurant ces quipements pour la gestion des
interceptions SNMP, des conditions rvlatrices peuvent tre dtectes rapidement. Un utilisateur
peut rapidement dterminer ltat fonctionnel de toutes les interfaces sur un routeur, via SNMP par
exemple, sans avoir entrer les commandes CLI ordinaires. Le Tableau 14.18 prsente un chan-
tillon des informations retournes via SNMP.
1 Ethernet0 Up Up
2 Ethernet1 Up Up
3 FastEthernet0 Up Up
4 Fddi0 Up Up
5 Tunnel0 Up Down
Outre les bases MIB standards, les routeurs et les commutateurs Cisco supportent une varit de
bases MIB spcifiques aux quipements Cisco. Elles vous permettent de collecter des donnes
de fonctionnement sur chaque dispositif. En voici une liste partielle :
Chapitre 14 Gestion de rseau commut 513
m Bases spcifiques aux technologies. RNIS (ISDN), LANE, CIP, DLSW+, Frame Relay, ATM,
etc.
m Bases spcifiques aux routeurs. Pool de mmoire, chssis, processeur, mmoire flash, etc.
m Bases spcifiques aux commutateurs.VLAN, STACK, VTP, VMPS, CDP, etc.
La plupart des fichiers MIB dfinissent aussi des interceptions SNMP. Chaque dfinition dintercep-
tion liste les objets MIB inclus dans la PDU dinterception et les conditions layant gnre. Le
Tableau 14.19 liste par catgories les interceptions SNMP dfinies dans les fichiers MIB de routeur.
Tableau 14.19 : Liste des interceptions SNMP pour les routeurs Cisco
Tableau 14.19 : Liste des interceptions SNMP pour les routeurs Cisco (suite)
CISCO-CIPCSNA cipCsnaOpenDuplicateSapFailure
cipCsnaLlc2ConnectionLimitExceeded
CISCO-BSTUN bstunPeerStateChangeNotification
CISCO-STUN stunPeerStateChangeNotification
CISCO-SNA-LLC llcCcStatusChange
CISCO-SDLLC convSdllcPeerStateChangeNotification
RNIS
CISCO-ISDN demandNbrCallInformation
demandNbrCallDetails
FRAME RELAY
RFC 1315 (Frame Relay) frDLCIStatusChange
X.25
RFC 1382 (X.25) x25Restart
x25Reset
RMON
La section prcdente a montr comment les interceptions SNMP pouvaient envoyer des alertes
une station dadministration. Cette approche ractive est utile pour informer les oprateurs de
rseau dun problme. Une approche encore plus proactive serait dinformer les oprateurs avant
quun problme potentiel naffecte lquipement. Par exemple, les performances deviendraient
problmatique si le pourcentage dutilisation du processeur sur un routeur atteignait une valeur
leve. Lapproche ordinaire qui consiste interroger le routeur avec SNMP pour connatre son
taux dutilisation pourrait manquer lvnement en raison de lintervalle dinterrogation choisi. En
utilisant le support RMON sur les quipements Cisco, ceux-ci peuvent tre configurs pour
surveiller lutilisation du processeur et envoyer une alerte seulement lorsquun seuil est atteint
(cest--dire lorsque le taux dutilisation atteint 90).
La Figure 14.2 montre comment RMON peut tre exploit pour contrler lusage du processeur.
Lquipement prlve la valeur dutilisation du processeur intervalles prdfinis. Si elle atteint le
Seuil 1, un vnement peut tre gnr pour en informer lutilisateur ou une entre peut tre consi-
gne dans la table RMON consultable. Le Seuil 2 est dfini pour ractiver la surveillance lorsque
lutilisation du processeur atteint cette valeur. RMON limine le besoin dinterrogation rgulire
partir dune console dadministration et rduit le volume du trafic SNMP sur le rseau.
Dautres statistiques pouvant tre surveilles au moyen de RMON incluent les pertes en entre/
sortie, les checs de tampon, les tempratures internes, le nombre de paquets BECN/FECN Frame
Relay, etc.
Chapitre 14 Gestion de rseau commut 515
Figure 14.2
Dfinition des seuils pour lutilisation
du processeur au moyen de RMON. Seuil 1
Utilisation du
processeur Seuil 2
Temps
Surveillance de lenvironnement
Certains modles de routeurs Cisco peuvent raliser un suivi des dispositifs environnementaux pour
surveiller les conditions dalimentation et de temprature. Des capteurs sur la carte obtiennent
priodiquement des mesures concernant le chssis et vrifient quils se situent dans les limites
voulues. Des messages davertissement sont affichs sur la console pour les valeurs hors limites.
Ltat de lenvironnement est accessibles via SNMP partir des routeurs supportant les bases MIB
OLD-CISCO-ENV-MIB, CISCO-ENVMON-MIB, ou CISCO-ACCESS-ENVMON-MIB. Les objets
dfinis dans les fichiers MIB peuvent renvoyer des informations similaires celles fournies par les
commandes CLI.
Dans le Tableau 14.21, les valeurs de tension sont obtenues partir dobjets dfinis dans la base
CISCO-ENVMON-MIB. Les valeurs renvoyes correspondent celles obtenues avec la commande
CLI de lIOS show environmental. En plus de fournir des objets SNMP pour surveiller la tempra-
ture et la tension, les bases CISCO-ENVMON-MIB et CISCO-ACCESS-ENVMON-MIB dispo-
sent aussi dinterceptions prdfinies. Elles sont envoyes vers une console dadministration
lorsque les mesures sortent des limites normales. Reportez-vous la section "Gestion des erreurs"
plus haut dans ce chapitre pour obtenir davantage dinformations concernant les interceptions
supportes.
%ENV-, %ENVM-, Ces messages signalent des probl- Nimporte lequel de ces messages
%CI-3-BLOWER, mes lis au ventilateur et la tem- peut tre rvlateur dune panne
%CI-1-BLOWSHUT, prature lintrieur du routeur. imminente du routeur.
%CI-2-ENVCRIT,
%CI-4-ENVWARN,
%SYS-1-OVERTEMP
%CI-3-PSFAIL Ces messages signalent un problme Tous ces messages devraient tre
systme comme une panne de la considrs comme critiques.
source dalimentation.
Chapitre 14 Gestion de rseau commut 517
Lutilisation des ressources processeur peut tre dcouverte au moyen des objets MIB du Tableau 14.23.
Tableau 14.23 : Objets MIB de la base OLD-CISCO-CPU-MIB pour surveiller les ressources
processeur
La quantit de mmoire principale restante quun processeur peut utiliser a une influence prpond-
rante sur les performances. Les tampons sont allous partir de la mmoire dans diffrents pools
utiliss par un protocole. Les paquets IPX SAP, par exemple, utilisent les tampons de "taille
moyenne" (middle buffer) lors de lenvoi de paquets. Les commandes CLI suivantes sont habituelle-
ment utilises pour assurer un suivi des statistiques de mmoire et de tampon sur un routeur :
m show memory ;
m show buffers ;
m show interface.
Les valeurs collectes au moyen des commandes CLI sont accessibles via SNMP. A cet effet, Cisco
fournit les fichiers MIB suivants qui permettent dobtenir des informations quivalentes celles
renvoyes par les commandes : CISCO-MEMORY-POOL-MIB, OLD-CISCO-INTERFACES-
MIB, et OLD-CISCO-MEMORY-MIB.
Chapitre 14 Gestion de rseau commut 519
Tableau 14.24 : Objets MIB de la base CISCO-MEMORY-POOL-MIB pour surveiller les ressources
mmoires
NOTE
Vous pouvez utiliser les objets MIB freemem de la base CISCO-MEMORY-MIB pour les versions de IOS ant-
rieures la version 11.1.
Lespace allou dans les tampons de mmoire peut tre dcouvert au moyen des objets MIB du
Tableau 14.25.
Tableau 14.25 : Objets MIB de la base OLD-CISCO-MEMORY-MIB pour surveiller les tampons
de mmoire
Tableau 14.25 : Objets MIB de la base OLD-CISCO-MEMORY-MIB pour surveiller les tampons
de mmoire (suite)
Une autre faon daborder les objets MIB est de les trier par types dinterfaces, comme prsent
dans le Tableau 14.27.
Objets Description
Objets Description
Les tches finales lies la gestion des performances sont la dfinition de seuils, la gnration de
rapports dexceptions, lanalyse, et lapplication de mesures doptimisation.
Personnalisation
Le moteur de corrlation dvnements doit autoriser une certaine forme de personnalisation des
rgles de corrlation pour chaque client. Des rgles par dfaut devraient tre fournies pour reflter
les situations les plus courantes.
Certains indications relatives aux intervalles dinterrogation sont fournies. Toutefois, chaque site devrait
rvaluer ces intervalles en fonction de ses modles de trafic et de la capacit de ses quipements.
Ou une des interceptions SNMP du RFC 1493 (Bridge MIB) est reue :
m topologyChange
m newRoot
Ces interceptions contiennent la chane de communaut au format communaut@ID_vlan, o
ID_vlan est lidentifiant du VLAN sur lequel larbre recouvrant STP a chang. Pour le commutateur
Catalyst 5000 version 4.1 et ultrieure, ces interceptions contiendront vtpVlanIndex et ifName dans la
liste varBinds pour fournir des informations supplmentaires lapplication traitant ces interceptions.
Logique de corrlation : Trois types de corrlation sont possibles, en fonction de la porte dinter-
rogation du systme ECS sur le rseau :
m corrlation simple ;
m corrlation intermdiaire ;
m corrlation avance.
La corrlation simple consiste faire en sorte que chaque quipement qui signale un changement
STP en utilisant les moyens dcrits prcdemment soit surveill afin de sassurer quil est rtabli
dans tat valide. Pour cela, le processus dcrit ci-aprs est accompli, en se basant sur la MIB du
Catalyst 5000.
Tout dabord, il faut vrifier que lobjet sysEnableBridgeTraps de la base CISCO-STACK-MIB a
t configur pour tre activ(1). Si ce nest pas le cas, une alerte devrait tre dclenche.
Le champ de communaut dans linterception topologyChange ou newRoot doit tre lu et utilis
pour continuer interroger le commutateur metteur. Vous pouvez ainsi interroger le VLAN sur
lequel le changement de topologie a eu lieu.
Il faut galement identifier les ports qui taient des tronons avant le changement STP. Pour cela,
une liste de tous les tronons par VLAN doit tre maintenue. Vous devez donc comparer la liste
prcdant le changement avec celle lui succdant. Un port de tronon est dfini comme ayant son
objet MIB vlanPortIslOperStatus dans la table vlanPortTable de la base CISCO-STACK-MIB avec
une valeur trunking(1).
Ensuite, il faut identifier les ports de tronons de ce VLAN qui ont connu un changement dtat en
recherchant dans la table vlanPortTable les entres pour lesquelles la valeur de vlanPortVlan a t
dfinie avec lidentifiant de VLAN spcifi dans linterception.
Pour chacun des ports slectionn, identifiez lobjet MIB vlanPortIslOperStatus avec une valeur
trunking(1). Vous devez surveiller ltat de chaque tronon comme spcifi dans le RFC 1493. Vous
pouvez procder de la manire suivante.
Consultez lobjet vlanPortIslAdminStatus dans la table vlanPortTable et assurez-vous quil ne soit
pas dfini avec la valeur off(2). Sinon, gnrez une alerte indiquant que le port a t dsactiv.
Pour chaque port de tronon dans le VLAN slectionn, consultez les objets vlanPortModule et
vlanPort correspondants partir de la table vlanPortTable. Utilisez ces deux valeurs pour lire via
index dans la table portTable de la base CISCO-STACK-MIB afin dextraire la valeur portIfIndex
correspondante. Utilisez cette valeur pour lire ltat MIB-II ifOperStatus et dterminer si linterface
est toujours active. Si ce nest pas le cas, gnrez une alerte.
530 Partie II Etudes de cas
Lisez la valeur portCrossIndex dans la table the portTable de la base CISCO-STACK-MIB pour lentre
slectionne et utilisez cette valeur pour lire via index dans la table RFC 1493 dot1dStpPortTable afin
de vrifier que dot1dStpPortEnable est dfini avec la valeur enabled(1).
Ensuite, utilisez la mme valeur portCrossIndex dans la table portTable de la base CISCO-STACK-
MIB pour localiser lentre correspondante dans la table RFC 1493 dot1dStpPortTable et vrifier
que dot1dStpPortState est dfini pour le mode blocking(2) ou forwarding(5), 2 minutes aprs que
linterception ait t reue. Autrement, envoyez une alerte.
Vrifiez galement que les ports identifis comme tronons avant que linterception nait eu lieu
soient ensuite toujours oprationnels en tant que tels. Sinon, il faut gnrer une alerte. De la mme
manire, une situation dans laquelle un port qui ntait pas un tronon avant le changement STP est
identifi au cours du traitement de linterception comme tant devenu un tronon, devrait tre
rapporte.
Les alertes devraient aussi inclure un message e-mail rsumant les contradictions mises en vidence
lors de cette corrlation. Le fait quun e-mail spar soit gnr pour chaque non concordance de
port ou bien que toutes les non concordances de port associes au changement STP soient regrou-
pes dans un seul e-mail dpend de limplmentation.
NOTE
Une alternative au traitement des interceptions consisterait interroger lobjet MIB RFC 1493 dot1dStp-
TopChanges afin de dterminer sil a t au minimum incrment de 1 ou dcrment (indiquant une
rinitialisation dagent) depuis la dernire interrogation.
Le deuxime type de corrlation est appel intermdiaire. Une reconfiguration STP est toujours
limite au sous-rseau. En supposant que le moteur de corrlation dvnements connaisse tous les
quipements sur le sous-rseau avant la reconfiguration, une corrlation simple pourrait garantir
quils sont toujours actifs et oprationnels (en ralisant un test daccessibilit) et quils nont pas
chang (en comparant la chane RFC1213-MIB sysDescr prcdente avec celle existante pour
chaque quipement). Une dcouverte de topologie logicielle sera galement initie pour dtecter si
de nouveaux quipements ont t ajouts au rseau. Une alternative est de sappuyer sur les
commutateurs nouvellement ajouts au rseau pour gnrer des interceptions, afin que le systme
ECS puisse les dtecter.
Bien quimparfaite, cette rgle de corrlation peut aider un oprateur de rseau cerner ltendue
du problme plus rapidement.
Le dernier type de corrlation est appel avanc. Un moyen de connatre les raisons dune reconfi-
guration STP est dobtenir la liste des quipements impliqus dans chaque arbre recouvrant sur le
rseau. Une topologie STP peut tre connue en interrogeant le groupe MIB dot1Stp de la base MIB
RFC 1493. CWSI version 1.2 et ultrieure peut aussi tre utilis pour afficher une reprsentation
graphique de larbre STP sur la topologie physique dcouverte via CDP. Notez que Cisco supporte
un seul arbre recouvrant par VLAN. Lidentifiant de VLAN est fourni soit dans le message Syslog,
soit dans la chane de communaut contenue dans linterception SNMP. Si aucun VLAN nest
configur sur le rseau, on suppose alors lexistence dun seul VLAN avec un identifiant de VLAN
Chapitre 14 Gestion de rseau commut 531
de 1. Par consquent, le terme VLAN est utilis dans cette section pour reprsenter le sous-rseau
lorsquaucun VLAN nest configur.
Lorsque larbre recouvrant dun VLAN est reconfigur, le moteur de corrlation dvnements peut
alors identifier le VLAN concern et dterminer les changements qui ont eu lieu dans larbre.
La logique de corrlation dvnements coute les interceptions SNMP newRoot ou topology-
Change du RFC 1493 (Bridge MIB) afin de dtecter le moment o la reconfiguration STP se
produit. Ces interceptions sont toujours envoyes par un quipement dont le port a chang dtat,
comme dfini dans le RFC.
Si une interception topologyChange est reue, le moteur de corrlation dvnements peut facile-
ment compiler la liste des quipements impliqus dans la reconfiguration STP.
Si le systme ECS ne parvient pas extraire la chane de communaut de linterception et ne traite
pas les messages Syslog, la rgle de corrlation dvnement doit associer linterception un
VLAN en dtectant celui dont le compteur de changements de topologie a t incrment de 1.
Pour cela, le groupe vlanTable CISCO-STACK-MIB peut tre interrog pour tablir une liste des
VLAN configurs sur le commutateur. En utilisant la chane de communaut SNMP pour adresser
des VLAN individuels (avec communaut@ID_vlan), le systme NMS pourrait aussi interroger
lobjet MIB RFC 1493 dot1dStpTopChanges, qui indique le nombre de changements de topologie
depuis le redmarrage ou la rinitialisation de lquipement. Cette mthode peut vous permettre
disoler le VLAN concern par le changement de faon que les vrifications suivantes portent
uniquement sur lui.
Etant donn que la reconfiguration STP est automatique, la logique de corrlation dvnements
doit dterminer les lments suivants :
m la cause du changement de topologie ;
m lexactitude de la nouvelle topologie STP.
Le moteur de corrlation dvnements doit dterminer si un nud a t dtect comme inoprant
avant que le changement de topologie STP nait t dcouvert. La rgle de corrlation dvne-
ments calculera la diffrence entre la topologie STP prcdant la reconfiguration et la nouvelle,
avec pour objectifs :
m Si une nouvelle racine a t dfinie, dterminer si lquipement racine prcdent est inactif, et si
la nouvelle racine est un nouvel quipement ajout au rseau.
m Si un seul changement topologique a eu lieu, dterminer si un autre nud a t ajout dans
larbre STP (par exemple, redmarr) ou supprim (par exemple, est en cours de redmarrage ou
compltement inaccessible) en redcouvrant tous les quipements impliqus dans le VLAN.
m Si aucun quipement na t ajout ou supprim, cela signifie quun lien redondant a t
supprim (par exemple, un cble a t dbranch) ou ajout.
Dans nimporte laquelle de ces situations, le moteur de corrlation dvnements doit identifier les
ports participants un arbre recouvrant qui sont passs dun tat de transmission un tat bloquant,
ou bien dun tat dapprentissage un tat de transmission. Il doit galement contrler si lobjet
MIB RFC1213-MIB operStatus de lun de ces ports nest pas pass dun tat activ (up) un tat
dsactiv (down), lors dune tentative visant identifier une dfaillance ou une dconnexion de
port.
532 Partie II Etudes de cas
Loprateur sera ensuite inform de lquipement et du port qui ont provoqu le changement. Il se
peut que la rgle de corrlation dvnements identifie plusieurs causes de dfaillance possibles ou
quipements responsables, auquel cas il faudrait en informer loprateur.
La notion dexactitude peut tre trs complexe, selon les caractristiques du rseau.
La mthode la plus simple permettant de dterminer lexactitude dune configuration STP est de
sassurer que tous les quipements de larbre recouvrant du VLAN sont joignables. Par consquent,
la rgle de corrlation dclenchera un test daccessibilit vers tous les quipements connus comme
ayant t membres de larbre recouvrant avant la reconfiguration. Elle initiera galement une
dcouverte du nouvel arbre STP afin de dtecter si de nouveaux quipements ont t ajouts.
Le moteur de corrlation dvnements de lquipement (ou des quipements) impliqu dans la
reconfiguration STP informera loprateur de rseau et spcifiera la cause la plus vraisemblable,
savoir :
m Un quipement a t ajout ou supprim sur le sous-rseau.
m Un lien a t ajout ou supprim entre deux quipements.
Le plus difficile est de dterminer les interfaces qui ont t actives ou dsactives, et qui ont donc
pu provoquer la reconfiguration, sans indiquer celles qui taient connues comme tant inactives
avant le changement de topologie STP. Cette rgle de corrlation peut tre applique par linterm-
diaire des mmes mcanismes que ceux dcrits prcdemment. La dcouverte STP doit inclure les
ports participant un arbre STP avec leurs objets operStatus et adminStatus tels quil sont t
dfinis dans la table ifTable de la MIB RFC1213, et comparer les valeurs des ces objets MIB avant
et aprs la reconfiguration STP. Une autre mthode permettant de savoir si la reconfiguration a t
provoque par une interface inactive est de la mettre en corrlation avec une interception SNMP
linkDown ou un message Syslog reu quelques secondes aprs une interception SNMP topology-
Change ou newRoot ou un message Syslog de changement de topologie sur un VLAN.
Une alternative serait de surveiller lobjet MIB dot1dStpPortForwardTransitions afin de dtecter
quel moment il est incrment de 1.
Cause probable : Un quipement impliqu dans larbre recouvrant a t teint, est tomb en panne,
ou a t ajout au rseau. Ou bien un lien a t ajout ou supprim entre deux quipements.
Actions/Rsolution : Notifier loprateur comme mentionn prcdemment. Aucune action auto-
matique nest prvue.
Logique de corrlation : Une base de donnes de topologie logique (couche 3) peut servir dtec-
ter un routeur dfaillant dans un groupe de routeurs inaccessibles. Toutefois, une base de donnes
de topologie logique (couche 2) est ncessaire pour dtecter un commutateur dfaillant dans un
groupe de commutateurs injoignables.
Pour chaque quipement signal comme inaccessible au bout de n minutes, une interrogation de son
objet RFC1213-MIB sysObjectID sera initie et utilisera la table de correspondances de Cisco.
Ensuite, le moteur de corrlation dvnements excutera une corrlation simple ou avance. La
recommandation est n = 5 minutes.
La corrlation simple implique lutilisation de la base de donnes de topologie NMS existante.
Cette mthode convient tout fait pour identifier un routeur dfaillant parmi dautres routeurs, mais
ne permet pas deffectuer cette diffrenciation pour les commutateurs (car la plupart des NMS ne
supportent pas la topologie de niveau 2).
La corrlation avance autorise lidentification dun commutateur dfaillant partir dun groupe de
commutateurs sur un sous-rseau en utilisant la base de donnes de connectivit physique qui dcrit
la faon dont les commutateurs sont interconnects. Le systme ECS devrait commencer par utiliser la
topologie de niveau 3 pour reprer le sous-rseau concern, puis une base de donnes de topologie
de niveau 2 afin didentifier le commutateur faisant lobjet de la dfaillance.
NOTE
Il est prfrable de connecter la station NMS directement un rseau commut car le systme NMS nest
pas capable disoler un commutateur pouvant se trouver "derrire" dautres commutateurs, moins que le
moteur de corrlation dvnements ne dtermine sur quel commutateur la station NMS est connecte.
Cette solution peut tre mise en uvre en interrogeant les tables MAC sur chaque commutateur et en asso-
ciant les adresses MAC la station NMS. Ce processus peut tre trs long car il se peut que des milliers
dadresses doivent tre collectes.
Problme environnemental n 1
Plate-forme : Catalyst 5000 avec module superviseur redondant.
Objectif : Dtecter des hausses de tempratures pouvant conduire une panne du commutateur.
Indications : Le commutateur Catalyst 5000 dot dun module superviseur redondant met un
message Syslog SYS-0: "Temp high Failure" ou une interception SNMP CISCO-STACK MIB chassis-
AlarmOn avec la liste varBind contenant chassisTempAlarm = on(2), chassisMinorAlarm = on(2) ou
off(1), et chassisMajorAlarm = on(2), chaque fois que la temprature dpasse 50 Celsius.
Logique de corrlation : Au bout de 5 minutes, sil y a rception dun autre message Syslog SYS-0:
"Temp Critical Recovered" ou SYS-2: "Temp high Okay", ou de linterception SNMP CISCO-
STACK MIB chassisAlarmOff, lalerte devrait tre efface du moteur de corrlation dvnements.
Si aucun de ces messages ou interception SNMP nest reu, lalerte devrait alimenter la rgle
dactivit/inactivit de commutateur indiquant quil est inoprant.
Cause probable : Le systme dair conditionn dans la pice ou le ventilateur est tomb en panne.
Actions/Rsolution : Le problme devrait tre immdiatement signal loprateur sous forme
dune notification de pager. Sil se rsout de lui-mme, loprateur devrait nouveau en tre averti.
Problme environnemental n2
Plate-forme : Routeur Cisco 7000.
Objectif : Dtecter des hausses de tempratures pouvant conduire une panne du routeur.
Indications : Un des messages Syslog suivants est reu :
m ENV-2-TEMP
m ENV-1-SHUTDOWN
m ENVM-2-TEMP
m ENVM-1-SHUTDOWN
Les messages -TEMP gnreront une alarme majeure, et les messages SHUTDOWN une alarme
critique.
Une plus grande granularit peut tre mise en uvre si le systme ECS peut dcoder la temprature
indique dans le message Syslog et appliquer ses propres seuils et niveaux dalarme.
Lalarme devra ventuellement tre efface manuellement par loprateur.
Cause probable : Le systme dair conditionn dans la pice ou le ventilateur est tomb en panne.
Actions/Rsolution : Notifier loprateur.
Rsum
Lobjectif de ce chapitre est de servir de rfrence sur les composants de routeurs et commutateurs
Cisco pouvant tre grs par des clients Cisco. Il vous a appris identifier et grer les lments
essentiels dun commutateur Catalyst, et a mis en vidence les diffrences de gestion qui existent
entre un commutateur et un routeur.
536 Partie II Etudes de cas
Ce chapitre figurera dans louvrage Inside Cisco IOS, paratre chez Cisco Press (en langue
anglaise).
Lobjectif principal dun routeur multiprotocole est bien sr de commuter les paquets dun segment
de rseau vers un autre. Si le planificateur (scheduler) et le gestionnaire de mmoire constituent
linfrastructure logicielle du routeur, larchitecture de commutation du systme IOS reprsente ses
fondements. Les mthodes et structures de commutation mises en uvre par ce systme dtermi-
nent essentiellement la faon dont le routeur assure sa fonction principale. Aussi, des efforts consi-
drables ont t dploys pour concevoir et optimiser cet aspect primordial du systme IOS.
Nanmoins, le processus de commutation de paquets demeure assez simple. Lorsquun paquet est
reu, son adresse de destination est examine et compare avec les entres dune liste de destina-
tions connues. Si une correspondance est trouve, le paquet est transmis vers linterface approprie,
sinon il est supprim. Par consquent, le problme nest pas de savoir comment commuter les
paquets, mais plutt comment les commuter rapidement. La commutation de paquets est une opra-
tion consommatrice de donnes, par opposition aux oprations consommatrices de calculs. Aussi,
pour acclrer son excution, il ne suffit pas dutiliser un processeur plus rapide. Dautres facteurs,
tels que les performances de bus en E/S et la vitesse de la mmoire de donnes, peuvent avoir un
impact considrable sur le fonctionnement de ce processus. Pour les dveloppeurs du systme IOS,
538 Partie II Etudes de cas
le dfi consistait obtenir les meilleures performances de commutation possibles en fonction des
limites des ressources disponibles (CPU, bus E/S et mmoire).
Au fur et mesure que la taille et le nombre des rseaux routs augmentaient, les dveloppeurs IOS
ont d travailler sans relche la rsolution de ce problme de performances. Il en a rsult une
rvision et un perfectionnement continuels des mthodes de commutation du systme IOS. Lorsque
ce systme a t initialement dvelopp, il nexistait quune seule mthode de commutation, appe-
le aujourdhui commutation par processus. Les versions suivantes ont introduit de nouvelles
mthodes de commutation, certaines sappuyant sur des optimisations matrielles spcifiques,
dautres exploitant des techniques logicielles et supportant de nombreuses plates-formes.
Aujourdhui, le systme IOS fournit des mthodes de commutation qui permettent de commuter
plusieurs centaines de milliers de paquets par seconde, au moyen de tables de routage qui contien-
nent des centaines de milliers de routes, et qui peuvent tre implmentes au niveau de lpine
dorsale de lInternet.
La liste suivante rsume les mthodes de commutation dveloppes depuis la version 12.0 du
systme Cisco IOS :
m commutation par processus ;
m commutation rapide ;
m commutation autonome ;
m commutation SSE (Silicon Switching Engine, moteur de commutation en silicium) ;
m commutation optimale ;
m commutation rapide distribue ;
m transmission expresse Cisco (CEF, Cisco Express Forwarding) ;
m transmission expresse Cisco distribue (dCEF, Distributed Cisco Express Forwarding).
Quatre de ces mthodes (commutation par processus, commutation rapide, commutation optimale
et transmission CEF) sont traites en dtail dans ce chapitre.
Bien que ce chapitre utilise des exemples de routage IP pour illustrer les diffrentes mthodes de
commutation, bon nombre dentre elles fonctionnent galement avec dautres protocoles de rseau,
tel IPX, ainsi quavec la technique de pontage. Mme si les structures employes sont souvent ind-
pendantes pour chaque protocole par exemple, IP et IPX exploitent un cache rapide (Fast Cache)
diffrent , leur contenu est semblable, et les mthodes fonctionnent pratiquement de la mme
manire pour tous les protocoles.
Pour comprendre le fonctionnement de la commutation par processus, nous allons examiner les
tapes ncessaires afin de commuter un paquet au moyen de cette mthode. La Figure 15.1 illustre
le chemin commut par processus dun paquet IP.
Figure 15.1
ip_input
Le chemin commut par processus.
4
3
processeur
5
7
2
mmoire E/S
1 6
processeur d'interface processeur d'interface
Mdia de Mdia de
rseau rseau
Tout dabord, linterface de rseau du routeur dtecte sur le cble un paquet traiter. Elle reoit
donc ce paquet, puis le transfre en mmoire dentre/sortie (tape 1 de la Figure 15.1).
Linterface de rseau interrompt le processeur central, pour lui signaler quun paquet a t plac en
mmoire dentre/sortie, en attente de traitement. Le programme dinterruption du systme IOS
examine les informations contenues dans len-tte du paquet (type dencapsulation, en-tte de
couche rseau, etc.), dtermine quil sagit dun paquet IP, puis le place dans la file dentre du
processus de commutation appropri (tape 2 de la Figure 15.1). Pour les paquets IP, le processus
de commutation est appel ip_input.
La prsence dun seul paquet dans la file dentre du processus ip_input suffit pour que ce dernier
soit autoris sexcuter (tape 3 de la Figure 15.1).
Lorsque lexcution du processus ip_input (tape 4 de la Figure 15.1) est engage, lopration de
transmission du paquet peut commencer. Toutes les dcisions relatives la direction dans laquelle il
sera envoy sont prises cette tape. Dans cet exemple, le processus ip_input consulte la table de
routage, afin de dterminer sil existe une route vers ladresse IP de destination. Si cest le cas, il
extrait ladresse de prochain saut (cest--dire le prochain routeur sur le chemin ou la destination
finale) dans lentre de la table de routage, et consulte ensuite le cache ARP, afin dobtenir les infor-
mations ncessaires la cration dun nouvel en-tte MAC (Media Access Control, contrle de
laccs au mdia) pour le prochain saut. Le processus cre ensuite len-tte MAC, qui remplace les
donnes de len-tte existant dans le paquets reu. Enfin, le paquet est plac dans la file dattente de
linterface de rseau en sortie pour tre transmis (tape 5 de la Figure 15.1).
540 Partie II Etudes de cas
Lorsque linterface de rseau en sortie dtecte la prsence dun paquet en attente dtre envoy, elle
le retire de la mmoire dentre/sortie, puis le transmet sur le rseau (tape 6 de la Figure 15.1).
Une fois que linterface a termin lenvoi du paquet, elle interrompt le processeur central, afin de le
lui signaler. Le systme IOS met ensuite jour ses compteurs de paquets envoys, puis libre
lespace occup prcdemment par le paquet en mmoire dentre/sortie (tape 7 de la Figure 15.1).
paquets 2, 4, 6, 8, 10
Dans cet exemple, le routeur A dispose de deux chemins de mme cot vers le rseau 10.1.4.0/24.
Sa table de routage devrait donc ressembler ce qui suit :
RouterA#show ip route 10.1.4.0 255.255.255.0
Routing entry for 10.1.4.0/24
Known via "static", distance 1, metric 0
Routing Descriptor Blocks:
10.1.2.1
Route metric is 0, traffic share count is 1
* 10.1.3.1
Route metric is 0, traffic share count is 1
Lastrisque (*) en regard de lun des chemins signifie que le chemin en question sera utilis afin de
transmettre le prochain paquet commut vers le rseau 10.1.4.0/24. Le compte de parts de trafic est
gal 1 pour les deux chemins, ce qui signifie quils seront exploits tour de rle pour envoyer les
paquets.
Dans cet exemple, le prochain paquet reu pour ce rseau sera rout vers le prochain saut, 10.1.3.0/24,
le deuxime paquet sera envoy vers le prochain saut, 10.1.2.0/24, le troisime vers 10.1.3.0/24, et
ainsi de suite (voir la numrotation des paquets la Figure 15.2).
Certains protocoles de routage pour IP, en particulier IGRP (Interior Gateway Routing Protocol) et
EIGRP (Enhanced IGRP), peuvent inclure des chemins de cots ingaux dans leur table de routage.
Chapitre 15 Architecture de commutation de paquets 541
Dans ce cas, lalgorithme de partage du trafic fonctionne un peu diffremment. Si un des liens de
lexemple prcdent changeait de telle sorte que la quantit de bande passante doublait sur un des
deux chemins, la rpartition de charge serait modifie (voir Figure 15.3).
paquets 3, 6
Examinez les comptes de parts de trafic dans cette sortie de la commande show ip route. Le
chemin de cot le plus faible qui passe par 10.1.3.1 possde un compte de 1 ; celui de cot le plus
lev qui passe par 10.1.2.1 prsente un compte de 2. A prsent, pour chaque paquet commut sur le
chemin de cot le plus lev, deux paquets seront commuts sur celui de cot le plus faible, tel que
signifi par la numrotation des paquets la Figure 15.3.
NOTE
Bien que le partage de charge par paquet soit trs efficace pour quilibrer la charge sur plusieurs liaisons,
il prsente un inconvnient de taille, savoir que les paquets peuvent arriver dans le dsordre sur leur desti-
nation. Le traitement des paquets dsordonns peut considrablement dgrader les performances des
stations finales. Ce risque est dautant plus important dans le cas dune grande variation de latence entre
les routes disponibles.
du processeur, ainsi que sur la latence de routage (cest--dire le dlai coul entre larrive dun
paquet sur le routeur et son dpart).
Un autre facteur important qui affecte les performances de la commutation par processus est le
temps de transfert des donnes en mmoire. Sur certaines plates-formes, les paquets reus doivent
tre copis depuis la mmoire dentre/sortie vers une autre mmoire, avant de pouvoir tre
commuts. Une fois le processus de routage termin, ils doivent tre recopis en mmoire dentre/
sortie, en vue de leur transmission. Ces oprations de copie de donnes en mmoire sont coteuses
en ressources processeur, et peuvent par consquent affecter les performances de cette mthode de
commutation sur les plates-formes concernes.
Pour que le systme IOS prenne sa place dans le monde des rseaux routs en constante volution,
une mthode de commutation globalement plus efficace tait ncessaire. Les premiers dveloppeurs
IOS lont rapidement mise en uvre. Pour mieux comprendre la solution propose, examinons les
aspects de la commutation par processus qui doivent faire lobjet dune optimisation.
Pour reprendre lexemple prcdent de commutation par processus IP, le processus ip_input
requiert trois lments dinformation essentiels pour commuter un paquet :
m Accessibilit. Cette destination est-elle accessible ? Si oui, quelle est ladresse de rseau IP du
prochain saut vers la destination ? Cette information se trouve dans la table de routage,
galement appele table de transmission.
m Interface. Sur quelle interface ce paquet devrait-il tre transmis afin datteindre cette destina-
tion ? Cette information est contenue dans la table de routage.
m En-tte de couche MAC. Quel en-tte MAC doit tre plac dans ce paquet pour adresser correc-
tement le prochain saut ? Les donnes den-tte MAC proviennent de la table ARP pour IP, ou
dautres tables de correspondances, telle la table Frame Relay.
Etant donn que chaque paquet entrant peut tre diffrent, le processus ip_input doit examiner ces
lments dinformation essentiels chaque fois quil commute un paquet. Il doit rechercher dans une
table de routage parfois trs volumineuse les donnes daccessibilit et dinterface, puis examiner
une autre table, qui peut elle aussi tre trs volumineuse, afin dy trouver les donnes den-tte
MAC. Une amlioration consquente serait de permettre au processus ip_input de "mmoriser" le
rsultat des recherches quil effectue pour certaines destinations. Par exemple, il pourrait maintenir
une table plus rduite de combinaisons accessibilit/interface/MAC pour les destinations les plus
frquentes, ce qui rduirait considrablement le temps de recherche pour la plupart des paquets
entrants. De plus, tant donn que la recherche est la tche la plus intensive, une table plus petite
acclrerait suffisamment son excution, de faon que lopration de commutation complte puisse
tre ralise par le programme dinterruption qui reoit le paquet (liminant ainsi le besoin de
copier les donnes en mmoire, do une conomie supplmentaire de temps). Par consquent, pour
permettre au systme IOS de maintenir une table de recherche rduite, et obtenir ainsi une amlio-
ration des performances, la solution propose a t lutilisation dun cache rapide (Fast Cache).
Chapitre 15 Architecture de commutation de paquets 543
Figure 15.4
ip_input
Le chemin de commutation rapide.
processeur
6
Cache de routes
4
2
mmoire E/S
1 5
processeur d'interface processeur d'interface
Mdia de Mdia de
rseau rseau
Examinons de nouveau la mthode de commutation par processus, avec cette fois lintroduction du
cache rapide. Linterface physique commence donc par dtecter la prsence dun paquet sur le
mdia. Elle le reoit, puis le transfre en mmoire dentre/sortie (tape 1 de la Figure 15.4).
544 Partie II Etudes de cas
A ltape 2, linterface physique interrompt le processeur central afin de lui signaler quun paquet
reu se trouve en mmoire dentre/sortie, en attente de traitement. Le programme dinterruption du
systme IOS examine les informations den-tte du paquet, et dtermine quil sagit dun paquet IP.
A prsent, au lieu de placer le paquet dans la file dentre du processus ip_input, comme prc-
demment, le programme dinterruption consulte directement le cache rapide, afin de vrifier si des
informations dinterface sortante et den-tte MAC relatives cette destination y ont t consignes.
Sil trouve dans le cache une entre correspondante, il lit les informations den-tte MAC quelle
contient, puis les crit dans le paquet. Cette entre lui indique galement un pointeur vers linterface
de sortie approprie. Ltape 3 de la Figure 15.4 reprsente la lecture en cache et lopration dcri-
ture des donnes MAC.
Le processeur central (toujours dans le cadre de la mme interruption) signale linterface physique
de sortie quun paquet plac en mmoire dentre/sortie est prt tre envoy. Il met fin linterrup-
tion, afin de permettre dautres processus de poursuivre leur excution (tape 4 de la Figure 15.4).
A ltape 5, linterface retire le paquet de la mmoire dentre/sortie, puis le transmet. Elle inter-
rompt ensuite le processeur central pour mettre jour ses compteurs, et librer lespace mmoire
occup prcdemment par le paquet (tape 6 de la Figure 15.4).
Lexemple dcrit ici illustre le fonctionnement de la commutation rapide. Notez que le processus
ip_input nest jamais impliqu dans la commutation dun paquet. En fait, aucun processus planifi
nest impliqu dans la commutation rapide dun paquet, ds lors quil existe en cache une entre
correspondante. Grce cette fonctionnalit de cache rapide, le systme IOS peut maintenant
excuter une opration complte de commutation de paquets dans le laps de temps trs court dune
interruption. La mise en cache a permis au systme IOS de sparer la tche consommatrice en
ressources qui consiste pendre une dcision de routage de la tche moins coteuse qui
consiste transmettre un paquet. La commutation rapide a donc introduit le concept "router une
fois, transmettre plusieurs fois".
Une remarque importante doit tre faite ici. Comme vous avez pu le constater, les entres du cache
rapide sont gnres au fur et mesure que les paquets sont commuts par processus. Par cons-
quent, tant donn que cest lopration de commutation par processus qui cre les entres en
cache, le premier paquet envoy vers une destination donne est toujours commut par processus,
mme lorsque la commutation rapide est active. Une fois lentre enregistre dans le cache, les
paquets ultrieurs vers cette mme destination peuvent tre traits par commutation rapide.
De plus, certaines conditions sont ncessaires pour permettre un remplissage efficace du cache
rapide, au moyen de la commutation par processus. Notamment, le rseau doit tre globalement
stable, avec peu de changements de routes, et le trafic doit plutt circuler en direction dun sous-
ensemble particulier de destinations. Dans certains environnements de rseau, telle lpine dorsale
de lInternet, ces conditions ne sont pas prsentes. Les conditions de rseau existantes peuvent alors
induire un trs faible taux de correspondance des entres en cache, ce qui entrane un grand nombre
de paquets commuts par processus. Dans dautres cas, par exemple lorsque le cache nest pas assez
grand pour contenir toutes les entres ncessaires, les conditions de rseau peuvent provoquer le
remplacement systmatique des entres les plus anciennes par celles nouvellement cres. De tels
environnement seront traits plus loin dans ce chapitre.
Chapitre 15 Architecture de commutation de paquets 545
Daprs ce rsultat, on peut voir que le routeur conserve des informations sur le prfixe de destina-
tion, la longueur du prfixe, linterface de sortie, ladresse IP de prochain saut et len-tte MAC.
Toutes les donnes ncessaires la commutation dun paquet vers une destination spcifique sont
contenues dans cette entre.
Le cache rapide possde une autre caractristique, qui napparat pas de faon vidente dans cette
sortie. A linverse des tables principales, partir desquelles les entres du cache sont gnres, et
qui ne sont finalement rien de plus que de longues listes, le cache est implment au moyen dune
structure de donnes spciale, qui autorise lextraction rapide de nimporte quel membre. Avec les
tables principales, le temps de recherche augmente proportionnellement leur taille. Grce sa
structure, le cache rapide autorise un temps de recherche minimal qui, de plus, demeure relative-
ment constant, indpendamment du nombre total dentres.
Table de hachage
Le cache rapide IP a t initialement implment sous forme dune structure de donnes, appele
table de hachage (voir Figure 15.5).
Figure 15.5
10.1.11.0 172.16.188.0 192.168.104.0 10.89.83.0
Structure du cache rapide.
10.89.54.0
10.1.244.0 172.16.67
Prfixes IP
En-ttes MAC
546 Partie II Etudes de cas
Dans la table de hachage, chaque prfixe IP pointe vers un emplacement particulier de la table. Une
entre particulire peut tre trouve en excutant des oprations boolennes (avec OU exclusif sur
les 16 bits de poids le plus faible et les 16 bits de poids le plus fort de ladresse IP de 32 bits recher-
che). Le rsultat de ce calcul pointe vers lemplacement de la table de hachage souhait, appel
compartiment de hachage (hash bucket). Chaque compartiment de hachage contient une entre de
cache, dont un en-tte MAC prcalcul pour le prochain saut.
Une opration de hachage ne produit pas toujours un hachage unique pour chaque adresse IP. Une
situation dans laquelle plusieurs adresses IP pointent vers le mme compartiment de hachage est
appele collision. Lorsquune collision survient, le systme IOS regroupe les entres de cache qui
font lobjet dune collision en une liste place dans le compartiment de hachage, avec un maximum
de six entres. De cette manire, aucune recherche portant sur plus de six entres dans le cache
nest ncessaire pour trouver une correspondance particulire.
Dans la version 10.2 de Cisco IOS, la table de hachage a t remplace par une structure de donnes,
appele arbre binaire (radix tree), cest--dire deux voies. Dans cette implmentation, les en-ttes
MAC sont toujours stocks dans un cache.
Arbre binaire
A linstar de la table de hachage, larbre binaire est une structure de donnes spciale, utilise pour
amliorer le temps dextraction de donnes membres.
Larbre binaire tire son nom de la faon dont les donnes sont stockes, cest--dire en fonction de
leur valeur binaire. Dans la pratique, cela signifie que les informations sont stockes dans une struc-
ture arborescente fonde sur la reprsentation binaire de la cl (champ unique, qui identifie de faon
unique chaque ensemble de donnes). Par exemple, examinez les chiffres suivants :
m 10 (est gal 1010 en notation binaire) ;
m 7 (est gal 0111 en notation binaire) ;
m 2 (est gal 0010 en notation binaire).
Vous pourriez stocker ces chiffres dans une structure darbre binaire (voir Figure 15.6).
Figure 15.6
Un arbre binaire. Racine
0 1
0 1 10
1010
0 2 1 7
0010 0111
Chapitre 15 Architecture de commutation de paquets 547
Les branches de larbre sont bases sur la reprsentation binaire de chaque chiffre, nimporte quel
niveau. Par exemple, pour stocker ou trouver le chiffre 10, vous commencez votre recherche par la
racine, en examinant le premier bit contenu dans 1010, qui est 1. Le nombre 1 signifie que vous
devez choisir la branche de droite, ce qui vous conduit un nud de larbre. Etant donn que ce
nud ne possde pas denfants, vous comparez le nombre quil contient avec celui que vous recher-
chez, en vue de trouver une correspondance. Dans ce cas, il y a correspondance.
Autre exemple. Pour trouver ou stocker le nombre 7, vous dbutez galement par la racine. Etant
donn que le premier bit de la reprsentation binaire de ce nombre est 0, vous devez choisir la bran-
che gauche, qui conduit un nud avec enfants. Vous devez donc de nouveau choisir quelle branche
emprunter. Pour cela, vous examinez le second bit du nombre 7 qui est 1, ce qui vous conduit vers la
brande droite. Comme prcdemment, puisque ce nud ne possde pas denfants, vous comparez le
nombre quil contient avec celui que vous recherchez, en vue de trouver une correspondance.
Par consquent, en sappuyant sur lextrait de table de routage IP suivant, qui provient dun routeur
Cisco, on pourrait dterminer les longueurs de prfixe quil utilise pour diffrentes destinations :
router#show ip route
....
O 172.31.0.0 [110/11] via 172.25.10.210, 2d01h, Ethernet0
[110/11] via 172.25.10.215, 2d01h, Ethernet0
172.16.0.0/16 is variably subnetted, 2 subnets, 2 masks
D EX 172.16.180.0/25 [170/281600] via 172.25.10.210, 3d20h, Ethernet0
D EX 172.16.180.24/32 [170/281600] via 172.25.10.210, 3d20h, Ethernet0
O 10.0.0.0 [110/11] via 172.25.10.210, 2d01h, Ethernet0
O 192.168.0.0/16 [110/11] via 172.25.10.210, 2d18h, Ethernet0
172.25.0.0/24 is subnetted, 1 subnet
C 172.25.10.0 [0/0] via connected, Ethernet0
Voici quelque exemples :
m Chaque destination sur le rseau 172.31.0.0/16 sera place en cache, avec une longueur de prfixe
de 32 bits, car il existe deux chemins de mme cot vers ce rseau, prsent dans la table de
routage.
m Chaque destination sur le rseau 172.16.0.0/16 sera place en cache, avec une longueur de
prfixe de 32 bits, car il existe une route dhte dans cette plage.
m Le rseau 10.0.0.0/8 recevra une entre en cache, car il sagit dune route vers un rseau princi-
pal qui ne comprend pas de sous-rseau, de route dhte, de chemins de mme cot, etc.
m Le rseau 192.168.0.0/16 recevra une entre en cache, car il sagit dune route de superrseau
sans sous-rseau.
m Toutes les destinations sur le rseau 172.25.10.0/24 seront places en cache, avec une longueur
de prfixe de 32 bits, car ce rseau est directement connect au routeur.
Routage rcursif
Etant donn que le routage rcursif est un aspect trs important, li au fonctionnement dun cache
de routes, il peut tre utile den examiner un exemple. La Figure 15.7 illustre le phnomne de
rcursivit sur un rseau.
Chapitre 15 Architecture de commutation de paquets 549
A B C .38
10.1.2.2/24 via 10.1.1.2
A la Figure 15.7, le routeur A doit rechercher une route vers lhte 10.1.3.38, et dterminer quels
prochains saut et en-tte MAC utiliser. Lorsquil examine sa table de routage, il dcouvre que cette
destination est accessible via 10.1.2.2.
Etant donn que cette destination nest pas directement connecte au routeur A, il doit de nouveau
consulter sa table de routage afin de dterminer comment atteindre le prochain saut. Il recherche
donc une route vers 10.1.2.2, et constate quil est accessible via 10.1.1.2, qui lui est directement
connect.
Le routeur A envoie donc 10.1.1.2 tout le trafic destin 10.3.3.38, afin quil continue de lacheminer.
Lorsque la commutation rapide est utilise, le problme de rcursivit est rsolu au moment de la
cration dune entre en cache plutt que lors de la commutation dun paquet. Cest--dire que le
cache de routes contient len-tte MAC et linterface de sortie qui correspondent au prochain saut
pour chaque destination. Les entres en cache rapide sont donc indpendantes de celles de la table
de routage et du cache ARP.
Puisque la rcursivit est rsolue lors de la cration dune entre en cache, il nexiste aucune corr-
lation directe entre le cache rapide, dune part, et la table de routage et le cache ARP, de lautre. Par
consquent, il faut trouver un moyen de maintenir la synchronisation du cache avec les donnes des
tables originales. La meilleure solution consiste invalider, ou supprimer, les entres de cache qui
correspondent des donnes modifies dans les tables principales.
Des entres peuvent tre supprimes du cache rapide pour les raisons suivantes :
m Lentre de cache ARP pour le prochain saut est modifie, supprime ou prime.
m Lentre de table de routage pour le prfixe est modifie ou supprime.
m Lentre de table de routage pour le prochain saut vers cette destination est modifie.
.220 .42
A B
10.1.2.0/24
.38 10.1.3.0/24
Clients Serveur
A la Figure 15.8, plusieurs stations de travail sont connectes un segment de rseau reli au
routeur A. Chacune delles communique avec le mme serveur, situ sur un autre segment de
rseau, reli au routeur B. Le routeur A dispose de deux chemins parallles vers le routeur B. En
supposant quils soient de mme cot, il serait souhaitable de pouvoir les exploiter tous les deux,
pour y quilibrer le trafic. Voyons donc ce qui se produirait.
En partant dun cache rapide vide, le routeur A reoit un paquet de la part du client 10.1.1.220,
destin au serveur 10.1.4.42. Comme nous lavons vu plus haut, ce premier paquet est commut par
processus, et le routeur A cre une entre dans le cache rapide pour la destination 10.1.4.42. Etant
donn quil existe deux chemins de mme cot vers cette destination (via le routeur B), le routeur A
doit choisir lun des deux chemins lorsquil cre lentre dans le cache. Il utilise pour cela lalgo-
rithme de rpartition de charge par paquet, dcrit prcdemment, afin de prendre une dcision.
Lorsque le routeur A reoit un autre paquet destin au serveur 10.1.4.42, il est trait par commuta-
tion rapide, car il existe dj une entre dans le cache rapide pour cette destination. Etant donn que
le pointeur vers linterface de transmission est intgr au cache, le routeur A commute ce paquet sur le
mme chemin que le premier. Il continuera ainsi envoyer tous les paquets destins au serveur
10.1.4.42 sur ce chemin, jusqu ce que lentre en cache soit prime ou invalide. Si cette entre
est supprime, lautre chemin pourra ensuite tre choisi, mais les paquets seront de nouveau
envoys vers le serveur 10.1.4.42 uniquement sur ce chemin.
Sil existait plusieurs serveurs sur le rseau 10.1.4.0/24, le mme processus se reproduirait pour
chacun deux. Cest--dire que, mme si le chemin plac en cache tait diffrent pour chaque
Chapitre 15 Architecture de commutation de paquets 551
serveur, les paquets de clients adresss lun dentre eux seraient nanmoins achemins unique-
ment sur le chemin qui lui est associ.
Imaginons maintenant que le trafic circule dans lautre sens. Le routeur B place en cache les desti-
nations sur le rseau de clients de la mme manire que le routeur A. Dans ce cas, le routeur B cre
trois entres, les deux premires associes un des deux chemins, et la troisime associe lautre
chemin. Il se peut que le routeur B dcide denvoyer du trafic pour deux clients sur le chemin qui
na pas t utilis par le routeur A, ce qui entranerait une distribution efficace de la charge de trafic
sur les chemins parallles. Mais, le routeur B peut galement associer deux entres de cache au
mme chemin que celui choisi par le routeur A pour envoyer le trafic vers le serveur, ce qui entrane
cette fois une utilisation non quilibre des chemins.
Cette absence de stratgie dquilibrage de charge dterministe reprsente une source de difficults
pour de nombreux concepteurs de rseaux. Cest pourquoi de nouvelles mthodes de commutation
ont t dveloppes, en vue de supporter des stratgies dterministes qui rsolvent ce problme,
parmi lesquelles on trouve la transmission expresse Cisco ou CEF (Cisco Express Forwarding),
dcrite plus loin dans ce chapitre.
Commutation optimale
La commutation optimale met en uvre une commutation rapide, avec des optimisations relatives
la gestion de cache. A linstar de la commutation rapide, elle commute un paquet au cours dune
seule interruption. La principale diffrence rside au niveau de laccs au cache de routes. De plus,
le programme de commutation optimale a t conu de faon tirer parti darchitectures de proces-
seur spcifiques, tandis que le code pour la commutation rapide est gnrique, et na pas t opti-
mis pour un processeur particulier. A noter galement que la commutation optimale est disponible
uniquement pour le protocole IP.
Plus haut dans ce chapitre, vous avez appris que laccs au cache rapide se faisait par linterm-
diaire dune table de hachage, avec les premires versions du systme Cisco IOS, puis via un arbre
binaire, partir de la version 10.2. Lorsque la commutation optimale est utilise, laccs au cache
se fait via un arbre multivoie (256 voies), appel mtrie (multiway trie). La Figure 15.9 illustre un
arbre mtrie.
Les informations daccessibilit sont stockes sous forme dun ensemble de nuds qui compren-
nent chacun 256 enfants. Les en-ttes MAC prcalculs sont stocks au niveau des nuds. Bien que
cette structure autorise des recherches plus rapides que larbre binaire, elle souffre nanmoins des
limitations du cache rapide.
La commutation optimale partage les caractristiques suivantes avec la commutation rapide :
m Les entres de cache sont cres lorsque le premier paquet est commut par processus vers une
destination.
m Les entres de cache sont invalides au fur et mesure que la table de routage ou dautres infor-
mations en cache sont modifies.
m Lquilibrage de charge est dtermin en fonction de ladresse de destination.
m Les mme rgles sont appliques afin de dterminer quelle entre sera cre pour une destination
donne.
552 Partie II Etudes de cas
3.0.0.0
256 enfants
10.1.0.0 10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0 10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1 10.10.10.0
10.10.10.2
10.10.10.3
256 enfants
10.10.10.4
En-tte MAC
Table CEF
La table CEF est une version allge de la table de routage, implmente sous forme dun arbre
mtrie 256 voies, afin de permettre des performances dextraction optimales. Sa taille, ainsi que
dautres informations dordre gnral, peuvent tre affiches en excutant la commande show ip
ced summary :
router#show ip cef summary
IP Distributed CEF with switching (Table Version 96)
33 routes, 0 reresolve, 0 unresolved (0 old, 0 new)
33 leaves, 31 nodes, 36256 bytes, 96 inserts, 63 invalidations
1 load sharing elements, 328 bytes, 2 references
1 CEF resets, 8 revisions of existing leaves
refcounts: 8226 leaf, 8192 node
Dans une structure darbre mtrie 256 voies, chaque nud peut comprendre jusqu 256 enfants.
Dans une table CEF, chaque enfant (ou lien) est utilis pour reprsenter une adresse diffrente dans
un octet dune adresse IP (voir Figure 15.10).
Par exemple, avec ladresse IP 10.10.10.4, les donnes seraient localises en extrayant le dixime enfant
partir de la racine, puis le dixime enfant partir de ce nud, puis de nouveau le dixime enfant
partir de ce nud, et, enfin, le quatrime enfant partir du dernier nud, ou nud final. Celui-ci
contient un pointeur vers une entre dans une autre table, appele table de voisinage, qui contient
len-tte MAC et dautres informations ncessaires la commutation du paquet.
NOTE
Un arbre mtree stocke les donnes dans la structure arborescente elle-mme. Par exemple, lorsque cette
structure est employe avec la commutation optimale, les donnes den-tte MAC utilises afin de trans-
mettre les paquets y sont donc stockes directement. Dans un arbre mtrie, la structure est uniquement utilise
pour localiser les donnes recherches, qui sont situes ailleurs.
Table de voisinage
La table dinformations de voisinage (adjacency table) contient les donnes den-tte MAC qui
permettent de se connecter directement aux prochains sauts. Ces donnes proviennent du cache
ARP, de la table Frame Relay, ainsi que dautres tables de ce type. La commande show adjacency
permet dafficher son contenu, par exemple :
router#show adjacency
Protocol Interface Address
IP POS0/0/0 point2point(15)
IP Serial1/0/0 point2point(5)
IP FastEthernet6/0/0 17.1.1.2(16)
IP Ethernet4/0 10.105.1.1(9)
IP Ethernet4/0 10.105.1.179(5)
Router#
Chapitre 15 Architecture de commutation de paquets 555
Figure 15.10
Table CEF
Structure mtrie CEF et
table de voisinage. 1.0.0.0 racine
2.0.0.0
3.0.0.0
256 enfants
10.1.0.0 10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0 10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1 10.10.10.0
10.10.10.2
10.10.10.3
256 enfants
10.10.10.4
00e0.1ece.557a
0000.0c93.1a32
Table de voisinage
m Incomplet. Len-tte MAC pour cette destination est incomplte, ce qui signifie habituellement
que lentre correspondante dans le cache ARP est galement incomplte ou incorrecte.
m Interrogation. Il sagit dune destination directement connecte, mais pour laquelle il nexiste
pas den-tte MAC prcalcul. Une requte ARP doit tre envoye afin de permettre la constitu-
tion de cet en-tte.
3.0.0.0
256 enfants
10.1.0.0 10.0.0.0
10.2.0.0
10.3.0.0
256 enfants
10.10.1.0 10.10.0.0
10.10.2.0
10.10.3.0
256 enfants
10.10.10.1 10.10.10.0
10.10.10.2
Lorsque le processus de commutation examine la table de partage de charge (plutt que la table
de voisinage), la suite dune recherche dans la table CEF, il se base sur les adresses source et de
destination pour dcider des entres de partage de charge utiliser. Chacune de ces entres pointe
vers une entre de la table de voisinage qui contient len-tte MAC et dautres informations
ncessaires la transmission du paquet.
558 Partie II Etudes de cas
Rvision de CEF
Pour mieux comprendre la relation qui existe entre les structures de commutation CEF, examinez la
Figure 15.12.
Figure 15.12
192.168.30.0/24
A B
Tables CEF. 10.1.1.0/24
10.1.2.0/24
10.1.3.0/24
router#show adjacency
Protocol Interface Address
....
IP Serial0 point2point(33)
IP Serial1 point2point(32)
IP Serial2 Point2point(31)
....
Chapitre 15 Architecture de commutation de paquets 559
Dans cette figure, le routeur A dispose de trois tables CEF, utilises pour commuter les paquets vers
le rseau 192.168.30.0/24, savoir la table CEF, la table de voisinage et la table de partage de
charge. En revanche, pour commuter les paquets vers le rseau 172.16.30.0/24, seules deux tables
sont ncessaires : la table CEF et celle de voisinage.
Rsum
Les routeurs Cisco commutent les paquets sur un chemin choisi parmi plusieurs. Les caractristiques
dun chemin de commutation diffrent selon quun cache est utilis ou non, selon le moyen daccs
ce cache et sa constitution, et selon le contexte de commutation (processus ou interruption) :
m La commutation par processus ne place aucune information en cache, et commute les paquets
dans le contexte dun processus.
m La commutation rapide place en cache dans une table de hachage ou un arbre binaire les
informations daccessibilit ainsi que les en-ttes MAC ncessaires pour acheminer les paquets,
et les commute dans le contexte dune interruption.
m La commutation CEF place les informations daccessibilit dans une structure mtrie, et les en-
ttes MAC ncessaires pour acheminer les paquets dans une table de voisinage. Les paquets sont
commuts dans le contexte dune interruption.
Le Tableau 15.1 rsume les caractristiques de ces mthodes de commutation.
Cette tude de cas traite des problmes dintgration de rseaux EIGRP (Enhanced Interior
Gateway Routing Protocol) avec des rseaux OSPF (Open Shortest Path First). Cisco supporte ces
deux protocoles et offre un moyen dchanger des informations de routage entre des rseaux
EIGRP et OSPF. Ces deux protocoles sans classe sont capables de grer les masques de sous-rseau
de longueur variable (VLSM, Variable-Length Subnet Mask) et la synthse de routes. Cette tude de
cas donne des exemples de redistribution dinformations de routage entre des rseaux implmentant
ces protocoles et aborde les sujets suivants :
m configuration de la redistribution mutuelle entre EIGRP et OSPF ;
m vrification de la redistribution de routes ;
m ajout dune route dans une liste de redistribution.
car il assure la fonction de routeur intersystmes autonomes (ASBR, Autonomous System Border
Router) entre ces deux nuages. Le routeur C est un routeur interzones (ABR, Area Border Router)
situ sur le nuage OSPF qui joue galement le rle de routeur ASBR pour le rseau externe 170.10.0.0.
170.10.0.0
Dans la Figure 16.1, il nexiste pas de routeur secondaire ou redondant reliant directement les
nuages EIGRP et OSPF. Pourtant, un rseau traditionnel offre souvent des chemins parallles ou de
secours, introduisant dailleurs des risques de boucles de rinjection de routes. Afin dempcher les
boucles de routage potentielles, des cartes de routage et des listes daccs peuvent tre utilises
pour configurer les routes qui doivent tre annonces et acceptes par chaque routeur. A laide des
commandes suivantes, les routes OSPF sont redistribues dans EIGRP :
!
router eigrp 100
default-metric 10000 1000 255 1 1500
network 160.10.0.0
redistribute ospf 109 route-map OSPFtoEIGRP
!
route-map OSPFtoEIGRP permit 10
match ip address 11
!
access-list 11 permit 130.10.0.0 0.0.255.255
!
Utilisez default-metric pour dfinir les mtriques dune route redistribue dans les mises jour
EIGRP. Toutes les routes redistribues dans EIGRP possdent par dfaut les mtriques suivantes :
default-metric bande-passante dlai fiabilit charge mtu
Le Tableau 16.1 prsente les plages de valeurs pour chaque paramtre de cette commande.
Dans la configuration du routeur B, la liste daccs 11 autorise la redistribution du rseau
130.10.0.0 dans EIGRP. Par contre, le rseau OSPF externe 170.10.0.0 nest pas redistribu dans
EIGRP. Ce chapitre dcrit plus loin comment ajouter ce rseau dans la liste de redistribution.
Chapitre 16 Redistribution EIGRP et OSPF 563
!
access-list 10 permit 160.10.0.0 0.0.255.255
access-list 10 deny any
access-list 11 permit 130.10.0.0 0.0.255.255
access-list 11 deny any
!
route-map OSPFtoEIGRP permit 10
match ip address 11
!
route-map EIGRPtoOSPF permit 10
match ip address 10
!
NOTE
Pour redistribuer des routes dans OSPF, utilisez le mot cl subnets. Il indique OSPF de redistribuer toutes
les routes de sous-rseaux. En son absence, seuls les rseaux non subdiviss sont redistribus par OSPF.
La configuration du routeur C indique quil sagit dun routeur ABR OSPF pour les zones 0 et 1.
area range est utilise pour rsumer les sous-rseaux dune zone particulire sur un routeur ABR.
area 1 range 130.10.62.0 255.255.255.0 synthtise les 16 sous-rseaux suivants (en supposant que
le masque 255.255.255.240 soit utilis sur le rseau 130.10.62.0) en une seule entre de route. Le
rseau 130.10.63.0 est galement ramen 24 bits avec area 1 range 130.10.63.0 255.255.255.0.
Si le routeur C avait dautres routeurs voisins OSPF avec ces sous-rseaux, ils seraient synthtiss
au niveau de ce routeur avant que la route ne soit transmise vers la zone 0.
Le routeur C est galement un routeur ASBR OSPF pour le rseau 170.10.0.0. A laide de redistri-
bute static metric 1000, la route statique est enregistre dans la base de donnes OSPF en tant que
route externe de type 2 avec une mtrique (cot) de 1000.
Figure 16.2
Rseau 170.10.0.0 EIGRP OSPF
Routeur B
Route externe
EIGRP.
Routeur A Routeur C
Rsum
Sachant quil est possible de combiner lutilisation de OSPF et de EIGRP, il est important de sen
tenir aux mthodes dcrites dans ce chapitre pour pouvoir exploiter les fonctionnalits de ces deux
protocoles sur un interrseau. Configurez des routeurs ASBR supportant la fois EIGRP et OSPF et
redistribuez les routes EIGRP dans OSPF, et inversement. Dans OSPF, utilisez summary pour rsu-
mer davantage des rseaux redistribus. Utilisez des cartes de routages et des listes daccs pour
contrler la redistribution des rseaux. Vous pouvez galement crer des zones OSPF au moyen de
routeurs ABR assurant la synthse de routes.
17
Configuration de EIGRP
sur des rseaux Novell
et AppleTalk
Outre IP, EIGRP (Enhanced IGRP) supporte deux autres protocoles de niveau rseau, AppleTalk et
Novell IPX (Internetwork Packet Exchange). Chacun deux prsente des fonctionnalits spcifiques
valeur ajoute. EIGRP pour Novell IPX supporte les mises jour SAP (Service Advertisement
Protocol) limine la limitation de mtrique de 15 sauts impose par RIP (Routing Information
Protocol), et garantit lutilisation dun chemin optimal. Un routeur qui excute EIGRP pour Apple-
Talk supporte les mises jour de routage partielles et assure la rpartition de charge ainsi que lutili-
sation dun chemin optimal.
Deux tudes de cas prsentent les avantages et les aspects relatifs lintgration de EIGRP sur les
types de rseaux suivants :
m Novell IPX. Le rseau IPX existant excute RIP et SAP.
m AppleTalk. Le rseau AppleTalk existant excute le protocole RTMP (Routing Table Mainte-
nance Protocol).
Les aspects essentiels lis cette intgration sur un rseau IPX excutant RIP et SAP sont les suivants :
m slection de route ;
m redistribution et gestion de mtriques ;
m redistribution de RIP IPX vers EIGRP, et inversement ;
m rduction du trafic SAP.
Rseau 2ad
Routeur D
Routeur C
Les commandes de configuration qui activent le routage IPX sur le routeur A sont les suivantes :
ipx routing
interface ethernet 0
ipx network 2ad
interface ethernet 1
ipx network 3bc
NOTE
A partir de la version 9.21 de System Software, la commande servant activer le routage Novell IPX est ipx
et non plus novell.
La premire caractristique de ce protocole est le support des mises jour SAP incrmentielles. Les
routeurs RIP IPX envoient des mises jour RIP et SAP compltes toutes les 60 secondes, qui
peuvent consommer une quantit considrable de bande passante. EIGRP pour IPX envoie des
mises jour uniquement lorsque des changements se produisent sur le rseau, et ne transmet que les
informations modifies.
La deuxime caractristique est quil permet de construire de grands rseaux. Les rseaux RIP IPX sont
limits une tendue de 15 sauts (hops), alors que les rseaux EIGRP peuvent atteindre 224 sauts.
La troisime caractristique est la slection du chemin optimal. La mtrique utilise par RIP pour la
dtermination de route sappuie sur le nombre de tics (ticks) (sachant quun tic quivaut 1/18e de
seconde). Lorsque deux routes prsentent le mme nombre de tics, le compte de sauts est utilis
pour les dpartager et cest la route possdant le compte de sauts le plus faible qui est choisie. A la
place des mtriques de saut et de tic, EIGRP pour IPX utilise une mtrique combine base sur le
dlai et la bande passante. La Figure 17.2 illustre le fonctionnement de la slection du chemin opti-
mal avec EIGRP pour IPX.
Routeur B Routeur C
Routeur D
Rseau 4
Les interfaces Ethernet et FDDI possdent une valeur de tic de 1. Lorsque le routeur A est configur
pour Novell RIP, il choisit la connexion Ethernet via le rseau 4 pour atteindre le rseau 5, car le
routeur D ne se situe qu un saut de lui. Toutefois, le chemin le plus rapide pour atteindre le rseau 5
comprend deux sauts, via les anneaux FDDI. Avec EIGRP pour IPX, le routeur A choisit automati-
quement le chemin optimal qui passe ici par les deux routeurs B et C pour atteindre le rseau 5.
Pour ajouter EIGRP sur un rseau Novell RIP et SAP, configurez ce protocole sur les interfaces
dun routeur Cisco, qui est reli dautres routeurs Cisco excutant galement EIGRP, et configu-
rez RIP et SAP sur les interfaces connectes vers des htes et routeurs Novell ne supportant pas
EIGRP.
Dans la Figure 17.3, les routeurs E, F et G excutent EIGRP pour IPX. Le routeur E redistribue les
informations de route EIGRP vers le routeur D via le rseau AA.
574 Partie II Etudes de cas
Rseau BB
Serveur IPX
Routeur D
Routeur C
100
Rseau AA
Serveur IPX
E0
200
Routeur E
S0 S1
Routeur G Routeur F
E0
45
interface serial 0
ipx network 30
ipx router eigrp 10
network 30
network 45
Une partie de la sortie produite par show ipx route sur le routeur E indique que le rseau 45 a t
dcouvert par EIGRP (E), alors que le rseau BB la t via une mise jour RIP (R) :
R Net 3bc
R Net 2ad
C Net 20 (HDLC), is directly connected, 66 uses, Serial0
C Net 30 (HDLC), is directly connected, 73 uses, Serial1
E Net 45 [2195456/0] via 30.0000.0c00.c47e, age 0:01:23, 1 uses, Serial1
C Net AA (NOVELL-ETHER), is directly connected, 3 uses, Ethernet0
R Net BB [1/1] via AA.0000.0c03.8b25, 48 sec, 87 uses, Ethernet0
Une partie de la sortie produite par show ipx route sur le routeur F indique que les rseaux 20, AA
et BB ont t dcouverts par EIGRP (E) :
E Net 20 [2681856/0] via 30.0000.0c01.f0ed, age 0:02:57, 1 uses, Serial0
C Net 30 (HDLC), is directly connected, 47 uses, Serial0
C Net 45 (NOVELL-ETHER), is directly connected, 45 uses, Ethernet0
E Net AA [267008000/0] via 30.0000.0c01.f0ed, age 0:02:57, 1 uses, Serial0
E Net BB [268416000/2] via 30.0000.0c01.f0ed, age 0:02:57, 11 uses, Serial0
show ipx servers excute sur le routeur E indique que des informations de serveur ont t
recueillies via les mises jour SAP priodiques (P) :
Codes: S - Static, I - Incremental, P - Periodic, H - Holddown
5 Total IPX Servers
Table ordering is based on routing and server info
Type Name Net Address Port Route Hops Itf
P 4 Networkers 100.0000.0000.0001:0666 2/02 2 Et1
P 5 Chicago 100.0000.0000.0001:0234 2/02 2 Et1
P 7 Michigan 100.0000.0000.0001:0123 2/02 2 Et1
P 8 NetTest1 200.0000.0000.0001:0345 2/02 2 Et1
P 8 NetTest 200.0000.0000.0001:0456 2/02 2 Et1
show ipx servers excute sur le routeur F indique que des informations de serveur ont t
recueillies via les mises jour SAP incrmentielles (I) autorises avec EIGRP :
Codes: S - Static, I - Incremental, P - Periodic, H - Holddown
5 Total IPX Servers
Table ordering is based on routing and server info
Type Name Net Address Port Route Hops Itf
I 4 Networkers 100.0000.0000.0001:0666 268416000/03 3 Se0
I 5 Chicago 100.0000.0000.0001:0234 268416000/03 3 Se0
I 7 Michigan 100.0000.0000.0001:0123 268416000/03 3 Se0
I 8 NetTest1 200.0000.0000.0001:0345 268416000/03 3 Se0
I 8 NetTest 200.0000.0000.0001:0456 268416000/03 3 Se0
show ipx servers excute sur le routeur E montre que ltat des rseaux est passif (P) et que chaque
rseau fournit un successeur avec une distance possible (FD, Feasible Distance) via un voisin vers la
destination. Par exemple, pour le rseau 45, le voisin est situ ladresse 0000.0C00.C47E et la mtri-
que calcule/annonce pour ce voisin vers la destination est 2195456/281600 :
IPX EIGRP Topology Table for process 10
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 20, 1 successors, FD is 1
576 Partie II Etudes de cas
La sortie de show ipx eigrp topology excute sur le routeur F liste les informations suivantes :
IPX EIGRP Topology Table for process 10
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
r - Reply status
P 20, 1 successors, FD is 2681856
via 30.0000.0c01.f0ed (2681856/2169856), Serial0
P 30, 1 successors, FD is 1
via Connected, Serial0
P 45, 1 successors, FD is 1
via Connected, Ethernet0
P AA, 1 successors, FD is 267008000
via 30.0000.0c01.f0ed (267008000/266496000), Serial0
P BB, 1 successors, FD is 268416000
via 30.0000.0c01.f0ed (268416000/267904000), Serial0
Slection de route
Les routes EIGRP pour IPX sont automatiquement prioritaires par rapport aux routes RIP, et ce
indpendamment des mtriques, moins quune route RIP ne possde un compte de sauts infrieur
au compte de sauts externe spcifi dans la mise jour EIGRP (par exemple, un serveur annonant
son propre rseau interne).
Rseau 222
(Enhanced IGRP
Routeur A et RIP)
Rseau 501
Rseau 601
(Enhanced IGRP
Routeur C et RIP)
Rseau 333
Routeur D (RIP)
Rseau AAA
!
interface serial 0
ipx network 501
La mtrique EIGRP est cre en utilisant les tics RIP comme vecteur de dlai. Le compte de sauts
est incrment et stock comme mtrique externe. Le dlai externe est galement enregistr. Le
routeur B calcule la mtrique vers le rseau 100 en fonction des informations reues du routeur A et
la place dans sa table de routage. Dans ce cas, la valeur de tics pour le rseau 100 est de 8.
Le "2" aprs la barre oblique dans lentre de routage pour le rseau 100 est la mtrique externe. Ce
nombre naugmente pas lorsque la route est dans le systme autonome EIGRP. Le routeur C calcule
la mtrique vers le rseau 100 par lintermdiaire du routeur B, et la place dans sa table de routage.
Finalement, le routeur C redistribue ces informations dans RIP avec un compte de sauts de 2 (la
mtrique externe) et une valeur de tics drive de la valeur de tics originale de la route RIP (1), plus
le dlai EIGRP, via le systme autonome, converti en tics.
E0 S0 Frame relay S0 E0
Routeur A Routeur B
Rseau 200
Rseau
distant
Rseau
d'entreprise
La commande de configuration globale ipx routing active le routage IPX sur le routeur.
La commande de configuration dinterface ipx network active le routage IPX sur linterface Ether-
net 0 pour le rseau 100.
Pour linterface srie 0, la commande de configuration dinterface encapsulation frame-relay
tablit lencapsulation Frame Relay au moyen de la mthode dencapsulation Cisco, qui consiste en
un en-tte de 4 octets, avec 2 octets pour identifier le DLCI et 2 octets pour identifier le type de
paquet.
La commande de configuration globale interface serial tablit une sous-interface point--point
(0.1). Les sous-interfaces reprsentent des interfaces logiques associes une interface physique.
Lemploi de sous-interfaces permet au routeur A de recevoir plusieurs connexions simultanes sur
une seule interface Frame Relay.
La commande de configuration dinterface ipx network active le routage IPX sur la sous-interface
srie 0.1 pour le rseau 200.
Chapitre 17 Configuration de EIGRP sur des rseaux Novell et AppleTalk 581
La commande de configuration globale ipx routing active le routage IPX sur le routeur.
La commande de configuration dinterface ipx network active le routage IPX sur linterface Ether-
net 0 pour le rseau 300.
Sur linterface srie 0, la commande de configuration dinterface encapsulation frame-relay
tablit lencapsulation Frame Relay au moyen de la mthode dencapsulation Cisco, qui consiste en
un en-tte de 4 octets, avec 2 octets pour identifier le DLCI et 2 octets pour identifier le type de
paquet.
La commande de configuration dinterface ipx network active le routage IPX sur la sous-interface
srie 0.1 pour le rseau 200.
La commande de configuration dinterface ipx spa-incremental active la fonction de mises jour
SAP incrmentielles. Le mot cl eigrp active EIGRP et son mcanisme de transport, et dans ce cas
spcifie un numro de systme autonome de 90. Comme cette commande utilise le mot cl rsup-
only, le routeur envoie des mises jour SAP incrmentielles sur cette liaison.
La commande de configuration globale ipx router eigrp dmarre un processus EIGRP et lui assi-
gne le numro de systme autonome 90.
La commande de configuration de routeur ixp network active EIGRP pour le rseau 200.
582 Partie II Etudes de cas
NOTE
Labsence de la commande ipx router rip signifie que RIP IPX est toujours utilis pour le routage IPX, et
lemploi du mot cl rsup-only signifie que le routeur envoie des mises jour SAP incrmentielles sur la
liaison Frame Relay.
Rseau AppleTalk
Cette tude de cas illustre lintgration de EIGRP sur un rseau AppleTalk existant en deux temps :
la configuration dun rseau AppleTalk et lajout de EIGRP sur le rseau. Les aspects essentiels
considrer lors de cette intgration sont les suivants :
m slection de route ;
m gestion de mtriques ;
m redistribution de AppleTalk vers EIGRP, et inversement.
Routeur B Routeur C
Zone WAN
S1
126-126
Routeur G
S1 127-127
E1 S0 E1 Zone Networkers
Routeur F
125-125
Routeur A
AppleTalk
103-103
Routeur B Routeur C
104-104
584 Partie II Etudes de cas
Slection de route
Les routes EIGRP sont prioritaires par rapport aux routes du protocole RTMP (Routing Table Main-
tenance Protocol). Alors que la mtrique AppleTalk pour la dtermination de route se base unique-
ment sur le compte de sauts, EIGRP utilise une combinaison des mtriques configurables
suivantes : dlai, bande passante, fiabilit et charge.
Gestion de mtriques
La formule permettant de convertir des mtriques RTMP en mtriques EIGRP multiplie le compte de
sauts par 252 524 800. Il sagit dune constante base sur la bande passante associe une ligne srie
9,6 Kbit/s et incluant un facteur RTMP. Un saut RTMP distribu dans EIGRP apparat comme un
chemin lgrement moins performant quune liaison srie 9,6 Kbit/s en mode EIGRP natif. La
formule pour convertir EIGRP vers RTMP ajoute 1 la valeur de la mtrique externe EIGRP.
Chapitre 17 Configuration de EIGRP sur des rseaux Novell et AppleTalk 585
Redistribution
La redistribution entre AppleTalk et EIGRP est automatique par dfaut et implique la conversion de
la mtrique EIGRP en une mtrique de compte de sauts RTMP. En ralit, il ny a pas de conversion
proprement parler dune mtrique EIGRP compose en une mtrique RTMP. En effet, un compte
de sauts est transport dans une mtrique EIGRP combine mesure que la route EIGRP est propa-
ge sur le rseau. La valeur 1 est ajoute au compte de sauts, transporte dans les blocs de mtrique
EIGRP sur le rseau, puis place dans la mtrique de routage RTMP gnre.
Il ny a donc pas de conversion de mtrique EIGRP en mtrique RTMP, puisque le compte de sauts
que RTMP utilise pour mtrique est transport en mme temps que la mtrique EIGRP sur le
rseau. Cette remarque est vraie pour les routes recueillies par EIGRP, mais aussi pour celles qui
sont propages sur le rseau et qui taient, lorigine, drives dune route RTMP.
Rsum
Cette tude de cas a illustr lintgration de EIGRP sur des rseaux Novell et AppleTalk. Pour ajou-
ter EIGRP sur des rseaux IPX, il est capital de configurer RIP et SAP sur les interfaces connectes
aux htes ou routeurs Novell qui ne supportent pas EIGRP. Lors de lintgration de EIGRP sur des
rseaux AppleTalk, dsactivez RTMP sur les interfaces qui sont configures pour supporter EIGRP.
18
Conception, configuration
et dpannage de MPOA
Introduction
Ce chapitre traite des mthodes employes pour transfrer des protocoles existants vers ATM.
Des protocoles comme IP, IPX, SNA et autres sont depuis longtemps ports sur des mdias WAN
comme Frame Relay et SMDS. ATM autorise ces protocoles tre ports sur des environnements
de campus, ainsi que sur des connexions WAN. Afin dopter pour la solution qui convient pour
votre environnement, les aspects relatifs la conception doivent tre tudis attentivement. Habi-
tuellement, MPOA (Multiprotocole sur ATM) avec AAL5 (RFC 1483) est utilis sur les connexions
WAN et LANE sur les pines dorsales ATM de campus.
Ce chapitre couvre ces mthodes sparment en sappuyant sur des exemples de configuration. Les
aspects de conception spcifiques chacune sont galement dcrits. Nanmoins, il nentre pas dans
les dtails dimplmentation de ces solutions. La section "Considrations relatives la conception"
dcrit chaque mthode en mettant en vidence ce qui la distingue des autres, et les sections "Confi-
guration" et "Dpannage" reprennent ces considrations dans un contexte pratique.
Ce chapitre dbute par une analyse du RFC 1483 sur les circuits virtuels permanents (PVC, Perma-
nent Virtual Circuit) et les circuits virtuels commuts (SVC, Switched Virtual Circuit), en exposant
leurs avantages. Le RFC 1577 est galement dcrit, car il simplifie les difficults de fonctionnement
rencontres avec le RFC 1483. Toutefois, cette section sur le RFC 1577 naborde pas en dtail le
dploiement de protocoles de routage de niveau 3. Par consquent, pendant la lecture de ce chapitre,
tudiez les problmes lis au dploiement de protocoles de routage avec chacune de ces mthodes.
588 Partie II Etudes de cas
Le principal objectif de ce chapitre est de mettre en vidence les diffrences qui existent entre ces
solutions de dploiement de protocoles existants sur ATM et de dterminer dans quel contexte
chacune delle doit tre applique.
La troisime mthode de dploiement, appele mulation LAN (LANE, LAN Emulation), est princi-
palement exploite sur les rseaux dpine dorsale de campus. La section qui lui est consacre dbute
par une prsentation des aspects de conception LANE. Avant dimplmenter une solution LANE sur
une pine dorsale de campus, tudiez attentivement ces considrations afin de garantir lvolutivit
de lpine dorsale ainsi quun dpannage ais. La comprhension de la structure topologique et la
distribution des services LANE vers les diffrents composants sont des aspects essentiels. Cisco a
publi un excellent article sur la conception de rseaux LANE intitul Campus ATM LANE Design.
La dernire section est consacre MPOA, qui fonctionne en conjonction avec LANE. Elle dcrit
brivement le procd mis en uvre par MPOA pour crer un chemin de commutation direct (cut-
through) sur un domaine LANE, amliorant ainsi les performances de rseaux LANE et rduisant la
charge du routage de niveau 3 lors de la traverse dun nuage LANE vers un autre.
Ce chapitre dcrit donc brivement chaque mthode, incluant des considrations de conception, des
exemples de configuration et des conseils pour dpanner les fonctionnalits lmentaires. Reportez-
vous aussi la section "Considrations de conception" pour obtenir une prsentation synthtique de
chaque mthode, puis examinez les sections "Configuration" et "Dpannage" en rapport avec la
mthode que vous aurez choisie, pour obtenir des conseils dimplmentation.
Familiarisez-vous avec les notions fondamentales de la technologie ATM avant de lire ce chapitre,
car il naborde pas la thorie de base.
Les protocoles supports au moyen de ces mthodes dencapsulation ATM incluent IP, IPX, Apple-
Talk, CLNS, DECnet, VINES et le pontage. Cette section aborde les considrations de conception,
de configuration et de dpannage de rseaux ATM mettant en uvre la spcification du RFC 1483
avec des produits Cisco et AAL5SNAP ou AAL5MUX.
Considrations de conception
Les rseaux sappuyant sur la spcification du RFC 1483 sont gnralement dploys sur une petite
chelle. Ce type de rseau convient parfaitement pour des pines dorsales de campus ou de WAN,
constitues de 5 10 nuds avec peu de commutateurs intermdiaires. En partant du rseau de trois
nuds de notre exemple (voir Figure 18.1), huit paires VPI/VCI doivent tre configures et trois instruc-
tions map sont ncessaires (une pour chaque routeur) pour former un nuage ATM totalement maill.
A mesure que le nombre de protocoles et de nuds dextrmit augmente, la spcification du
RFC 1483 ne sadapte pas, et il devient par consquent trs difficile de grer et dpanner le rseau.
Par contre, si vous remplacez lpine dorsale FDDI (ou autre mdia) existante par une pine dorsale
ATM, vous pouvez assurer la transition aise dun tel rseau. Un rseau de ce type dbutant avec
deux nuds de routeur et un couple de commutateurs intermdiaires peut crotre simplement en
transfrant le nud dextrmit de lancienne pine dorsale vers lpine dorsale ATM et en ajoutant
ce nud au nuage nouvellement form au moyen de linstruction map. Bien que ce procd assure
une transition en douceur, lpine dorsale requiert une maintenance considrable.
NOTE
Un VPI (Virtual Path Identifier) est un identifiant de chemin virtuel. Il sagit en fait dun champ de 8 bits inclus
dans len-tte dune cellule ATM. Cet identifiant, associ celui de canal virtuel (VCI, Virtual Channel Identi-
fier), qui est un champ de 16 bits galement inclut dans len-tte dune cellule ATM, est utilis pour identifier
la prochaine destination dune cellule mesure quelle traverse une srie de commutateurs ATM. Ces
derniers utilisent les champs VPI/VCI pour identifier le prochain VCL par lequel une cellule doit transiter pour
atteindre sa destination.
Le RFC 1483 dfinit un concept simple, facile configurer et ncessitant une faible surcharge de
protocole. Il reprsente galement une solution fiable et reconnue. Toutefois, comme il nest pas
volutif, il ne sadapte pas sur de grands rseaux. De plus, il requiert une configuration manuelle
importante et ne supporte pas la technologie ATM sur lordinateur de bureau.
A3/0/2
Configuration de PVC
La configuration de PVC requiert la dfinition manuelle de correspondances vers chaque nud
dextrmit sur tous les commutateurs. Bien que la configuration de ces circuits puisse savrer
laborieuse et difficile sur de plus grandes topologies, elle est gnralement plus simple sur des topo-
logies plus petites.
Celle prsente ici comprend trois routeurs configurs pour ATM, savoir San Jose, Chicago et
New York. Ils sont interconnects physiquement par lintermdiaire de deux commutateurs ATM,
Denver et Iowa. Imaginez que vous souhaitiez implmenter un nuage ATM totalement maill entre
les trois routeurs.
Deux PVC ATM sont configurs sur le routeur San Jose, un pour la connectivit vers Chicago et
lautre pour New York.
Linstruction atm pvc 1 0 40 aal5snap permet de configurer le PVC, o 1 est la valeur dun
descripteur de circuit virtuel (VCD, Virtual Circuit Descriptor), 0 celle dun identifiant VPI, et 40
celle dun identifiant VCI. Les valeurs valides pouvant tre utilises pour configurer des PVC sur
des quipements Cisco vont de 0 7 pour les VPI, et de 32 1023 pour les VCI. Le Forum ATM
rserve les valeurs VCI de 0 31.
Linstruction map-group 1483pvc permet dappliquer la liste map-list 1483pvc sur linterface
ATM, qui son tour associe les adresses IP de routeur distant au VPI ou VCI local en utilisant le
descripteur VCD. Les deux autres routeurs sont configurs de la mme manire. Voici la configura-
tion du routeur San Jose :
interface ATM0
ip address 172.10.10.1 255.255.255.0
atm pvc 1 0 40 aal5snap
atm pvc 2 0 50 aal5snap
map-group 1483pvc
map-list 1483pvc
ip 172.10.10.2 atm-vc 1 broadcast
ip 172.10.10.3 atm-vc 2 broadcast
Chapitre 18 Conception, configuration et dpannage de MPOA 591
La configuration du commutateur Denver inclut une paire VPI/VCI 0/40 entrante sur linterface 1/1/1
provenant du routeur San Jose et une paire VPI/VCI 1/40 sortante sur linterface 1/1/2 vers le commu-
tateur Iowa. La configuration prsente ici reflte le point de vue de linterface 1/1/2. Elle inclut
galement une autre paire VPI/VCI 0/50 entrante sur linterface 1/1/1 en provenance du routeur
San Jose et une paire VPI/VCI 1/50 en sortie sur linterface 1/1/2.
La configuration du commutateur LS1010 Denver est la suivante :
interface ATM1/1/2
no keepalive
atm pvc 1 40 interface ATM1/1/1 0 40
atm pvc 1 50 interface ATM1/1/1 0 50
interface ATM1/1/1
La configuration du commutateur Iowa inclut une paire VPI/VCI 1/40 entrante provenant du
commutateur Denver et une paire sortante VPI/VCI 0/40 sur linterface 3/0/2 vers le routeur
Chicago, permettant de crer un PVC de bout en bout entre les routeurs San Jose et Chicago. Le
commutateur Iowa possde une autre paire VPI/VCI 1/50 entrante provenant du commutateur
Denver avec une paire sortante VPI/VCI 0/50 sur linterface 3/0/1 vers le routeur New York. Pour
finir, une paire VPI/VCI 0/60 provenant du routeur Chicago sur linterface 3/0/2 est commute en
sortie sur linterface 3/0/1 avec une paire VPI/VCI 0/60 vers le routeur New York. Un nuage ATM
totalement maill est ainsi form avec tous les routeurs directement connects entre eux.
La configuration du commutateur LS1010 Iowa est la suivante :
interface ATM3/0/0
no keepalive
interface ATM3/0/1
no keepalive
atm pvc 0 50 interface ATM3/0/0 1 50
interface ATM3/0/2
no keepalive
atm pvc 0 40 interface ATM3/0/0 1 40
atm pvc 0 60 interface ATM3/0/1 0 60
592 Partie II Etudes de cas
Dpannage de PVC
Une planification efficace est la cl dun dploiement russi et stable de rseaux issus de la spcifi-
cation du RFC 1483.
Tout dabord, crez une table de paires VPI/VCI pour chaque quipement que vous voulez connec-
ter au nuage. Concevez ensuite un modle de configuration et commencez configurer les routeurs
et commutateurs individuels. Puis excutez les commandes dcrites ci-dessous pour vrifier que la
configuration et la conception dploye fonctionnement comme prvu.
Le rsultat de la commande suivante indique que deux PVC sont actifs sur linterface ATM0. Ces
deux circuits virtuels ou VC (Virtual Circuit) ont une signification locale et indiquent lexistence
dune connexion active vers le commutateur le plus proche. Ces valeurs VC ne se rfrent pas une
connexion ATM entre deux routeurs. Pour cela, examinez chaque quipement situ entre les deux
routeurs dextrmit et vrifiez ltat de linterface et la paire VPI/VCI entrante. La paire VPI/VCI
sortante du routeur San Jose devrait correspondre la paire VPI/VCI entrante du commutateur
Denver. Si ce nest pas le cas, le routeur continuera envoyer des cellules ATM, mais elles seront
supprimes par le commutateur considrant quelles proviennent dune paire VPI/VCI inconnue :
SanJose#show atm vc
Interface VCD VPI VCI Type AAL/ Peak Avg. Burst Status
Encapsulation KBPS KBPS Cells
ATM0 1 0 40 PVC AAL5-SNAP 155000 155000 94 Active
ATM0 2 0 50 PVC AAL5-SNAP 155000 155000 94 Active
NOTE
Un VC (circuit virtuel) est un circuit logique tabli pour garantir une communication fiable entre deux qui-
pements de rseau. Un VC est dfini par une paire VPI/VCI et peut tre soit permanent (PVC) soit commut
(SVC).
NOTE
Une VCC (Virtual Channel Connection, connexion de canal virtuel) est une connexion logique entre deux
quipements de frontires excutant ATM (qui peuvent tre des htes, des routeurs ou des commutateurs
ATM). Les VCC sappuient sur de nombreux VC pour assurer la connexion.
La commande suivante affiche les correspondances dadresses IP de couche 3 avec des adresses VC
ATM, et indique galement que la diffusion broadcast est active en sortie sur les VC :
SanJose#show atm map
Map list 1483pvc : PERMANENT
ip 172.10.10.2 maps to VC 1, broadcast
ip 172.10.10.3 maps to VC 2 , broadcast
Sur le commutateur Denver, on peut voir que ltat de linterface est actif :
Denver#show atm statistics
NUMBER OF INSTALLED CONNECTIONS: (P2P=Point to Point,
P2MP=Point to MultiPoint)
Type PVCs SoftPVCs SVCs PVPs SoftPVPs SVPs Total
P2P 11 0 0 0 0 0 11
P2MP 0 0 0 0 0 0 0
Chapitre 18 Conception, configuration et dpannage de MPOA 593
La commande suivante indique que la paire VPI/VCI 0/40 entrante provenant du routeur San Jose
sur linterface ATM 1/1/1 est commute en sortie sur linterface ATM 1/1/2 vers le commutateur
Iowa :
Denver#show atm vc int atm 1/1/1
Interface VPI VCI Type X-Interface X-VPI X-VCI Status
ATM1/1/1 0 5 PVC ATM2/0/0 0 47 UP
ATM1/1/1 0 16 PVC ATM2/0/0 0 48 UP
ATM1/1/1 0 18 PVC ATM2/0/0 0 49 UP
ATM1/1/1 0 40 PVC ATM1/1/2 1 40 UP
ATM1/1/1 0 50 PVC ATM1/1/2 1 50 UP
La commande suivante indique que la paire VPI/VCI 1/40 entrante provenant du commutateur
Denver sur linterface ATM 3/0/0 est commute en sortie sur linterface ATM 3/0/0 vers le routeur
Chicago :
Iowa#show atm vc int atm 3/0/0
Interface VPI VCI Type X-Interface X-VPI X-VCI Status
ATM3/0/0 0 5 PVC ATM2/0/0 0 32 UP
ATM3/0/0 0 16 PVC ATM2/0/0 0 33 UP
ATM3/0/0 0 18 PVC ATM2/0/0 0 34 UP
ATM3/0/0 1 40 PVC ATM3/0/2 0 40 UP
ATM3/0/0 1 50 PVC ATM3/0/1 0 50 UP
Aprs avoir contrl les paires VPI/VCI et les instructions de correspondance pour chaque quipe-
ment, vous devriez pouvoir effectuer un ping des routeurs Chicago et New York partir du routeur
San Jose :
SanJose#ping 172.10.10.2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.2, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
SanJose#ping 172.10.10.3
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echoes to 172.10.10.3, timeout is 2
seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/4 ms
594 Partie II Etudes de cas
7000
A2/0
A3/0/2
Configuration de SVC
La configuration de lencapsulation multiprotocole sur AAL5 ATM (RFC 1483) avec SVC est semi-
dynamique. Elle requiert toujours la dfinition manuelle de correspondances entre toutes les adresses
de nuds NSAP ATM et les adresses de protocole, mais nimplique aucune dfinition de correspon-
dances au niveau des commutateurs ATM qui interconnectent les routeurs. Cette configuration est
assure dynamiquement par le protocole PNNI.
NOTE
NSAP (Network Service Access Point, point daccs au service de rseau) est une adresse de rseau,
comme spcifi par lISO. Un service de rseau OSI est accessible au niveau de ce point daccs pour
une entit de couche transport (couche 4).
PNNI possde deux dfinitions :
1. Private Network to Network Interface. Il sagit dune spcification du Forum ATM pour la distri-
bution dinformations topologiques entre des commutateurs et des clusters de commutateurs.
Ces informations sont utilises pour calculer des chemins travers le rseau. La spcification
sappuie sur des techniques connues de routage par tat de lien et inclut un mcanisme pour la
configuration automatique de rseaux sur lesquels la structure dadresse reflte la topologie.
2. Private Network to Node Interface. Il sagit dune spcification du Forum ATM pour une signa-
lisation visant tablir des connexions point--point et point-multipoint sur un rseau ATM. Le
protocole sappuie sur la spcification UNI du Forum ATM et sur des mcanismes additionnels
de routage par la source, de renvoi dappels vers la source (crankback) et de routage alternatif de
demandes de connexion.
Chapitre 18 Conception, configuration et dpannage de MPOA 595
Dans la topologie de la Figure 18.2, trois routeurs sont configurs pour ATM, savoir San Jose,
Chicago et New York. Ils sont interconnects physiquement par lintermdiaire de deux commuta-
teurs ATM, Denver et Iowa. A nouveau, imaginez que vous souhaitiez implmenter un nuage ATM
totalement maill entre les trois routeurs.
Linstruction atm pvc 10 0 5 qsaal permet de configurer un PVC, fournissant un canal pour lenvoi
des messages de signalisation demandant ltablissement de circuits SVC. Les valeurs dfinies pour
les identifiants VPI et VCI doivent correspondre celles du commutateur local. Les valeurs VPI et
VCI standard sont respectivement 0 et 5. Cette configuration utilise un type spcial dencapsulation
de la couche dadaptation ATM appel qsaal.
Linstruction atm pvc 20 0 16 ilmi permet de configurer un PVC, fournissant un canal pour lenvoi
de messages ILMI (Interim Local Management Interface) vers le commutateur ATM. Pour ILMI,
les valeurs VPI et VCI standard sont respectivement 0 et 16. ILMI assure de nombreuses fonctions.
Ici, il permet denregistrer le prfixe de ladresse dinterface ATM. Pour cela, il envoie au commuta-
teur une interception lors du redmarrage de linterface ATM, lui demandant denregistrer son
prfixe de 13 octets auprs du routeur. Ce prfixe est ensuite utilis pour constituer une adresse
dinterface ATM de 20 octets.
NOTE
ILMI est une spcification dveloppe par le Forum ATM pour intgrer des fonctionnalits de gestion de
rseau dans UNI ATM.
Linstruction atm esi-address 100000000000.00 configure les sept derniers octets de ladresse
dinterface ATM. A laide du prfixe de 13 octets appris via ILMI et de ladresse de 7 octets prove-
nant de lidentifiant ESI (End System Identifier), le routeur forme une adresse dinterface ATM de
20 octets. Cette adresse devrait tre unique pour chaque quipement sur le nuage ATM. Lidentifiant
ESI devrait tre configur de faon permettre la cration dune adresse NSAP unique.
NOTE
ESI est un identifiant de systme terminal qui permet de distinguer de nombreux nuds dun mme niveau
lorsque le groupe dhomologues de plus bas niveau est partitionn.
Linstruction map-group 1483svc applique la liste map-list 1483svc sur linterface ATM, qui son
tour associe les adresses IP de routeur distant avec leurs adresses NSAP respectives pour les deman-
des de connexion. Vous pouvez obtenir les adresses NSAP de routeur distant en excutant la
commande show interface ATM x/x. Linstruction map associe ladresse IP du routeur Chicago
ladresse NSAP.
La configuration du routeur San Jose est la suivante :
interface ATM0
ip address 172.10.10.1 255.255.255.0
atm esi-address 100000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
596 Partie II Etudes de cas
map-group 1483svc
map-list 1483svc
ip 172.10.10.2 atm-nsap
47.009181000000006170595C01.200000000000.00 broadcast
ip 172.10.10.3 atm-nsap
47.009181000000006170595C01.300000000000.00 broadcast
Les deux autres routeurs sont configurs de la mme manire avec le protocole appropri pour les
adresses NSAP ATM. La configuration du routeur Chicago est la suivante :
interface ATM2/0
ip address 172.10.10.2 255.255.255.0
map-group 1483svc
atm esi-address 200000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
map-list 1483svc
ip 172.10.10.1 atm-nsap
47.009181000000006170598A01.100000000000.00 broadcast
ip 172.10.10.3 atm-nsap
47.009181000000006170595C01.300000000000.00 broadcast
Identifiant AFI Code ICD CISCO Assigne par CISCO Champ ESI Octet de slection
47 00 91 81 00 00 00 Adresse MAC 00
3 octets 4 octets 6 octets 1 octet
Linstruction atm router pnni active PNNI sur toutes les interfaces NNI (Network-to-Network Inter-
face) aprs que ILMI ait dtermin le type dinterface. Linstruction node 1 level 56 lowest configure
le commutateur pour un nud PNNI avec un indice de nud de 1 au plus bas niveau de 56.
Chapitre 18 Conception, configuration et dpannage de MPOA 597
NOTE
NNI est un standard du Forum ATM qui dfinit linterface entre deux commutateurs ATM situs tous les
deux sur un rseau priv ou sur un rseau public. Linterface entre un commutateur priv et un commuta-
teur public est dfinie par le standard UNI.
Linterface ATM du routeur San Jose est directement connecte linterface ATM 1/1/1 du commu-
tateur Denver. Comme le rvle la configuration de ce dernier, aucun paramtre nest dfini pour
linterface ATM 1/1/1, ni pour linterface ATM 1/1/2 en direction du commutateur Iowa. La liaison
entre le routeur San Jose et linterface 1/1/1 du commutateur Denver ATM est appele UNI (User-
Network Interface), et celle entre linterface ATM 1/1/2 du commutateur Denver et linterface ATM
3/0/0 du commutateur Iowa est appele NNI. PNNI est excut sur les liaisons NNI.
NOTE
UNI est une spcification du Forum ATM qui dfinit un standard dinteroprabilit pour linterface entre
des quipements ATM (routeur ou commutateur ATM) situs sur un rseau priv et les commutateurs ATM
situs sur un rseau doprateur public.
Dpannage de SVC
La configuration de circuits SVC requiert lassociation de ladresse de protocole avec ladresse
NSAP de routeur distant. Les routeurs forment cette adresse NSAP en combinant le prfixe obtenu
via ILMI de la part du commutateur ATM et ladresse ESI prdfinie, crant ainsi une adresse
NSAP ATM complte de 20 octets pour linterface ATM du routeur. Par consquent, assurez-vous
que ILMI fonctionne correctement en vous aidant des mesures prsentes ici.
598 Partie II Etudes de cas
Le rsultat de la commande suivante indique que le routeur San Jose reu le prfixe
47.009181000000006170598A01 de la part du commutateur ATM. Il peut alors constituer ladresse
NSAP de linterface ATM en ajoutant ce prfixe ladresse ESI. Il senregistre ensuite dans la table
du commutateur pour permettre PNNI de propager ces informations. Il signale galement
linterface homologue sil sagit dun quipement Cisco :
SanJose#show atm ilmi
Interface ATM0 ILMI VCC: (0, 16)
ILMI Keepalive: Disabled
Address Registration: Enabled
Addr Reg State: UpAndNormal
Peer IP Addr: 0.0.0.0 Peer IF Name: ATM1/1/1
Prefix(s):
47.009181000000006170598A01
Addresses Registered:
Local Table :
47.009181000000006170598A01.100000000000.00
Remote Table :
47.009181000000006170598A01.100000000000.00
Dans le rsultat de la commande suivante, on constate que ILMI fonctionne correctement entre le
routeur et le commutateur puisquune adresse NSAP a t associe linterface ATM. ILMI
change aussi des informations sur la version UNI utilise et sur la position du routeur, savoir sil
est situ du ct utilisateur ou du ct rseau. Dans cet exemple, le routeur excute UNI Version 3 et
se trouve du ct utilisateur :
SanJose#show int atm 0
ATM0 is up, line protocol is up
Hardware is ATMizer BX-50
Internet address is 172.10.10.1/24
MTU 4470 bytes, sub MTU 4470, BW 156250 Kbit, DLY 100 usec,
rely 210/255, load 1/255
NSAP address: 47.009181000000006170598A01.100000000000.00
Encapsulation ATM, loopback not set, keepalive set (10 sec)
Encapsulation(s): AAL5 AAL3/4, PVC mode
1024 maximum active VCs, 1024 VCs per VP, 4 current VCCs
VC idle disconnect time: 300 seconds
Signalling vc = 10, vpi = 0, vci = 5
UNI Version = 3.0, Link Side = user
Last input 00:00:20, output 00:00:01, output hang never
Last clearing of "show interface" counters never
La commande suivante affiche lchange de messages ILMI entre le routeur et le commutateur.
ILMI utilise des messages SNMP standards. Le rsultat inclut ladresse NSAP transmise par le
commutateur. Elle est ensuite enregistre par le routeur dans sa table locale puis transmise pour
enregistrement dans la table du commutateur homologue. Certains paramtres, comme la version
UNI et le nom de linterface homologue, sont galement changs :
SanJose#debug atm ilmi
ILMI Transition : Intf := 1 From Restarting To AwaitRestartAck
<ilmi_initiate_addreg>
ILMI: REQ_PROCESSING Reqtype = GETNEXT Reqid = 12
Requestor = ILMI, Transid = 1 (ATM0)
ILMI: Trap Received (ATM0)
ILMI Transition : Intf := 1 From AwaitRestartAck To UpAndNormal
<ilmi_snmp_callback>
ILMI: REQ_PROCESSING Reqtype = GET Reqid = 13 Requestor =
Chapitre 18 Conception, configuration et dpannage de MPOA 599
Le rsultat de la commande suivante affiche les messages ILMI ct commutateur. Vous pouvez
voir que le commutateur envoie son prfixe rception de linterception.
600 Partie II Etudes de cas
Il valide galement ladresse pour que la station finale puisse tre enregistre dans la table distante
du systme terminal :
Denver#debug atm ilmi ATM 1/1/1
ILMI: Querying peer device type. (ATM1/1/1)
ILMI : (ATM1/1/1) From ilmiIntfDeviceTypeComplete To
ilmiIntfAwaitPortType <ilmi_initiate_portquery>
ILMI: The Maximum # of VPI Bits (ATM1/1/1) is 3
ILMI: The Maximum # of VCI Bits (ATM1/1/1) is 10
ILMI: Response Received and Matched (ATM1/1/1)
The peer UNI Type on (ATM1/1/1) is 2
The Peer UNI Version on (ATM1/1/1) is 2
ILMI: Assigning default device type (ATM1/1/1)
ILMI: My Device type is set to Node (ATM1/1/1)
ILMI: Auto Port determination enabled
ILMI: For Interface (ATM1/1/1)
ILMI: Port Information Complete :
ILMI: Local Information :Device Type = ilmiDeviceTypeNode Port
Type = ilmiPrivateUNINetworkSide
ILMI: Peer Information :Device Type = ilmiDeviceTypeUser Port
Type = ilmiUniTypePrivate
MaxVpiBits = 3 MaxVciBits = 10
ILMI: KeepAlive disabled
ILMI : (ATM1/1/1) From ilmiIntfAwaitPortType To
ilmiIntfPortTypeComplete <ilmi_find_peerPort>
Restarting Interface (ATM1/1/1)
ILMI : (ATM1/1/1) From ilmiIntfPortTypeComplete To
AwaitRestartAck <ilmi_process_intfRestart>
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: Errored response <No Such Name> Intf (ATM1/1/1) Function
Type = ilmiAddressTableCheck
ILMI : (ATM1/1/1) From AwaitRestartAck To UpAndNormal
<ilmi_process_response>
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: The Neighbors IfName on Intf (ATM1/1/1) is ATM0
ILMI: The Neighbors IP on Intf (ATM1/1/1) is 2886339073
ILMI: Trap Received (ATM1/1/1)
ILMI: Sending Per-Switch prefix
ILMI: Registering prefix with end-system
47.0091.8100.0000.0061.7059.8a01
ILMI: Response Received and Matched (ATM1/1/1)
ILMI: Validating address
47.0091.8100.0000.0061.7059.8a01.1000.0000.0000.00
ILMI: Address considered validated (ATM1/1/1)
ILMI: Address added :
47.0091.8100.0000.0061.7059.8a01.1000.0000.0000.00
(ATM1/1/1)
ILMI: Sending Per-Switch prefix
ILMI: Registering prefix with end-system
47.0091.8100.0000.0061.7059.8a01
ILMI: Response Received and Matched (ATM1/1/1)
Le rsultat de la commande debug suivante affiche les vnements de signalisation qui se produi-
sent sur le routeur San Jose. Si le VC vers le routeur distant nest pas prsent et si vous tentez de
vous y connecter au moyen dun ping, il tablit lappel en utilisant le protocole de signalisation et,
une fois connect, il commence envoyer des paquets de donnes.
Chapitre 18 Conception, configuration et dpannage de MPOA 601
Ce processus est trs rapide, mais dpend du nombre de demandes dappel que cet quipement doit
grer ce moment et du nombre de commutateurs ATM sur le chemin :
SanJose#debug atm sig-events
ATMAPI: SETUP
ATMSIG: Called len 20
ATMSIG: Calling len 20
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) build Setup msg, Null(U0)
state
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) API - from sig-client
ATM_OWNER_SMAP
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Input event : Req Setup in
Null(U0)
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Output Setup
msg(XferAndTx), Null(U0) state
ATMSIG: Output XferSetup
ATMSIG: Called Party Addr:
47.009181000000006170595C01.200000000000.00
ATMSIG: Calling Party Addr:
47.009181000000006170598A01.100000000000.00
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Null(U0) -> Call Initiated(U1)
ATMSIG(0/-1 0,0 - 0031/00): (vcnum:0) Input event : Rcvd Call
Proceeding in Call Initiated(U1)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:0) Call Initiated(U1) ->
Outgoing Call Proceeding(U3)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:0) Input event : Rcvd
Connect in Outgoing Call Proceeding(U3)
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:114) API - notifying Connect
event to client ATM0
ATMSIG(0/-1 0,153 - 0031/00): (vcnum:114) Input event : Req
Connect Ack in Active(U10)
Le rsultat de la commande debug suivante affiche les vnements de signalisation qui se produi-
sent sur le commutateur ATM Denver lorsque le routeur New York tente dappeler le routeur
San Jose. Ce commutateur jour le rle dun nud de transit pour cet appel :
Denver#debug atm sig-events
ATMSIG(1/1/2:0 0 - 161222): Input Event : Rcvd Setup in Null(N0)
ATMSIG(1/1/2:0 0 - 161222):Call Control Rcvd Setup in state : Call
Initiated(N1)
ATMSIG: Called Party Addr:
47.009181000000006170598A01.100000000000.00
ATMSIG: Calling Party Addr:
47.009181000000006170595C01.300000000000.00
ATMSIG(1/1/2:0 215 - 161222): Input Event : Req Call Proceeding in
Call Initiated(N1)
ATMSIG(1/1/2:0 215 - 161222): Output Call Proc msg, Call
Initiated(N1) state
ATMSIG(1/1/2:0 215 - 161222): Call Initiated(N1) -> Call Proceeding
sent (NNI) (N3)
ATMSIG: 1/1/1:0 findSvcBlockByCr, Svc not found, callref = 219
ATMSIG: 1/1/1:0 findSvcBlockByCr, Svc not found, callref = 220
ATMSIG(1/1/1:0 36 - 0220): Input Event : Req Setup in Null(N0)
ATMSIG(1/1/1:0 36 - 0220): Output Setup msg(XferAndTx), Null(N0)
state
ATMSIG(1/1/1:0 36 - 0220): Null(N0) -> Call Present(N6)
ATMSIG: openTransitConnection, svc 0x60685D68, partnerSvc
0x606863A0
ATMSIG(1/1/2:0 215 - 161222): Null(N0) -> Call Proceeding sent
(NNI) (N3)
602 Partie II Etudes de cas
SanJose#show atm vc 2
ATM0: VCD: 2, VPI: 0, VCI: 33, etype:0x0, AAL5 - LLC/SNAP, Flags:
0x50
PeakRate: 155000, Average Rate: 155000, Burst Cells: 94,
VCmode: 0x1
OAM DISABLED, InARP DISABLED
InPkts: 45, OutPkts: 46, InBytes: 4148, OutBytes: 4220
InPRoc: 45, OutPRoc: 12, Broadcasts: 34
InFast: 0, OutFast: 0, InAS: 0, OutAS: 0
OAM F5 cells sent: 0, OAM cells received: 0
Status: ACTIVE , TTL: 4
interface = ATM0, call locally initiated, call reference = 1
vcnum = 2, vpi = 0, vci = 33, state = Active
aal5snap vc, point-to-point call
Retry count: Current = 0, Max = 10
timer currently inactive, timer value = 00:00:00
Remote ATM Nsap address:
47.009181000000006170595C01.200000000000.00
passer par un routeur IP qui est configur comme membre des deux groupes LIS, cest--dire assu-
rant le routage de niveau 3 mme sil tait possible douvrir un VC direct entre les deux sur le nuage
ATM.
Considrations de conception
La spcification du RFC 1577 est trs simple et rapide implmenter. Cette simplicit provient de
la facilit de configuration et de dpannage quelle offre. Ce type de rseau est appropri pour dix
quinze nuds avec un sous-rseau IP logique. Toutefois, il nest pas capable dvoluer en raison de
problmes de localisation des voisins au niveau du protocole de routage lorsque des circuits virtuels
ne sont pas dj tablis. Gnralement, dans un environnement RFC 1577 compos dquipements
multifabricants, la moindre panne (single point of failure) peut entraner un risque dimmobilisation
en raison de son serveur ARP centralis. Cisco supporte donc plusieurs serveurs ARP pour un
mme LIS, mais il sagit dune solution propritaire.
Topologie
La Figure 18.3 illustre la topologie de lexemple prcit.
7000
A2/0
A3/0/2
Configuration
Un rseau bas sur la spcification du RFC 1755 requiert la configuration dun serveur ARP ATM.
Des routeurs Cisco dots dune interface ATM ou des commutateurs ATM LS1010 peuvent jouer le
rle de serveur ARP ATM pour un tel rseau. Dans lexemple suivant, le commutateur Denver est
un serveur ARP.
La commande atm arp-server self active la carte processeur du commutateur Denver pour quil
agisse comme serveur ARP pour le groupe LIS 172.10.x.x.
La configuration du commutateur Denver est la suivante :
interface ATM2/0/0
ip address 172.10.10.4 255.255.255.0
Chapitre 18 Conception, configuration et dpannage de MPOA 605
no keepalive
am esi-address 123456789000.00
atm arp-server self
La commande CLI atm arp-server nsap 47.009181000000006170598A01.123456789000.00
active linterface ATM du routeur San Jose pour quil devienne un client ARP pour le LIS 172.10.x.x,
et lui fournit ladresse NSAP du serveur ARP de ce LIS. Il utilise ladresse NSAP pour tablir une
connexion avec le serveur ARP lorsque linterface ATM a t active administrativement. La confi-
guration dautres routeurs du mme LIS est semblable :
La configuration du routeur San Jose est la suivante :
interface ATM0
ip address 172.10.10.1 255.255.255.0
atm esi-address 100000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
atm arp-server nsap
47.009181000000006170598A01.123456789000.00
La configuration du routeur Chicago est la suivante :
interface ATM2/0
ip address 172.10.10.2 255.255.255.0
atm esi-address 200000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
atm arp-server nsap
47.009181000000006170598A01.123456789000.00
La configuration du routeur New York est la suivante :
interface ATM0
ip address 172.10.10.3 255.255.255.0
atm esi-address 300000000000.00
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
atm arp-server nsap
47.009181000000006170598A01.123456789000.00
Dpannage
Classical IP sur ATM ncessite la dfinition dune mme taille de MTU sur tous les clients ATM et
serveurs ARP dun mme LIS. Comprendre linteraction client-serveur facilite les procdures de
dpannage. Les commandes show et debug donnent les dtails de cette interaction.
La commande CLI suivante show atm map indique que lorsque linterface du client est active, il
se connecte au serveur ARP via le VC 159. La commande CLI debug atm arp sur le mme client
rvle quil reoit une requte InARP du serveur ARP (172.10.10.4) pour rsoudre ladresse ATM
NSAP en adresse IP et mettre jour sa table. Le client rpond avec son adresse IP et le serveur
alimente sa table ARP. Chaque client ainsi activ est enregistr dans la table au moyen du mme
processus.
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00
, connection up, VC 159, ATM0
606 Partie II Etudes de cas
SanJose#show atm vc
Interface VCD VPI VCI Type AAL/ Peak Avg Burst Status
Encapsulation Kbps Kbps Cells
ATM0 10 0 5 PVC AAL5-SAAL 155000 155000 94 ACTIVE
ATM0 20 0 16 PVC AAL5-ILMI 155000 155000 94 ACTIVE
AMT0 159 0 62 PVC AAL5-SNAP 155000 155000 94 ACTIVE
La commande CLI suivante affiche le VC correspondant vers le serveur ATM ARP et indique que
lappel a t initi localement :
SanJose#show atm vc 159
ATM0: VCD: 159, VPI: 0, VCI: 62, etype:0x0, AAL5 - LLC/SNAP,
Flags: 0xD0
PeakRate: 155000, Average Rate: 155000, Burst Cells: 94,
VCmode: 0x1
OAM DISABLED, InARP DISABLED
InPkts: 1, OutPkts: 5, InBytes: 52, OutBytes: 376
InPRoc: 1, OutPRoc: 0, Broadcasts: 4
InFast: 0, OutFast: 0, InAS: 0, OutAS: 0
OAM F5 cells sent: 0, OAM cells received: 0
Status: ACTIVE , TTL: 0
interface = ATM0, call locally initiated, call reference = 112
vcnum = 159, vpi = 0, vci = 62, state = Active
aal5snap vc, point-to-point call
Retry count: Current = 0, Max = 10
timer currently inactive, timer value = 00:00:00
Remote ATM Nsap address:
47.009181000000006170598A01.123456789000.00
La commande CLI show atm map rvle maintenant une entre avec une correspondance entre
ladresse IP et ladresse NSAP du serveur ARP :
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00, connection
up, VC 159, ATM0
ip 172.10.10.4 maps to NSAP
47.009181000000006170598A01.123456789000.00, broadcast,
connection up, VC 159, ATM0
La commande CLI debug atm arp sur le serveur ARP indique que chaque fois quun client devient
actif, il tablit une connexion ATM avec le serveur ARP au moyen dune adresse ATM de serveur
ARP prdfinie. Le serveur ARP envoie une requte InARP pour obtenir ladresse IP de chaque
client. Daprs le texte en gras, vous pouvez constater que le serveur a transmis la requte InARP
au client 172.10.10.2, quil reoit une rponse, et met jour sa table ARP :
Denver#debug atm arp
ARPSERVER (ATM2/0/0): tx InARP REQ on vc 254
ATMARP(ATM2/0/0)O: INARP_REQ to VCD#254 for link 7(IP)
ARPSERVER (ATM2/0/0): tx InARP REQ on vc 255
ATMARP(ATM2/0/0)O: INARP_REQ to VCD#255 for link 7(IP)
ATMARP(ATM2/0/0)I: INARP Reply VCD#254 from 172.10.10.2
ARPSERVER (ATM2/0/0): rx InARP REPLY from 172.10.10.2 (vc
254)
Chapitre 18 Conception, configuration et dpannage de MPOA 607
La commande CLI show atm map montre que le routeur San Jose peut maintenant communiquer
directement avec tous les autres routeurs du mme LIS en utilisant des circuits SVC. Il na donc pas
besoin que le serveur lui fournisse ladresse NSAP du routeur de lautre ct. Cette table reste
effective tant que les deux routeurs continuent dchanger des paquets/cellules. Dans cette tude de
cas, les paquets Hello OSPF sont changs intervalles rguliers et maintiennent le circuit virtuel
actif.
De plus, il est important de noter que le paquet broadcast ne peut pas initier de circuit virtuel dans le
nuage ATM, car ATM lui-mme est un mdia NBMA, cest--dire non broadcast. Un moyen doit
donc tre mis en uvre pour permettre au routeur de trouver tous ses voisins dans le nuage ATM ou
dans le mme LIS. Pour cela, effectuez un ping de chaque routeur du LIS ou bien configurez
manuellement ses voisins :
SanJose#show atm map
Map list ATM0_ATM_ARP : DYNAMIC
arp maps to NSAP
47.009181000000006170598A01.123456789000.00, connection
up, VC 159, ATM0
ip 172.10.10.1 maps to NSAP
47.009181000000006170598A01.100000000000.00, broadcast,
connection up, VC 162, ATM0
ip 172.10.10.2 maps to NSAP
47.009181000000006170595C01.200000000000.00, broadcast,
connection up, VC 160, ATM0
ip 172.10.10.3 maps to NSAP
47.009181000000006170595C01.300000000000.00, broadcast,
connection up, VC 163, ATM0
ip 172.10.10.4 maps to NSAP
47.009181000000006170598A01.123456789000.00, broadcast,
connection up, VC 159, ATM0
La commande CLI show atm arp affiche la table ARP du serveur avec toutes les entres relatives
aux clients actifs :
Denver#show atm arp
Note that a * next to an IP address indicates an active call
IP Address ATM2/0/0: TTL ATM Address
* 172.10.10.1 19:29 47009181000000006170598a0110000000000000
* 172.10.10.2 12:56 47009181000000006170595c0120000000000000
* 172.10.10.3 19:31 47009181000000006170595c0130000000000000
* 172.10.10.4 9:23 47009181000000006170598a0112345678900000
* 172.10.10.5 16:02 47009181000000006170595c0150000000000000
Introduction LANE
LANE (LAN Emulation) est une mthode dmulation de rseau local (LAN) sur une infrastructure
ATM. Les standards pour lmulation Ethernet 802.3 et Token Ring 802.5 sont dfinis. Comme la
technologie ATM est par nature oriente connexion, il devient difficile de supporter plusieurs proto-
coles populaires comme IP et IPX qui fonctionnent en mode non connect. En laissant ATM muler
Ethernet, il devient plus facile de supporter MPOA (Multiprotocols Over ATM) et ne pas avoir
crer de nouveaux protocoles. Il est aussi possible de concevoir plusieurs LAN sur la mme infra-
structure ATM. Ces LAN muls ou ELAN ne peuvent communiquer directement entre eux au
niveau 2 et doivent tre routs. Par consquent, une telle configuration ncessite toujours limpl-
mentation dun routeur excutant plusieurs ELAN.
610 Partie II Etudes de cas
Considrations de conception
La conception de LANE dans un environnement de campus ncessite une planification et une allo-
cation soigneuse des quipements pour mettre en place des services LANE. Il existe de nombreuses
documentations sur ce sujet. Cette section souligne certains des problmes les plus couramment
rencontrs avec limplmentation de LANE dans un environnement de campus. Finalement, la mise
en uvre des services LANE dpend des modles de comportement du trafic qui est chang sur le
rseau et de la faon dont les ressources ATM sont alloues pour rpondre cette communication.
Lun des composants les plus utiliss avec LANE est le serveur BUS, car tous les paquets broadcast
lui parviennent avant dtre retransmis vers tous les clients LEC sur un ELAN. Les capacits de
traitement BUS de la carte LANE du commutateur Cisco Catalyst 5000 avoisinent 120 Kbit/s et
celles de la carte AIP de routeur approchent 60 Kbit/s.
NOTE
Le serveur BUS (Broadcast-and-Unknown Server) est un serveur multicast utilis sur les ELAN qui est utilis
pour diffuser par inondation le trafic destination dune adresse inconnue et transmettre le trafic multicast
et broadcast aux clients appropris.
Un autre facteur important intervenant dans la conception de rseaux avec LANE est la consommation
de circuits virtuels sur les quipements de frontires et dans le nuage ATM lui-mme. LEquation 18.1
illustre cette consommation.
Equation 18.1 : Calcul de la consommation maximale de VC avec LANE
Total de circuits virtuels = E((2N + 2) + (Nx(N1)/2)) + C
Topologie
La Figure 18.4 illustre la topologie pour cet exemple.
A2/0
ELAN Red
A3/0/2
ELAN BLUE
Denver Iowa
ELAN GREEN
Catalyst 5000
LECS/LES/BUS
NOTE
Lmulation LAN est habituellement utilise dans un environnement de campus. Mme si les routeurs
portent des noms de ville ils appartiennent au mme campus. Ils peuvent tre considrs comme des
dsignations dimmeubles.
Configuration
La configuration de lmulation LAN ncessite que les trois serveurs LECS/LES/BUS soient tout
dabord configurs avec leurs pleines fonctionnalits. Ces composants LANE peuvent tre configu-
rs sur des routeurs ou des commutateurs Catalyst activs pour ATM. La diffrence entre ces deux
types dquipements rside dans leurs performances. Un commutateur Catalyst offre de meilleures
performances quun routeur pour assurer ces services.
NOTE
Un LEC (LAN Emulation Client, client LANE) est une entit sur un systme dextrmit qui ralise la transmis-
sion de donnes, la rsolution dadresses et dautres fonctions de contrle au sein dun seul ELAN. Un LEC
fournit aussi une interface de service LAN standard pour nimporte quelle entit de couche suprieure qui
sinterface avec lui. Chaque LEC est identifi par une adresse ATM unique et est associ une ou plusieurs
adresses MAC accessibles par lintermdiaire de cette adresse ATM.
Un LECS (LAN Emulation Configuration Server, serveur de configuration LANE) est une entit qui
assigne les clients LANE individuels des ELAN (ou LAN muls) donns en les orientant vers le
612 Partie II Etudes de cas
LES correspondant lELAN concern. Il existe logiquement un LECS par domaine administratif
et il sert tous les ELAN du domaine.
Un LES (LAN Emulation Server, serveur LANE) est une entit qui assure le contrle dun ELAN
particulier. Il ny a quun LES logique par ELAN et il est identifi par une adresse ATM unique.
La configuration illustre dans cette section sur un Catalyst 5000 activ pour ATM, implmente les
serveurs LECS/LES/BUS.
La commande lane database ABC cre une base de donnes nomme pour le serveur de configura-
tion LANE (LECS). Cette base contient ladresse ATM dun serveur LANE (LES) diffrent ainsi que
dautres informations. Elle contient des donnes caractristiques du LANE. Lorsquun quipement
veut joindre un LANE particulier dans une base de donnes avec une caractristique spcifique, le
LECS examine la requte, et si les donnes conviennent, il rpond avec ladresse ATM du LES pour
poursuivre le processus de connexion du LEC.
La commande name red server-atm-address 47.009181000000006170598A01.00602FBCC511.01
relie le LANE red avec ladresse ATM approprie du serveur LANE. Il en va de mme pour les nuages
LANE blue et green. Reportez-vous au manuel de configuration concernant lassignation dadresses
ATM aux divers services LANE sur les quipements Cisco.
La commande lane config database ABC relie le nom de la base de donnes du serveur de configu-
ration LANE linterface principale spcifie et active le serveur.
La commande lane auto-config-atm-address indique que ladresse ATM du serveur de configura-
tion est calcule par la fonction Cisco dattribution automatique dadresses aux divers services
LANE.
La commande lane server-bus ethernet red active un serveur LANE et un serveur BUS pour le
premier LAN mul. De la mme faon pour les LAN muls green et blue sur des sous-interfaces
diffrentes, cette commande cre un nuage LANE spar avec les sous-rseaux IP distincts.
La commande lane client ethernet 1 green active le client LANE green et relie VLAN1 lELAN
green sur le Catalyst 5000. Avec cette configuration, VLAN1 et lELAN green englobent un gros
sous-rseau IP. Ainsi, un ELAN est en fait une extension de VLAN dans le rseau commut ATM
du rseau commut Ethernet/Token.
En bref, le Catalyst 5000 agit dans cet exemple comme LECS pour un grand domaine LANE, et
comme serveurs LES/BUS pour les ELAN red, green et blue. Il agit aussi comme LEC pour
lELAN green.
La configuration du Catalyst 5000 est la suivante :
lane database ABC
name red server-atm-address
47.009181000000006170598A01.00602FBCC511.01
name blue server-atm-address
47.009181000000006170598A01.00602FBCC511.03
name green server-atm-address
47.009181000000006170598A01.00602FBCC511.02
!
interface ATM0
atm pvc 1 0 5 qsaal
atm pvc 2 0 16 ilmi
lane config database ABC
Chapitre 18 Conception, configuration et dpannage de MPOA 613
lane auto-config-atm-address
!
interface ATM0.1 multipoint
lane server-bus ethernet red
!
interface ATM0.2 multipoint
lane server-bus ethernet green
lane client ethernet 1 green
!
interface ATM0.3 multipoint
lane server-bus ethernet blue
Dans la configuration suivante du routeur San Jose, linterface ATM agit comme client LANE pour
trois ELAN diffrents, crant trois sous-rseaux IP diffrents. Par consquent, San Jose est un
routeur avec une interface commune pour le routage ou la connectivit intra-ELAN. Le LEC dans le
LANE red ne peut pas communiquer au niveau de la couche ATM directement avec le LEC de
lELAN green. Il doit passer par le routeur San Jose et le routage de niveau 3 :
interface ATM0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
interface ATM0.1 multipoint
ip address 192.10.10.1 255.255.255.0
lane client ethernet red
!
interface ATM0.2 multipoint
ip address 195.10.10.1 255.255.255.0
lane client ethernet green
!
interface ATM0.3 multipoint
ip address 198.10.10.1 255.255.255.0
lane client ethernet blue
Dans la configuration suivante du routeur Chicago, linterface ATM agit comme LEC pour lELAN
red :
interface ATM2/0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
interface ATM2/0.1 multipoint
ip address 192.10.10.2 255.255.255.0
lane client ethernet red
Dans la configuration suivante du routeur New York, linterface ATM agit comme LEC pour
lELAN blue :
interface ATM0
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
!
interface ATM0.1 multipoint
ip address 198.10.10.2 255.255.255.0
lane client ethernet blue
Dans la configuration suivante des commutateurs ATM Denver et Iowa, il ny a pas de configuration
ncessaire sur les interfaces si vous excutez PNNI entre eux. La commande atm lecs-address-
default 47.0091.8100.0000.0061.7059.8a01.0060.2fbc.c513.00 1 fournit ladresse LECS pour
nimporte quel LEC connect directement lors de linitialisation. Cette commande est absolument
ncessaire pour que les services LANE fonctionnent sur tous les commutateurs ATM de frontire
614 Partie II Etudes de cas
directement connects aux routeurs, ou sur le Catalyst 5000 agissant comme LEC, si vous utilisez
loption de configuration automatique pour lattribution de ladresse du LECS.
La configuration du commutateur Denver est la suivante :
atm lecs-address-default
47.0091.8100.0000.0061.7059.8a01.0060.2fbc.c513.00 1
atm address
47.0091.8100.0000.0061.7059.8a01.0061.7059.8a01.00
atm router pnni
node 1 level 56 lowest
redistribute ATM-static
interface ATM1/1/1
no keepalive
interface ATM1/1/2
no keepalive
interface ATM1/1/3
no keepalive
Dpannage
Le dpannage dun environnement utilisant LANE est plus complexe. Gnralement, les points
problmatiques sont les performances des serveurs LES/BUS ou la connectivit vers le LANE. Les
performances des serveurs LES/BUS sont lies la conception et impliquent de nombreux facteurs.
Quant au problme de connectivit, il sagit le plus souvent dun LEC qui ne peut joindre un LANE
donn. Le problme de connectivit intra-LANE dpend davantage du routage IP que de LANE. Exami-
nez donc le fonctionnement du LEC et sa phase de connexion. Lorsquil est oprationnel avec un
LANE donn, il devrait tre en mesure de communiquer directement avec dautres LEC.
Pour tre oprationnel, un LEC doit disposer de tous les circuits virtuels (VCC) suivants, lexcep-
tion de Data Direct.
m ConFigure Direct. Phase de connexion entre LEC et LECS.
m Control Direct et Control Distribute. Circuits de contrle et de distribution entre LEC et LES.
m Multicast Send and Multicast Forward. Phase de connexion entre LEC et BUS.
m Data Direct. Phase de connexion entre deux clients LANE.
La Figure 18.5 illustre ces connexions. Cette section traite du dpannage de ces connexions.
Chapitre 18 Conception, configuration et dpannage de MPOA 615
Figure 18.5
Circuits de contrle lmentaires LECS
LEC
ncessaires au fonctionnement CONFIGURE DIRECT
des services LANE. CONTROL DIRECT
DATA DIRECT
LES
CONTROL DISTRIBUTE
BUS
MULTICAST FORWARD
Lanalyse suivante examine la faon dont le LEC sur lELAN blue sur le routeur New York joint le
LANE et devient oprationnel, et comment il communique avec les autres LEC du LANE en question.
NOTE
La mention de couleur nest en fait pas une couleur, mais le nom dun LAN logique cr par la technologie
ATM LANE. Il y a un LAN logique entre le routeur New York et le routeur San Jose.
NOTE
Mme si les routeurs portent des noms de villes, ils appartiennent au mme campus. Ils peuvent tre consi-
drs comme des dsignations dimmeubles.
Pour quun LEC puisse appartenir un ELAN, les serveurs LECS/LES/BUS doivent tre opration-
nels avant que le LEC ne tente de joindre LANE.
La commande show lane brief sur le Catalyst rvle ladresse du LES et du BUS de lELAN blue,
et confirme quils sont dans le mode oprationnel. Cest ncessaire avant quun LEC puisse se
connecter lELAN blue :
Catalyst#show lane brief
LE Server ATM0.3 ELAN name: blue Admin: up State: operational
type: ethernet Max Frame Size: 1516
ATM address: 47.009181000000006170598A01.00602FBCC511.03
LECS used: 47.009181000000006170598A01.00602FBCC513.00
connected, vcd 261
control distribute: vcd 159, 2 members, 4022 packets
LE BUS ATM0.3 ELAN name: blue Admin: up State: operational
type: ethernet Max Frame Size: 1516
ATM address: 47.009181000000006170598A01.00602FBCC512.03
data forward: vcd 163, 2 members, 6713 packets, 0 unicasts
616 Partie II Etudes de cas
La commande show lane config rvle que le LECS configur sur le Catalyst 5000 est oprationnel
avec ladresse du LECS correspondant. Elle indique aussi quil sert trois ELAN et quils sont tous
actifs :
Catalyst#show lane config
LE Config Server ATM0 config table: ABC
Admin: up State: operational
LECS Mastership State: active master
list of global LECS addresses (12 seconds to update):
47.009181000000006170598A01.00602FBCC513.00 <-------- me
ATM Address of this LECS:
47.009181000000006170598A01.00602FBCC513.00
vcd rxCnt txCnt callingParty
252 1 1 47.009181000000006170598A01.00602FBCC511.01 LES red 0 active
256 2 2 47.009181000000006170598A01.00602FBCC511.02 LES green 0 active
260 6 6 47.009181000000006170598A01.00602FBCC511.03 LES blue 0 active
cumulative total number of unrecognized packets received so far: 0
cumulative total number of config requests received so far: 100
cumulative total number of config failures so far: 29
cause of last failure: no configuration
culprit for the last failure:
47.009181000000006170595C01.00000C7A5660.01
ConFigure Direct :
m tablissement dun VCC bidirectionnel par un LEC dans la phase de connexion avec LECS ;
m utilis pour obtenir ladresse ATM du LES.
La Figure 18.6 illustre la phase de connexion LEC vers LECS.
Figure 18.6
C ON FI GU R E D I R E C T
Phase de connexion entre LEC et LECS. LECS
LEC
LES
LEC
BUS
Le listing suivant rvle quaprs obtention de ladresse du LECS, un LEC tablit une connexion
avec le LECS. Ce VCC est appel ConFigure Direct. Il envoie ensuite la requte de configuration
au LECS sur ce mme VCC avec ses propres informations, demandant une adresse de LES corres-
pondant cet ELAN. Le LECS rpond en confirmant que les informations de lELAN blue sollicites
sont dfinies et fournit au LEC ladresse du LES en question :
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_LECS_SETUP
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60AC611C
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC513.00
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: state GET_LECS_ADDR event
LEC_CTL_ILMI_SET_RSP_NEG => LECS_CONNECT
LEC ATM0.1: received CONNECT
LEC ATM0.1: callid 0x60AC611C
LEC ATM0.1: vcd 28
LEC ATM0.1: action A_SEND_CFG_REQ
LEC ATM0.1: sending LANE_CONFIG_REQ on VCD 28
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: LAN Type 1
LEC ATM0.1: Frame size 1
LEC ATM0.1: LAN Name blue
LEC ATM0.1: LAN Name size 4
LEC ATM0.1: state LECS_CONNECT event LEC_SIG_CONNECT
=> GET_LES_ADDR
618 Partie II Etudes de cas
Figure 18.7
Circuits de contrle entre LEC et LES. LECS
LEC
CONFIGURE DIRECT
CONTROL DIRECT
LES
CONTROL DISTRIBUTE
LEC
BUS
Le listing de debug suivant rvle que le LEC tablit le VCC Control Direct avec le LES. Sur ce VCC,
il envoie la rponse LANE_JOIN_REQ. Le LES rpond avec LECID sur le mme VCC. A ce stade, le
LES ouvre le circuit Control Distribute avec le LEC et celui-ci doit accepter ce VCC pour permettre
au LES de distribuer le trafic de contrle.
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_LES_SETUP
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60ABEDF4
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC511.03
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
Chapitre 18 Conception, configuration et dpannage de MPOA 619
Figure 18.8
Circuits tablis entre LEC et BUS. LECS
LEC
CONFIGURE DIRECT
CONTROL DIRECT
LES
CONTROL DISTRIBUTE
BUS
MULTICAST FORWARD
Le listing debug suivant rvle que le LEC envoie une requte LANE_ARP_REQ au LES sur le
VCC Control Direct pour connatre ladresse ATM du BUS. Le LES rpond en la lui communi-
quant sur le VCC Control Distribute. Le LEC tablit ensuite une connexion directe avec le BUS.
Ce VCC est appel Multicast Send et est utilis pour la transmission de trafic broadcast vers les
autres LEC. Le BUS tablit aussi un VCC Multicast Forward point multipoint vers les LEC.
Chaque fois quun nouveau client est connect, il lajoute ce VCC.
Ce VCC est utilis par le BUS pour transmettre le trafic broadcast et multicast vers tous les LEC de
lELAN.
A ce stade, le client LEC sur le routeur New York de lELAN blue prsente un tat actif et devient
oprationnel. Il est prt communiquer avec les autres LEC du mme ELAN.
NewYork#debug lane client all
LEC ATM0.1: action A_SEND_BUS_ARP
LEC ATM0.1: sending LANE_ARP_REQ on VCD 97
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: TARGET MAC address ffff.ffff.ffff
LEC ATM0.1: TARGET ATM address
00.000000000000000000000000.000000000000.00
LEC ATM0.1: received LANE_ARP_RSP on VCD 98
LEC ATM0.1: SRC MAC address 0000.0c5c.a980
LEC ATM0.1: SRC ATM address
47.009181000000006170595C01.00000C5CA980.01
LEC ATM0.1: TARGET MAC address ffff.ffff.ffff
LEC ATM0.1: TARGET ATM address
47.009181000000006170598A01.00602FBCC512.03
LEC ATM0.1: action A_SEND_BUS_SETUP
LEC ATM0.1: predicate PRED_MCAST_SEND_NSAP FALSE
LEC ATM0.1: predicate PRED_MCAST_SEND_PVC FALSE
LEC ATM0.1: sending SETUP
LEC ATM0.1: callid 0x60AC7418
LEC ATM0.1: called party
47.009181000000006170598A01.00602FBCC512.03
LEC ATM0.1: calling_party
47.009181000000006170595C01.00000C5CA980.01
Chapitre 18 Conception, configuration et dpannage de MPOA 621
Figure 18.9
Circuit virtuel Data Direct LECS
LEC
entre deux LEC. CONFIGURE DIRECT
CONTROL DIRECT
DATA DIRECT
LES
CONTROL DISTRIBUTE
BUS
MULTICAST FORWARD
Chapitre 18 Conception, configuration et dpannage de MPOA 623
La commande show lane client montre le VCC Data Direct en cours dtablissement vers le LEC
distant. Comme ce LEC cre des connexions individuelles vers des LEC distants, dautres VCC
Data Direct apparaissent dans ce listing. Ce VCC est supprim sil y a une absence dactivit entre
les deux LEC pendant une certaine priode :
NewYork#show lane client
LE Client ATM0.1 ELAN name: blue Admin: up State: operational
Client ID: 1 LEC up for 1 hour 35 minutes 35 seconds
Join Attempt: 1
HW Address: 0000.0c5c.a980 Type: ethernet Max Frame Size: 1516
ATM Address: 47.009181000000006170595C01.00000C5CA980.01
VCD rxFrames txFrames Type ATM Address
0 0 0 configure 47.009181000000006170598A01.00602FBCC513.00
97 1 2 direct 47.009181000000006170598A01.00602FBCC511.03
98 1 0 distribute 47.009181000000006170598A01.00602FBCC511.03
99 0 95 send 47.009181000000006170598A01.00602FBCC512.03
100 190 0 forward 47.009181000000006170598A01.00602FBCC512.03
101 6 4 data 47.009181000000006170598A01.00E01EAEFA38.03
Considrations de conception
MPOA convient bien un environnement de campus dune grande entreprise, et lorsquune pine
dorsale ATM relie diffrents campus. Cette infrastructure ATM courante peut tre divise en
plusieurs sous-rseaux logiques de niveau 3 pour rduire la transmission broadcast son minimum
tout en autorisant les connexions directes entre sous-rseaux, amliorant ainsi les performances.
Vous pouvez voir MPOA comme une solution pour tendre la porte de LANE dans lenvironne-
ment de campus sans provoquer de goulet dtranglement sur le routeur.
624 Partie II Etudes de cas
Topologie
La topologie suivante possde deux ELAN, lun entre les routeurs Chicago et San Jose, et lautre
entre les routeurs New York et San Jose. Par consquent, si lquipement situ derrire le routeur
Chicago doit communiquer avec celui situ aprs le routeur New York, il passe par le routeur San
Jose, car il excute plusieurs LEC et doit raliser le routage de niveau 3. Bien quil soit vident que
les routeurs Chicago et New York sont connects au mme commutateur ATM, lquipement doit
nanmoins utiliser le routeur San Jose pour toute transmission entre sous-rseaux. Cest un emploi
inefficace de linfrastructure ATM et qui dgrade aussi les performances.
NOTE
MPOA est habituellement utilis dans un environnement de campus. Mme si les routeurs portent des noms
de ville ils appartiennent au mme campus. Ils peuvent tre considrs comme des dsignations dimmeubles.
Lutilisation de MPOA dans ce scnario autorise une connexion directe du routeur Chicago vers le
routeur New York, mme sils se trouvent dans des sous-rseaux diffrents. Cest possible en acti-
vant le client MPC sur les routeurs Chicago et New York, et le serveur MPS sur le routeur San Jose.
La Figure 18.10 illustre la topologie pour cet exemple.
Configuration MPOA
La configuration MPOA fonctionne en relation avec LANE. Lexemple suivant illustre la configura-
tion des MPC et du MPS sur divers quipements supportant ATM.
Dans cet exemple de configuration, le routeur Chicago agit comme client MPOA, le MPC. La
commande mpoa client config name CHI dfinit un MPC avec un nom spcifique. Mais le MPC
nest pas fonctionnel tant quil nest pas li une interface. La commande mpoa client name CHI
dmarre un processus MPC sur une interface, le rendant totalement oprationnel. Le MPC a obtenu
une adresse ATM en utilisant un algorithme particulier et est prt accepter des appels. La
Chapitre 18 Conception, configuration et dpannage de MPOA 625
commande lane client mpoa client name CHI associe un client LANE red avec le MPC CHI
spcifi. La configuration du routeur Chicago est la suivante :
mpoa client config name CHI
interface Loopback1
ip address 40.1.1.1 255.255.255.0
interface ATM2/0
no ip address
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
mpoa client name CHI
!
interface ATM2/0.1 multipoint
ip address 192.10.10.2 255.255.255.0
lane client mpoa client name CHI
lane client ethernet red
Dans lexemple de configuration suivant, le routeur New York agit comme client MPOA pour les
quipements situs derrire lui. La configuration du routeur New York est la suivante :
mpoa client config name NY
!
interface Loopback0
ip address 50.1.1.1 255.255.255.0
interface ATM0
no ip address
no ip mroute-cache
atm pvc 10 0 5 qsaal
atm pvc 20 0 16 ilmi
mpoa client name NY
!
interface ATM0.1 multipoint
ip address 198.10.10.2 255.255.255.0
lane client mpoa client name NY
lane client ethernet blue
Dans lexemple de configuration suivant, le routeur San Jose agit comme serveur MPOA pour
lELAN red et blue.
La commande mpoa server config name SJ dfinit un MPS avec le nom spcifi, mais il nest pas
encore oprationnel tant quil nest pas li une interface.
La commande mpoa server name SJ lie un MPS une interface principale. A ce stade, le MPS
peut obtenir une adresse ATM gnre automatiquement et une interface par laquelle il peut
communiquer aux quipements MPOA voisins. Un MPS nest fonctionnel que lorsquil est dfini
globalement puis attach une interface.
La commande lane client mpoa server name SJ associe un LEC avec le MPS nomm. Celui-ci
doit dj exister pour que cette commande soit accepte.
La configuration du routeur San Jose est la suivante :
lane database ABC
name red server-ATM-address
47.009181000000006170598A01.00E01EAEFA39.01
name red elan-id 10
name blue server-ATM-address
47.009181000000006170598A01.00E01EAEFA39.03
name blue elan-id 30
!
626 Partie II Etudes de cas
Dpannage
Le dpannage de MPOA devient plus facile lorsque vous comprenez linteraction de ses compo-
sants logiques, les MPC et les MPS. La Figure 18.11 illustre le fonctionnement de MPOA.
Figure 18.11
MPC d'entre
Fonctionnement de MPOA. Chicago
A
E
B
San Jose
A D MPC de sortie
New York
m Rponse dimposition de cache MPOA. Rponse de la part dun MPC dentre correspondant
une requte MPS prcdente dentre.
m Rponse de rsolution MPOA. Rponse dun MPS, rsolvant une adresse de protocole vers une
adresse ATM.
Lanalyse de dpannage suivante utilise diffrentes commandes show et debug pour illustrer
linteraction entre le MPC et le MPS pour crer un VCC direct.
La commande show mpoa client sur le routeur Chicago montre quil ne connat pas dautres MPS
ou MPC.
Dcouverte du MPS
Le listing suivant montre quil ny a pas de MPS connu. Aprs linitiation de la requte LE_ARP,
comme montr dans le listing debug, le client obtient ladresse MPS. La fin du listing montre le
MPS dcouvert :
Chicago#show mpoa client
MPC Name: CHI Interface: ATM2/0 State: Up
MPC ATM Address:
47.009181000000006170595C01.006070CA9045.00
Shortcut-Setup Count: 1 Shortcut-Setup Time: 1
LECs bound to CHI: ATM2/0.1
MPS Neighbors of CHI:
ATM Address MPS-ID VCD rxPkts txPkts
Remote Devices known to CHI:
ATM Address VCD rxPkts txPkts
Le listing de la commande debug lane client mpoa montre que le MPC local obtient ladresse
ATM du MPS. Chaque fois quune requte LEC_ARP_REQ ou une rponse LEC_ARP_RESP est
envoye partir dun LEC, un TLV (type, longueur, valeur) est inclus, spcifiant ladresse ATM du
MPC associ au LEC :
Chicago#debug lane client mpoa
LEC ATM2/0.1: received lec_process_lane_tlv: msg
LANE_ARP_REQ, num_tlvs 1
LEC ATM2/0.1: process_dev_type_tlv: lec
47.009181000000006170598A01.00E01EAEFA38.01,
tlv 0x61039220
LEC ATM2/0.1: type MPOA_MPS, mpc
00.000000000000000000000000.000000000000.00
mps 47.009181000000006170598A01.00E01EAEFA3C.00 mac
00e0.1eae.fa38
LEC ATM2/0.1: process_dev_type_tlv: create le_arp for le_mac
00e0.1eae.fa38
LEC ATM2/0.1: create mpoa_lec
LEC ATM2/0.1: new mpoa_lec 0x611401D4
LEC ATM2/0.1: process_dev_type_tlv: type MPS, tlv-
>num_mps_mac 1
LEC ATM2/0.1: lec_add_mps: remote lec
47.009181000000006170598A01.00E01EAEFA38.01
mps 47.009181000000006170598A01.00E01EAEFA3C.00
num_mps_mac 1,
mac 00e0.1eae.fa38
LEC ATM2/0.1: lec_add_mps: add mac 00e0.1eae.fa38, mps_mac
0x611407C0
LEC ATM2/0.1: lec_append_mpoa_dev_tlv:
628 Partie II Etudes de cas
NOTE
Le protocole LE_ARP (LAN Emulation Address Resolution Protocol) fournit ladresse ATM qui correspond
une adresse MAC.
La commande show mpoa client rvle maintenant les adresses ATM du MPS et du MPC voisins
avec les circuits virtuels associs :
Chicago#show mpoa client
MPC Name: CHI Interface: ATM2/0 State: Up
MPC ATM Address: 47.009181000000006170595C01.006070CA9045.00
Shortcut-Setup Count: 1 Shortcut-Setup Time: 1
LECs bound to CHI: ATM2/0.1
MPS Neighbors of CHI:
ATM Address MPS-ID VCD rxPkts txPkts
47.009181000000006170598A01.00E01EAEFA3C.00 1 20 1256 836
Remote Devices known to CHI:
ATM Address VCD
47.009181000000006170595C01.00E01EAEFA6D.00 257------MPC on New York Router
Chicago#trace 50.1.1.1
Tracing the route to 50.1.1.1
1 198.10.10.2 0 msec
Rsum
Ce chapitre a trait de LANE et des diverses mthodes de dploiement de MPOA (Multiprotocols
Over ATM). Vous pouvez appliquer des mthodes appropries en fonction des exigences de votre
rseau et de votre environnement, puis utiliser les exemples de configuration prsents pour vous
familiariser avec les diffrentes mthodes. Vous pouvez, bien sr, galement tester certaines proc-
dures de dpannage avant de dployer une mthode. Aprs la mise en uvre dune mthode sur le
rseau, gardez lesprit les points suivants :
m Le recours au dbogage nest pas aussi simple quil ne parat. Il peut en rsulter des problmes
de performances au niveau des ressources processeur. Utilisez cette procdure avec prcaution.
m Essayez les commandes show autant que possible avant dactiver le dbogage.
m En ce qui concerne le dbogage du RFC 1483, ILMI ne sollicite pas autant les ressources proces-
seur, mais cela peut tre le cas pour les vnements de signalisation.
m Concernant le RFC 1577, le dbogage du ct du client ARP procure une excellente mthode
didentification des problmes. Evitez lanalyse du ct du serveur ARP.
m Le dbogage de LANE est trs sensible du ct des clients LEC et des serveurs LES/BUS.
Essayez dutiliser la commande show pour identifier le point de blocage de la connexion du LEC
avec lELAN. Si vous excutez plusieurs LEC sur le routeur/commutateur, excutez debug
uniquement sur le client posant problme.
m Evitez dactiver le dbogage sur les serveurs LES/BUS, car ils sont utiliss intensment et
peuvent gnrer en sortie de gros volumes de donnes et ralentir le processeur.
m Pour MPOA, le dbogage sur le MPC avec dsactivation du dbogage keepalive, fournira les
informations les plus utiles.
19
Routage DDR
NOTE
LUIT-T (Union internationale des tlcommunications, secteur normalisation) tait anciennement connue
sous le nom de CCITT (Comit consultatif international pour la tlgraphie et la tlphonie).
634 Partie II Etudes de cas
Ltude de cas que nous prsentons ici dcrit lutilisation de DDR afin de connecter un rseau
mondial compos dun site central situ San Francisco et de sites distants situs Tokyo, Singa-
pour, et Hong Kong. Ce chapitre examine les exemples de scnarios et de fichiers de configuration
suivants :
m Configuration du site central pour les appels sortants.
Configuration du site central et des sites distants pour trois types dinstallations : un site central
avec une interface pour chaque site distant ; une seule interface pour plusieurs sites distants ;
plusieurs interfaces pour plusieurs sites distants. (Des exemples de groupes de rotation et de
listes daccs sont fournis.)
m Configuration du site central et des sites distants pour les appels entrants et sortants.
Configuration du site central et des sites distants pour trois types dinstallations : un site central
avec une interface pour chaque site distant ; une seule interface pour plusieurs sites distants ;
plusieurs interfaces pour plusieurs sites distants. Lutilisation de lencapsulation PPP (Point-to-
Point Protocol) et du protocole CHAP (Challenge Handshake Authentication Protocol) est
galement aborde.
m Configuration des sites distants pour les appels sortants.
Dans une configuration courante, les sites distants appellent le site central, mais linverse nest
pas possible. Sur une topologie en toile, tous les routeurs distants peuvent possder leurs inter-
faces srie sur le mme sous-rseau que linterface du site central.
m Utilisation de DDR en tant que solution de secours pour des liaisons loues.
Emploi de DDR en tant que mthode de secours pour des liaisons loues. Des exemples de
lutilisation de routes statiques flottantes (floating static routes) sur des interfaces individuelles
et partages sont fournis.
m Utilisation de liaisons loues et du secours commut (dial backup).
Utilisation de la numrotation DTR (Data Terminal Ready) et de la numrotation V.25bis avec
des liaisons loues.
La Figure 19.1 illustre la topologie du rseau DDR qui fait lobjet de cette tude de cas.
NOTE
Tous les exemples et descriptions de cette tude de cas font rfrence des fonctionnalits disponibles dans
System Software, version 9.1(9) ou suprieure. Certaines de ces fonctionnalits sont prsentes dans les
versions antrieures ; les fonctionnalits disponibles uniquement dans la version 9.21 sont spcifies.
Figure 19.1
Topologie du rseau
DDR.
128.10.204.1 Tokyo
128.10.204
.55 128.10.204
E0 Liaison srie 1 .55 San Francisco
CGS
Station de travail
.66
Hong Kong 128.10.200
.65 E0
128.10.200 6
CGS 1 02.6
Liaison srie 0.2
E0 128.1
128.10.200.1
Station de travail
5
Singapour 02.6
.10.2 1
128 on srie Hte A Hte B Hte C Hte D
CGS Liais
E0
128.10.202.1
Station de travail
!
interface serial 6
description DDR connection to Singapore
ip address 128.10.202.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
redistribute static
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Configuration du routage
Le protocole IGRP (Interior Gateway Routing Protocol) est utilis afin de router le trafic sur le
rseau. Les deux premires commandes qui apparaissent dans la section de routage du fichier de
configuration sont router igrp et network. Elles dfinissent le numro du routeur IGRP, ainsi que
le rseau sur lequel est excut le protocole.
La commande redistribute provoque lenvoi des informations de routes statiques (dfinies laide
des commandes ip route illustres dans lexemple de configuration) vers les autres routeurs situs
dans la mme zone IGRP. En labsence de cette commande, les autres routeurs connects au site
central ne disposent daucune route vers les routeurs distants. Les trois routes statiques dfinissent
les sous-rseaux sur lpine dorsale Ethernet des routeurs distants. DDR a tendance utiliser large-
ment les routes statiques, car les mises jour de routage ne sont pas reues lorsque la connexion par
circuit commut nest pas active.
dialer in-band
!
ip route 0.0.0.0 0.0.0.0 128.10.200.66
Le site rpondant ne dconnectera pas lappel, car cest le site appelant qui sen charge lorsque la
ligne est inactive. Dans ce cas, le site qui rpond utilise le routage statique. La route par dfaut
pointe sur linterface srie du site central.
Configuration de linterface
Dans cet exemple, la configuration de linterface est un peu plus complexe que celle dcrite la
section "Configuration dune interface pour chaque site distant". En plus de ladresse IP dorigine,
une seconde adresse IP est configure pour linterface srie 5, car les bureaux de Hong Kong et de
Singapour se trouvent sur des sous-rseaux diffrents.
Chapitre 19 Routage DDR 639
Configuration du routage
Les routes statiques IP dfinissent les adresses de prochain saut utilises dans les commandes
dialer map. Lorsquun paquet est reu pour un hte du rseau 128.10.200.0, il est rout vers une
adresse de prochain saut, 128.10.200.65. Cette route part de linterface srie 5. DDR se sert de
ladresse de prochain saut pour obtenir le numro de tlphone du routeur de destination.
NOTE
Lutilisation de la commande passive-interface indique que les mises jour de routage ne doivent pas
tre envoyes partir de linterface srie 5. Etant donn que les sites distants utilisent une route par dfaut,
il est inutile denvoyer des mises jour sur cette liaison.
Si linterface est actuellement connecte lun de ces numros de tlphone, et quelle reoive un
paquet broadcast IGRP, celui-ci sera donc transmis, puisquil correspond une commande dialer
map vers un numro de tlphone dj connect. Si la connexion est dj tablie, les paquets intres-
sants ainsi que les paquets inintressants seront envoys. Si aucune connexion nest tablie, lajout
des commandes dialer map ne permettra pas quun paquet IGRP envoy une adresse broadcast
dclenche la numrotation, car les listes daccs dterminent de toute faon quil est inintressant.
NOTE
Dans lexemple de configuration propos la section "Configuration dune seule interface pour chaque site
distant", la commande dialer string autorise que les paquets broadcast soient envoys lorsque la ligne
est connecte, car la chane de numrotation est associe toutes les adresses de prochain saut qui ne
possdent pas de correspondance de numrotation.
NOTE
La configuration suivante apparat telle quelle devrait tre entre sur la ligne de commande. Eu gard au
fonctionnement des groupes de rotation, le rsultat de lexcution dune commande write terminal sur
le routeur peut diffrer lgrement de ce qui est prsent ici.
Chapitre 19 Routage DDR 641
Configuration du routage
La section de routage du fichier de configuration pour cet exemple nest pas diffrente de celle de
lexemple prsent la section "Configuration dune seule interface pour plusieurs sites distants".
Toutefois, si vous examinez la table de routage pour lun des rseaux distants, laide de la
commande show ip route (par exemple, show ip route 128.10.200.0), vous remarquerez que linter-
face de sortie partir de laquelle les paquets ont t envoys vers ce sous-rseau est linterface de
numrotation 1 (dialer 1). La vritable interface physique partir de laquelle les paquets seront
transmis nest pas dtermine, tant que les tapes DDR dcrites dans le paragraphe suivant nont
pas t ralises.
Avant quun paquet ne soit envoy partir de linterface de numrotation, DDR contrle ce paquet
pour dterminer sil est intressant ou inintressant, puis consulte la correspondance de numrota-
tion. Ensuite, toutes les interfaces du groupe de rotation sont vrifies, afin de dterminer si lune
delles est connecte au numro de tlphone. Si une interface approprie est dtecte, le paquet est
envoy partir de cette interface physique. Si aucune interface nest dtecte et que le paquet soit
jug intressant, le groupe de rotation est analys, afin dy rechercher une interface disponible. La
premire interface disponible dtecte est utilise pour appeler le numro de tlphone.
NOTE
Pour utiliser le routage dynamique, dans lequel deux des sites distants communiquent via le site central, les
commandes no ip split-horizon et passive-interface doivent tre supprimes.
Le site rpondant ne dconnectera pas lappel, car cest le site appelant qui sen charge lorsque la
ligne est inactive.
Configuration du site central et des sites distants pour les appels entrants
et sortants
Il est souvent plus pratique que les sites distants puissent appeler le site central selon les besoins des
utilisateurs, plutt que ces derniers dpendent du site central pour interroger les sites distants. Cette
section examine les exemples de configuration suivants, dans lesquels le site central ainsi que les
sites distants peuvent effectuer des appels :
m configuration dune interface pour chaque site distant ;
m configuration dune seule interface pour plusieurs sites distants ;
m configuration de plusieurs interfaces pour plusieurs sites distants.
network 128.10.0.0
redistribute static
!
! route vers Hong Kong
ip route 128.10.200.0 255.255.255.192 128.10.200.65
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.202.65
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Hong Kong
Dans lexemple suivant, le site distant situ Hong Kong est configur pour recevoir et tablir des
appels. Le fichier de configuration contient une chane de numrotation 14155551212, qui devrait
permettre dappeler linterface srie 5 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.200.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Singapour
Dans lexemple suivant, le site distant situ Singapour est configur pour recevoir et tablir des
appels. Le fichier de configuration contient une chane de numrotation 14155551213, qui devrait
permettre dappeler linterface srie 6 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551213
pulse-time 1
dialer-group 1
!
Chapitre 19 Routage DDR 645
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Tokyo
Dans lexemple suivant, le site distant situ Tokyo est configur pour recevoir et tablir des appels.
Le fichier de configuration contient une chane de numrotation 14155551214, qui devrait permet-
tre dappeler linterface srie 7 San Francisco :
interface serial 1
description DDR connection to San Francisco
ip address 128.10.204.65 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551214
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.204.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Etant donn que tous les appels entrants sont supposs provenir du numro de tlphone configur
avec la commande dialer string, il est important de configurer le site central et les sites distants
correctement. Par exemple, si la chane de numrotation de Singapour utilise le numro de tl-
phone employ par Hong Kong pour appeler le site central, les paquets du site central destination
de Hong Kong seront envoys Singapour, et cela chaque fois que Singapour appellera via linter-
face de Hong Kong.
NOTE
Un routeur qui dispose dun port RNIS intgr peut tre capable dutiliser la fonction didentification de
lappelant. Etant donn que cette fonction nest pas disponible partout, PPP avec CHAP fournit le
mcanisme didentification. Dans la version 9.21 de System Software, PAP peut tre utilis avec PPP plutt
que CHAP, bien quil soit moins sr. La configuration de PAP serait lgrement diffrente de celle illustre
dans cette section pour CHAP.
646 Partie II Etudes de cas
De cette faon, on vite de gnrer des appels vers des destinations pour lesquelles des connexions
sont dj tablies.
Hong Kong
La configuration suivante permet Hong Kong dtablir et de recevoir des appels vers, et partir,
du site central de San Francisco :
hostname HongKong
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
!
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dtablir et de recevoir des appels vers, et partir, du
site central de San Francisco :
hostname Singapore
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password2
648 Partie II Etudes de cas
A linverse du site central, les sites distants ne contiennent pas la commande ppp authentication
chap. En effet, seul un site, le site central, appelle les sites distants. Si un seul site appelle, DDR
suppose que lappel provient du numro dfini avec la commande dialer string. Par consquent,
la commande ppp authentication chap nest pas ncessaire.
NOTE
Si les sites distants utilisent les commandes dialer map au lieu de dialer string, la commande ppp
authentication chap est ncessaire, et les commandes dialer map requirent le mot cl name. Lorsque
la commande dialer map est utilise, cela suppose que plusieurs sites peuvent appeler ou tre appels.
Notez galement que les sites distants possdent une entre username pour le routeur de San Fran-
cisco, et que ce dernier contient les mots de passe de username pour Singapour et Hong Kong.
Hong Kong
La configuration suivante permet Hong Kong dtablir et de recevoir des appels vers, et partir,
du site central de San Francisco :
hostname HongKong
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dtablir et de recevoir des appels vers, et partir, du
site central de San Francisco :
hostname Singapore
interface serial 1
description DDR connection to San Francisco
ip address 128.10.202.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
650 Partie II Etudes de cas
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.202.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password2
Tokyo
La configuration suivante permet Tokyo dtablir et de recevoir des appels vers, et partir, du site
central de San Francisco :
hostname Tokyo
interface serial 1
description DDR connection to San Francisco
ip address 128.10.204.65 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.204.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password3
Les sites distants nutilisent pas la commande ppp authentication chap car, comme nous lavons
vu, le site central est le seul appeler les sites distants. Lorsquun seul site est appelant, DDR
suppose que lappel provient du numro dfini avec la commande dialer string ; la commande ppp
authentication chap est donc inutile. Nanmoins, si les sites distants utilisent les commandes
dialer map au lieu de dialer string, la commande ppp authentication chap est ncessaire, et les
commandes dialer map requirent le mot cl name.
Vous pouvez galement constater que chaque site distant possde une entre username San Fran-
cisco qui contient le mme mot de passe que celui utilis par le site central pour identifier le site
distant.
San Francisco
128.10.200.66 (Interface de numrotation)
Tokyo
128.10.200.69
128.10.204.0
passive-interface dialer 1
redistribute static
! route vers Hong Kong
ip route 128.10.201.0 255.255.255.192 128.10.200.67
! route vers Singapour
ip route 128.10.202.0 255.255.255.192 128.10.200.68
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.200.69
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username HongKong password password1
username Singapore password password2
username Tokyo password password3
Hong Kong
La configuration suivante permet Hong Kong dappeler le site central de San Francisco :
hostname HongKong
interface ethernet 0
ip address 128.10.201.1 255.255.255.192
interface serial 1
description DDR connection to SanFrancisco
ip address 128.10.200.67 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password1
Singapour
La configuration suivante permet Singapour dappeler le site central de San Francisco :
hostname Singapore
interface ethernet 0
ip address 128.10.202.1 255.255.255.192
interface serial 1
description DDR connection to San Francisco
Chapitre 19 Routage DDR 653
Tokyo
La configuration suivante permet Tokyo dappeler le site central de San Francisco :
hostname Tokyo
interface ethernet 0
ip address 128.10.204.1 255.255.255.192
interface serial 1
description DDR connection to San Francisco
ip address 128.10.200.69 255.255.255.192
encapsulation ppp
dialer in-band
dialer wait-for-carrier-time 60
dialer string 14155551212
pulse-time 1
dialer-group 1
router igrp 1
network 128.10.0.0
ip route 128.10.0.0 255.255.0.0 128.10.200.66
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
!
username SanFrancisco password password3
Avec des liaisons loues pour liaisons principales, vous pouvez continuer utiliser les lignes
commutes en tant que solution de secours, au moyen des mthodes suivantes :
m routes statiques flottantes et DDR ;
m numrotation DTR et numrotation V.25bis.
Site central
Lexemple suivant dcrit la configuration dun site central, qui utilise des liaisons loues pour la
connectivit principale, et DDR en tant que solution de secours :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
!
interface serial 2
description leased connection to Singapore
ip address 128.10.202.66 255.255.255.192
!
interface serial 5
description backup DDR connection to Hong Kong
ip address 128.10.200.130 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118527351625
pulse-time 1
Chapitre 19 Routage DDR 655
dialer-group 1
!
interface serial 6
description backup DDR connection to Singapore
ip address 128.10.202.130 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 011653367085
pulse-time 1
dialer-group 1
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
redistribute static
!
! route vers Hong Kong avec distance administrative
ip route 128.10.200.0 255.255.255.192 128.10.200.129 150
! route vers Singapour avec distance administrative
ip route 128.10.202.0 255.255.255.192 128.10.202.129 150
! route vers Tokyo
ip route 128.10.204.0 255.255.255.192 128.10.204.65
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 255.255.255.255 0.0.0.0
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
dialer-list 1 list 101
Les interfaces srie 1 et 2 sont utilises en tant que liaisons loues vers Hong Kong et Singapour. Les
interfaces srie 5 et 6 reprsentent respectivement les solutions de secours des interfaces srie 1 et 2 ;
linterface srie 7 est utilise pour DDR vers Tokyo.
Sites distants
Chaque site distant dispose dune liaison loue en tant que liaison principale, et de DDR en tant que
solution de secours. Voici un exemple :
interface serial 0
description leased line from San Francisco
ip address 128.10.200.65 255.255.255.192
!
interface serial 1
description interface to answer backup calls from San Francisco
ip address 128.10.200.129 255.255.255.192
dialer in-band
!
router igrp 1
network 128.10.0.0
! route vers San Francisco avec distance administrative
ip route 128.10.0.0 255.255.0.0 128.10.200.130 150
656 Partie II Etudes de cas
La premire interface srie est la liaison loue ; la seconde rpond aux appels en provenance du site
central, au cas o ce dernier aurait besoin dutiliser DDR en tant que mthode alternative.
Linterface srie 5 est linterface de secours DDR pour toutes les destinations. Elle est configure
avec plusieurs adresses IP pour le routage. Les commandes dialer map associent les adresses de
prochain saut aux numros de tlphone, pour chacune des destinations. Si une route dynamique est
perdue, la route statique flottante prend le relais. Ladresse de prochain saut envoie les paquets vers
linterface srie 5, sur laquelle les commandes dialer map placent lappel.
Si deux lignes principales sont dfaillantes au mme moment, il y aura conflit dutilisation en ce qui
concerne linterface srie 5. Dans ce cas, il est possible que le temporisateur dacclration dinac-
tivit dconnecte les appels. Si linterface srie 5 se trouve en constante utilisation, lune des
liaisons principales sera dconnecte, et les paquets seront supprims. Le fait que la route de
secours soit indisponible nest pas communiqu, car il nexiste aucun moyen dannoncer que lune
des deux adresses IP sur linterface est indisponible. Les problmes de conflit dutilisation peuvent
tre vits en implmentant un groupe de rotation de numrotation.
Numrotation DTR
La version 8.3 de System Software a introduit une fonctionnalit de secours commut (dial backup).
Bien que le secours commut impose parfois davantage de restrictions que les routes statiques
flottantes, il peut tre utilis en cas de non-disponibilit des modems V.25bis, ou si des protocoles
qui ne supportent pas les routes statiques flottantes sont excuts.
Site central
Le secours commut ncessite que les modems effectuent un appel lors du dclenchement du signal
DTR. Le numro de tlphone est configur au niveau du modem, ou dun autre quipement de
communication. Ce numro est appel lorsque le signal DTR est dclench ; lappel est dconnect
une fois que le signal est dsactiv. La configuration suivante illustre comment tirer parti du secours
commut et de la numrotation DTR :
interface serial 1
description Leased connection to Hong Kong
ip address 128.10.200.66 255.255.255.192
backup interface serial 4
backup delay 0 20
!
interface serial 2
description leased connection to Singapore
ip address 128.10.202.66 255.255.255.192
backup interface serial 5
backup delay 0 20
!
interface serial 4
description backup connection for Hong Kong
ip address 128.10.200.67 255.255.255.192
658 Partie II Etudes de cas
pulse-time 10
!
interface serial 5
description backup connection for Singapore
ip address 128.10.202.67 255.255.255.192
pulse-time 10
!
interface serial 7
description DDR connection to Tokyo
ip address 128.10.204.66 255.255.255.192
dialer in-band
dialer wait-for-carrier-time 60
dialer string 0118127351625
pulse-time 1
dialer-group 1
!
router igrp 1
network 128.10.0.0
Cette solution requiert un port srie par liaison principale. Etant donn que les ports de secours sont
placs sur le mme sous-rseau que les ports srie principaux, aucune route statique nest nces-
saire. La commande backup delay sert spcifier le temps dattente avant lactivation de la ligne de
secours, suite la dfaillance de la liaison principale, ainsi que le dlai dattente avant la dsactiva-
tion de la ligne de secours, aprs rtablissement de la liaison principale. Dans ce cas, la liaison prin-
cipale sera active pendant 20 secondes avant la dsactivation de la ligne de secours. Ce dlai peut
donc provoquer des problmes dinstabilit de route (flapping) lors du rtablissement de la ligne
principale.
Sites distants
Les routes statiques flottantes ne sont pas ncessaires pour les sites distants. Ladresse IP de linter-
face de secours doit se trouver sur le mme sous-rseau que linterface principale. Lexemple
suivant illustre la configuration du routeur de Hong Kong. Linterface srie 0 correspond la liaison
loue, et linterface srie 1 rpond aux appels en tant que solution de secours :
interface serial 0
description leased line from San Francisco
ip address 128.10.200.65 255.255.255.192
!
interface serial 1
description interface to answer backup calls from San Francisco
ip address 128.10.200.68 255.255.255.192
!
router igrp 1
network 128.10.0.0
lexemple prcdent, devrait tre utilise. La liste de numrotation dclare que tout le trafic IP est
intressant, et dclenchera par consquent la numrotation. Les mises jour de routage sont inclu-
ses. Lorsquune ligne srie est utilise en tant que solution de secours, cest normalement ltat de
la liaison principale, et non le temporisateur dacclration dinactivit, qui dtermine quand
dconnecter lappel.
interface async 10
dialer in-band
dialer map ip 10.20.30.1 modem-script dial system-script login 5555555
chat-script dial ABORT ERROR "" "AT Z" OK "ATDT \T" TIMEOUT 60 CONNECT \c
chat-script login ABORT invalid TIMEOUT 30 name: sasad word: sraza ">"
"slip default"
interface async 0
dialer in-band
dialer map ip 10.10.10.10 modem-script dial system-script login 5555555
Lorsquun paquet est reu pour ladresse 10.10.10.10, la premire chose qui se produit est la localisa-
tion du script de dialogue dial. Le code suivant explique le traitement ralis pour chaque squence
attendre-envoyer dans ce script de modem :
ABORT ERROR: Si "ERROR" est rencontr, terminer excution du script.
" " "AT Z": Envoyer une commande "AT Z" au modem sans rien attendre dautre. Les
guillemets sont utiliss pour autoriser un espace dans la chane denvoi.
word: sraza: Attendre "word:" et envoyer le mot de passe qui est sraza.
">" "slip default": Attendre linvite ts et basculer en mode slip avec son
adresse par dfaut.
Rsum
Ainsi que la montr cette tude de cas, il existe de nombreuses faons dutiliser le routage par
ouverture de ligne la demande ou DDR (Dial-on Demand Routing), la fois pour laccs principal
et laccs de secours. Les sites distants peuvent effectuer des appels, ou en recevoir, ou bien les
deux. De plus, la souplesse de fonctionnement peut tre amliore, grce limplmentation de
groupes de rotation de numrotation. Ce chapitre a galement dcrit brivement lutilisation et
limplmentation de scripts de dialogue.
20
Evolutivit du routage DDR
Ltude de cas que nous prsentons ici dcrit la conception dun rseau daccs, qui autorise un
grand nombre de sites distants communiquer avec un rseau de site central existant. Les sites
distants sont constitus de rseaux locaux (LAN) qui supportent plusieurs stations de travail.
Celles-ci excutent un logiciel de traitement transactionnel, afin daccder une base de donnes,
situe sur le site central. Les objectifs suivants ont guid la conception de la partie accs du rseau :
m Le rseau existant ne peut pas tre modifi pour grer laccs des sites distants.
m Le site central doit pouvoir se connecter nimporte quel site distant, tout moment, et inversement.
m Lorsquun choix entre plusieurs techniques doit tre fait, la plus rentable est retenue.
m La conception doit tre suffisamment souple pour sadapter laugmentation du nombre de sites
distants.
Conception du rseau
Les considrations suivantes influent sur la conception du rseau :
m modles de trafic ;
m choix du mdia ;
m protocoles requis.
664 Partie II Etudes de cas
Modles de trafic
Une analyse du trafic par anticipation indique que chaque site distant appellera le site central envi-
ron quatre fois par heure, tout au long de la journe de travail. Ce type de trafic donne la possibilit
de raliser des conomies au niveau du site central, en fournissant une ligne tlphonique pour envi-
ron 2,5 sites distants, ce qui donne 48 lignes au total. Pour rpartir quitablement les appels sur les
48 lignes, les sites distants se connectent par lintermdiaire dun groupe de recherche de lignes
(hunt group). Le groupe de recherche de lignes prsente un avantage : tous les routeurs distants
composent le mme numro de tlphone afin daccder au site central, ce qui rend la configuration
des routeurs de sites distants plus facile maintenir.
Pour terminer une transaction initie par un site distant, le site central doit parfois appeler le site en
question, peu de temps aprs quil sest dconnect du site central. Pour cela, le rseau daccs doit
converger rapidement. Le site central appelle galement les sites distants priodiquement, afin de
mettre jour le logiciel de traitement transactionnel sur les stations distantes.
Choix du mdia
Les concepteurs choisissent une technologie daccs commut asynchrone sur le rseau tlphoni-
que public commut (RTC) pour les raisons suivantes :
m Disponibilit. Le rseau RTC est disponible au niveau de tous les sites distants. Certains
rseaux, tels le Frame Relay et RNIS (Rseau numrique intgration de services), ne sont pas
accessibles sur tous les sites distants.
m Bande passante. Le logiciel de traitement transactionnel gnre une faible quantit de trafic
entre les sites distants et le site central. Pour ce type dapplication faible trafic, la bande
passante fournie par les liaisons asynchrones est acceptable. De faon occasionnelle, le site
central appelle les sites distants afin de maintenir jour le logiciel de traitement transactionnel
sur les clients distants. Cette activit se produira la nuit (en labsence dactivit du logiciel), afin
que la bande passante disponible pour les liaisons asynchrones soit suffisante.
m Cot. Eu gard aux faibles exigences en matire de bande passante, le cot dinstallation et de
fonctionnement dun quipement Frame Relay ou RNIS ne serait pas justifi.
NOTE
Bien que le rseau dcrit dans cette tude de cas utilise une technique de numrotation asynchrone sur le
rseau RTC, la plupart des concepts, tels que ladressage et les stratgies de routage, sappliquent
galement lors de ladaptation dautres technologies par circuits commuts (tel RNIS).
Protocoles requis
Les stations distantes excutent une application de traitement transactionnel, qui utilise TCP/IP
(Transmission Control Protocol/Internet Protocol) afin de se connecter la base de donnes situe
sur le site central. Elles nont aucun besoin dexcuter un autre protocole de la couche rseau. Par
consquent, le choix le plus rentable pour un routeur de site distant est un routeur qui fournit une
interface Ethernet, ainsi quune interface asynchrone, et qui supporte le protocole RIP (Routing
Information Protocol).
Chapitre 20 Evolutivit du routage DDR 665
Solution matrielle
Un serveur daccs Cisco AS5100 est install sur le site central afin de fournir 48 interfaces asyn-
chrones. Etant donn quil est constitu de trois cartes de serveur daccs fondes sur le serveur
daccs Cisco 2511, il quivaut en fait trois serveurs Cisco 2511. Chaque carte de serveur daccs
fournit 16 lignes asynchrones, quipes chacune dun modem U.S. Robotics Courier intgr.
NOTE
Pour les besoins de cette tude de cas, nous nous rfrerons aux trois cartes du serveur daccs Cisco AS5100
en tant que routeurs daccs de site central.
Chaque site distant est dot dun routeur Cisco 1020, qui fournit une seule interface de ligne asyn-
chrone, ainsi quune interface Ethernet pour la connexion au rseau local distant. Ce routeur
excute un ensemble limit de protocoles, dont TCP/IP et RIP. Des modems U.S. Robotics Sportser
assurent la connectivit des sites distants. Le fait dutiliser une mme marque de modem sur tout le
rseau daccs simplifie la dfinition des scripts de dialogue ainsi que la configuration des modems,
et en facilite galement la gestion.
Un routeur Cisco 4500 contrle le routage entre la nouvelle zone daccs du rseau et lpine dorsale.
Plus prcisment, lorsque des htes situs de lautre ct de lpine dorsale souhaitent se connecter
un site distant, ce routeur leur garantit une connexion via le routeur daccs de site central qui prsente
le meilleur chemin. La Figure 20.1 illustre la topologie de la portion daccs du rseau.
Figure 20.1
Topologie daccs distant. Epine dorsale
d'entreprise
Serveur
Cisco 4500
E0
Cisco AS5100
Cisco
Routeur 2 1020
Rseau Tlphonique
A1 public Commut (RTC) A1 Routeurs
Cisco distants
1020 Routeur 121
A1
Cisco
1020 Routeur N
Client
666 Partie II Etudes de cas
Solution logicielle
La configuration des routeurs daccs de site central et des routeurs de sites distants doit fournir les
informations suivantes :
m authentification ;
m adressage de la couche rseau ;
m stratgie de routage.
Authentification
Le trafic entre les sites distants et le site central contient des informations confidentielles. Pour cette
raison, lauthentification est un souci majeur. Les sites peuvent sauthentifier de deux faons :
m Authentification PPP (Point-to-Point Protocol). Les protocoles PAP (Password Authentication
Protocol) ou CHAP (Challenge Handshake Authentication Protocol) peuvent tre utiliss.
m Authentification douverture de session. Le routeur demande au routeur distant appelant de
fournir un nom dhte et un mot de passe. Le routeur distant ouvre ensuite une session, puis lance
PPP.
Dans les deux cas, la base de donnes des noms dutilisateurs et des mots de passe peut tre stocke
localement, ou sur un serveur TACACS (Terminal Access Controller Access Control System) tendu.
TACACS+ assure une gestion centralise des mots de passe pour tous les routeurs daccs de site
central, et fournit des informations dtailles de comptabilit des connexions entrantes et sortantes
relatives aux sites distants.
Cette conception de rseau implique la mise en uvre de lauthentification douverture de session,
car elle permet aux sites distants dannoncer leur adresse IP aux routeurs daccs de site central, tel
que dcrit la prochaine section : "Adressage de la couche rseau". PPP pourrait tre lanc automa-
tiquement si TACACS+ tait employ pour supporter lassignation dadresses IP par utilisateur.
A lorigine, le nuage de numrotation ne possde pas dadresse ddie. Sil devait en avoir une dans
le futur, les questions suivantes devraient tre prises en considration :
m Le nuage de numrotation peut-il utiliser le mme masque de sous-rseau que les sites distants ?
Dans la ngative, le support des masques de sous-rseau de longueur variable (VLSM, Variable
Length Subnet Mask) sera ncessaire, sachant que RIP ne supporte pas VLSM.
m Lutilisation de plusieurs adresses de sous-rseau de Classe C peut-elle entraner un adressage
discontinu des sous-rseaux au niveau des sites distants ? Dans laffirmative, le support de sous-
rseaux discontinus sera requis, sachant que RIP ne fournit pas un tel support.
Sur ce rseau, ces questions sont sans importance. Etant donn quun masque de 255.255.255.0
peut tre utilis partout sur le rseau, la question des VLSM ne se pose pas. De plus, tant donn
que tous les sous-rseaux appartiennent au mme rseau principal de classe B, il ny a pas de
problme de discontinuit des sous-rseaux. Le Tableau 25.1 rsume ladressage de la portion
daccs du rseau.
NOTE
La fonction Autoselect permet au routeur de lancer automatiquement un processus appropri, tel PPP,
lorsquil reoit un caractre de dpart de la part du routeur qui a ouvert une session. Pour pouvoir utiliser
cette fonction, un mcanisme qui permet de grer ladressage IP dynamique est ncessaire, tel le support
dadresses par utilisateur de TACACS+.
Stratgie de routage
Le dveloppement dune stratgie de routage pour ce rseau se fonde sur les deux exigences suivantes :
m Lorsquun site distant particulier nest pas connect au site central, il doit tre joignable par
lintermdiaire de nimporte quel routeur daccs de site central, au moyen dune route statique
configure sur chacun deux.
m Lorsquun site distant particulier a ouvert une session sur un routeur daccs de site central, il
doit tre joignable par lintermdiaire de ce routeur, au moyen dune route dynamique qui a t
tablie pour cette connexion, et propage vers lpine dorsale.
Pour satisfaire ces exigences, les routeurs daccs de site central indiquent au routeur Cisco 4500
les routes de rseau principales qui mnent aux sites distants. Toutes les routes vers les sites distants
sont de cot gal, partir des routeurs de site central. Chacun deux est configur avec une route
statique vers chaque site distant. Pour permettre au routeur Cisco 4500 de se connecter aux sites
distants par lintermdiaire de nimporte quel routeur de site central, la commande de configuration
dinterface no ip route-cache est configure sur son interface Ethernet 0, ce qui dsactive la
commutation rapide dIP vers le sous-rseau partag avec les routeurs de site central. Le
routeur Cisco 4500 peut ainsi utiliser, en alternance, les trois routeurs daccs lorsquil dclenche
des appels sortants. Cette stratgie augmente la fiabilit du rseau, en cas de dfaillance de lun des
routeurs daccs.
Lorsquun site distant ouvre une session, il annonce son adresse IP, puis envoie un message flash
RIP. Ce message provoque lcriture immdiate dune route dynamique vers le site distant, dans la
table de routage du routeur daccs de site central. Cette route dynamique remplace la route statique
pour la dure de la connexion.
Ensuite, le routeur de site central redistribue la route RIP dans OSPF (Open Shortest Path First), et
lenvoie tous ses voisins OSPF, y compris le routeur Cisco 4500, qui lenregistrent dans leur table
de routage. Le routeur Cisco 4500 dispose prsent de routes de rseau principales vers tous les
sites distants, ainsi que dune route dynamique vers le site distant spcifique qui a ouvert la session.
Si un hte de site central doit communiquer avec un site distant particulier actuellement connect, il
utilise alors la route dynamique.
Lorsque le site distant ferme la session, la route dynamique est supprime de la table de routage du
routeur Cisco 4500, et la route statique vers le site distant est rtablie sur le routeur daccs de site
central auquel il sest connect.
Si un hte de site central doit communiquer avec un site distant non connect, il emprunte la route
de rseau principale dfinie sur le routeur Cisco 4500. Parmi les routeurs daccs de site central
(slectionns tour de rle), lun deux est choisi afin dtablir lappel vers le site distant, via la
route statique dfinie dans sa configuration. A limage dun site distant qui appelle le site central,
Chapitre 20 Evolutivit du routage DDR 669
une fois la connexion tablie, le routeur distant envoie un message flash RIP, qui provoque lcriture
immdiate dune route dynamique vers le site distant, dans la table de routage du routeur daccs.
La route dynamique est redistribue dans OSPF, puis enregistre dans la table de routage du
routeur Cisco 4500. La Figure 20.2 prsente un diagramme qui synthtise les diffrentes phases de
la stratgie de routage.
Diagramme des phases Routes de rseau principales vers Routes de rseau principales vers
de la stratgie de routage. sites distants ; toutes de cot gal. sites distants ; toutes de cot gal.
Routes statiques vers sites distants. flash RIP Route RIP Routes statiques
vers sites distants.
Routeur 2 Routeur 2
Phase 1. Site distant non connect ; routes jour. Phase 2. Site distant connect, mais route vers ce site
pas mise jour sur Cisco 4500.
Routes statiques vers sites distants. Routes statiques vers sites distants.
Routeur 2 Routeur 2
Phase 3. Route vers site distant mise jour sur Cisco 4500. Phase 4. Site distant dconnect ; routes pas mises
jour. Sur Cisco 4500, la route vers le site distant doit
tre supprime ; sur CENTRAL-1, la route statique
vers le site distant doit tre restaure.
Les problmes de convergence suivants se rapportent aux phases du diagramme illustr la Figure 20.2 :
m Entre la phase 2 et la phase 3, un hte sur le site central tablit un appel vers un site distant. Tant
que la phase 3 na pas eu lieu (au cours de laquelle la route est mise jour sur le routeur Cisco
4500), tout routeur daccs de site central qui tente dappeler le site distant obtiendra un signal
doccupation. Dans la pratique, un seul appel choue en gnral, car, avant quune seconde
tentative dappel ait eu lieu, la route est mise jour avec la phase 3. La route dynamique tant
alors disponible, il nest pas ncessaire deffectuer un autre appel.
m Lorsque le site distant se dconnecte, un intervalle minimal de 120 secondes scoule avant que
la route statique ne soit rtablie, dans la table de routage du routeur daccs de site central sur
670 Partie II Etudes de cas
lequel le site distant a ouvert la session. Tout dabord, RIP met 35 secondes pour dterminer que
le site distant sest dconnect et quil nenvoie plus de mises jour RIP. Six secondes plus tard, le
routeur de site central examine sa table de routage, puis restaure lune des deux routes statiques
pour le site distant ; encore six secondes plus tard, il examine de nouveau sa table de routage pour
rtablir la seconde route statique. Pour plus dinformations sur lexistence de deux routes stati-
ques pour chaque site distant, voyez la section "Configuration du routage statique", plus bas dans
ce chapitre.
NOTE
Linstallation rapide de routes statiques est une nouvelle fonctionnalit de la version 11.1 de Cisco IOS . Elle
permet le rtablissement rapide dune route statique, suite la dconnexion dun site distant.
Avant que la mise jour ait lieu, si le routeur Cisco 4500 dirige un appel vers le routeur 2 via le
routeur CENTRAL-1, il naboutira pas : il devra donc tre renouvel. Etant donn que la commuta-
tion rapide dIP est dsactive sur le routeur Cisco 4500 (qui utilise des chemins de mme cot vers
chaque routeur daccs de site central), il enverra le prochain paquet vers le routeur CENTRAL-2
ou vers le routeur CENTRAL-3 (qui possde toujours une route statique vers le routeur 2), et
lappel aboutira.
NOTE
Lors du dveloppement de la stratgie de routage pour ce rseau, les concepteurs ont envisag lutilisation
du routage Snapshot, car il rduit le cot des connexions, en limitant lchange de mises jour de protocoles
de routage. Pour que le routage Snapshot fonctionne correctement, chaque site distant doit se connecter au
mme routeur daccs, chaque fois quil appelle le site central. Dans une telle conception, les routeurs
distants se connectent aux routeurs de site central par lintermdiaire dun groupe de recherche de lignes,
de faon quil ny ait aucun moyen de contrler sur quel routeur de site central un routeur distant sest
connect pour une connexion donne. Par consquent, le routage Snapshot ne convient pas pour cette
conception.
Chaque routeur distant peut appeler lun des trois routeurs de site central, ce qui explique la prsence
dune commande de configuration globale username pour chaque routeur distant. Lorsquun routeur
distant ouvre une session, il indique un nom (par exemple, "Router2") et un mot de passe (par exem-
ple, "secret"), qui doivent correspondre aux valeurs spcifies par une commande username. Chaque
site distant utilise un script de dialogue (chat script) pour ouvrir une session, ainsi que fournir son
nom dhte et son mot de passe. Pour plus dinformations sur le script de dialogue utilis par le site
distant, voyez la section "Configuration de scripts de dialogue pour appeler le site central", plus bas
dans ce chapitre.
Les trois commandes de configuration globale chat-script dfinissent trois scripts de dialogue,
CALL1020, REM et USRV32BIS. Les scripts CALL1020 et REM sont invoqus par les comman-
des dialer map pour, respectivement, appeler les sites distants et y ouvrir une session. La
commande script reset spcifie que le script USRV32BIS doit tre excut chaque fois quune
672 Partie II Etudes de cas
ligne asynchrone est rinitialise, afin de garantir que les modems de site central sont toujours
configurs correctement.
distant dindiquer son adresse IP lorsquil ouvre une session. La commande de configuration
dinterface async dynamic routing autorise linterface excuter un protocole de routage, dans ce
cas RIP.
La commande de configuration dinterface async mode interactive autorise un routeur distant se
connecter et accder linterface de commande EXEC, ce qui lui permet de lancer PPP, et de
spcifier son adresse IP.
La commande de configuration dinterface dialer in-band autorise lusage des scripts de dialogue
sur linterface asynchrone. Ces scripts permettent au routeur daccs dappeler les sites distants. La
commande de configuration dinterface dialer rotary-group assigne chaque interface asynchrone
au groupe de rotation de numrotation 20.
La commande de configuration globale interface dialer dfinit le groupe de rotation 20. Toutes
les commandes de configuration dinterface qui sont appliques un groupe de rotation de numro-
tation sappliquent galement aux interfaces physiques qui en sont membres. Lorsque la configura-
tion dun routeur inclut de nombreuses destinations, chacune des interfaces du groupe de rotation
peut tre utilise pour effectuer un appel.
La commande de configuration dinterface ip unnumbered indique que ladresse IP de linterface de
bouclage 1 doit tre utilise pour tous les paquets IP susceptibles dtre gnrs par le groupe de rota-
tion 20. La commande de configuration dinterface dialer idle-timeout provoque une dconnexion,
en labsence de trafic intressant au bout de 60 secondes.
La configuration inclut une commande de configuration dinterface dialer map pour chaque routeur
distant susceptible dtre appel par le routeur central. Le mot cl ip indique que la correspondance
de numrotation doit tre utilise pour les paquets IP, et que ladresse IP est ladresse de prochain
saut de la destination appeler. Le mot cl name indique le nom dhte du routeur distant qui doit
tre appel. Les mots cls modem-script et system-script spcifient respectivement lutilisation
des scripts de dialogue CALL1020 et REM. La dernire valeur fournie par la commande dialer map
est le numro de tlphone du routeur distant. Ces commandes dialer map nutilisent pas le mot cl
broadcast, ce qui empche les mises jour RIP dtre envoyes vers les sites distants.
674 Partie II Etudes de cas
La commande de configuration globale router ospf active le processus de routage OSPF, puis lui
assigne un identifiant de processus 110.
La premire commande de configuration de routeur redistribute entrane la redistribution des
routes IP statiques dans OSPF. Le mot cl subnets indique que les sous-rseaux doivent tre redistri-
bus, et le mot cl route-map spcifie que seules les routes autorises par la correspondance de route
STATIC-TO-OSPF doivent tre redistribues. Cette dernire autorise la redistribution des routes qui
correspondent la liste daccs 21, qui, elle, autorise uniquement le rseau 172.16.0.0 principal.
La seconde commande de configuration de routeur redistribute entrane la redistribution des
routes RIP statiques dans OSPF. Le mot cl subnets indique que les sous-rseaux doivent tre
redistribus, et le mot cl route-map spcifie que seules les routes autorises par la correspondance
de route RIP-TO-OSPF doivent tre redistribues. Cette dernire autorise la redistribution des
routes qui correspondent la liste daccs 20, qui, elle, autorise uniquement les routes qui commen-
cent par 172.16 et se terminent par .0 (le troisime octet est gnrique). En effet, la correspondance
de route RIP-TO-OSPF autorise uniquement les sous-rseaux qui correspondent ladresse
172.16.x.0.
Chapitre 20 Evolutivit du routage DDR 675
Une commande de configuration de routeur passive-interface est applique pour chaque interface
asynchrone, ce qui signifie quaucune information de routage OSPF nest envoye ou reue via ces
interfaces. La commande de configuration de routeur distance assigne une distance administrative
de 210 au processus de routage OSPF. Cela permet aux routeurs daccs de site central de choisir
leurs routes statiques (avec une distance administrative de 200) la place des routes apprises par
OSPF.
NOTE
Lorsquun site distant ouvre une session et quune route dynamique est tablie pour cette connexion, les
autres routeurs daccs conservent leur route statique pour ce site distant. Lorsquun site distant se
dconnecte, les autres routeurs daccs nont pas besoin de mettre jour leurs tables de routage,
puisquelles contiennent toujours la route statique ncessaire pour appeler le site distant.
La commande de configuration de routeur timers basic dfinit les valeurs des temporisateurs de
mise jour (update), dinvalidit (invalid), de retenue (holddown) et de nettoyage (flush). Cette
commande spcifie que les mises jour RIP doivent tre envoyes toutes les 30 secondes, quune
route doit tre dclare invalide si aucune mise jour nest reue pour cette route dans un dlai de
35 secondes aprs la mise jour prcdente, que le temps durant lequel les meilleures routes
doivent tre supprimes est de 0 seconde, et quune route invalide est limine de la table de routage
au bout de 1 seconde. La modification de ces temporisateurs, telle quelle est effectue ici, rsulte
en un temps de convergence optimal, lors de la dconnexion dun site distant.
La commande de configuration de routeur network indique que le rseau 172.16.0.0 doit participer
au processus de routage RIP. Puisquil nest pas ncessaire de propager les routes RIP vers les
routeurs Cisco 1020, la commande de configuration de routeur distribute-list out spcifie que la
liste daccs 10 doit tre utilise pour contrler les annonces dans les mises jour. La liste daccs
10 empche que les routes RIP ne soient envoyes vers les sites distants.
La premire commande de configuration globale ip route cre une route statique pour le rseau
principal 172.16.0.0, puis lassigne linterface de numrotation 20. Lorsquelle est redistribue
dans OSPF, la route indique au routeur Cisco 4500 que ce routeur daccs de site central peut acc-
der aux sites distants. Si ce routeur daccs tombe en panne, le routeur Cisco 4500 apprend que la
676 Partie II Etudes de cas
route nest plus disponible il la supprime alors de sa table de routage. Cette route est redistribue
dans OSPF au moyen du filtre STATIC-TO-OSPF. La premire commande ip route est suivie de
couples de routes statiques, un couple pour chaque site distant :
ip route 172.16.2.0 255.255.255.0 172.16.2.1 200
ip route 172.16.2.1 255.255.255.255 Dialer20
...
ip route 172.16.121.0 255.255.255.0 172.16.121.1 200
ip route 172.16.121.1 255.255.255.255 Dialer20
Dans des environnements sans adressage IP ddi, deux routes statiques sont ncessaires pour
chaque site distant :
m Une route statique pointe sur le prochain saut dans la correspondance de numrotation. Notez
que le chiffre "200" fait de cette route une route statique flottante, mais qui est infrieure aux
routes OSPF (dfinies 210 par la commande distance, plus haut dans la configuration). Cela
signifie quune route RIP dclenche par une connexion vers un site distant (quelle lait t au
moyen dun site distant ou du site central) remplace la route statique. Une mise jour OSPF
initie par un site distant qui se connecte nentrane pas le remplacement de la route statique qui
pointe sur ladresse de prochain saut dans la correspondance de numrotation.
m Une route statique qui dfinit linterface sur laquelle peut tre trouve ladresse de prochain saut
(dans ce cas, linterface de numrotation 20). Cette route est requise par les interfaces sans
adresse ddie. Notez quil nest pas ncessaire de faire de cette route une route statique flottante.
Problmes de scurit
La configuration de chaque routeur daccs de site central inclut la commande de configuration de
ligne login pour chaque ligne asynchrone, et spcifie le mot cl local. Avec cette commande, le
routeur daccs compare le nom dutilisateur et le mot de passe, spcifis par la commande de
configuration globale username, avec ceux fournis par le site distant lorsquil ouvre une session.
Cette mthode de scurit est requise pour permettre au site distant douvrir une session et de spci-
fier son adresse IP.
Commande site
La configuration de chaque routeur distant inclut la commande de configuration site suivante :
site CENTRAL
dial-on demand
encapsulation ppp
ip address 172.16.1.1 255.255.255.0
routing rip broadcast
dialgroup 1
678 Partie II Etudes de cas
session-timeout 5
system-script CENTRALDIAL
password secret
max-ports 1
Ces commandes ip route dfinissent les routes IP statiques des rseaux situs au niveau du site
central, tous joignables par le biais dune adresse de prochain saut 172.16.1.1 (ladresse IP partage
par tous les routeurs daccs sur le site central). Toutes ces commandes spcifient une distance
administrative de 1, qui est la valeur par dfaut.
Chapitre 20 Evolutivit du routage DDR 679
Configuration complte
Cette section prsente les configurations compltes des routeurs CENTRAL-1 et Router 2.
dialer rotary-group 20
!
interface dialer 20
ip unnumbered loopback 1
encapsulation ppp
dialer in-band
dialer idle-timeout 60
dialer fast-idle 60
dialer map ip 172.16.2.1 name Router2 modem-script CALL1020 system-script REM 5551234
...
dialer map ip 172.16.121.1 name Router121 modem-script CALL1020 system-script REM
5555678
dialer-group 3
!
router ospf 110
redistribute static subnets route-map STATIC-TO-OSPF
redistribute rip subnets route-map RIP-TO-OSPF
passive-interface async 1
...
passive-interface async 16
network 172.19.0.0 0.0.255.255 area 0
distance 210
!
router rip
timers basic 30 35 0 1
network 172.16.0.0
distribute-list 10 out Dialer20
!
ip default-gateway 172.19.1.10
!
ip route 172.16.0.0 255.255.0.0 Dialer20
ip route 172.16.2.0 255.255.255.0 172.16.2.1 200
ip route 172.16.2.1 255.255.255.255 Dialer20
...
ip route 172.16.121.0 255.255.255.0 172.16.121.1 200
ip route 172.16.121.1 255.255.255.255 Dialer20
txspeed 38400
flowcontrol hardware
line aux 0
transport input all
line vty 0 4
exec-timeout 20 0
password cisco
login
!
end
Configuration de Router 2
Voici la configuration complte de Router 2. Les portions qui doivent tre uniques pour chaque
routeur distant sont mises en gras :
version 1.1(2)
!
hostname Router2
!
enable-password cisco-a
!
chat-script CENTRALDIAL "" "ATDT 5551111" "CONNECT" "" "name:" "Router2" "word:"
"secret" ">" "ppp 172.16.2.1"
!
interface ethernet 0
ip address 172.16.2.1 255.255.255.0
!
interface async 1
speed 38400
modem-type usr-sport-v32
dialer rotary-group 1
!
site CENTRAL
dial-on demand
encapsulation ppp
ip address 172.16.1.1 255.255.255.0
routing rip broadcast
dialgroup 1
session-timeout 5
system-script CENTRALDIAL
password secret
max-ports 1
!
modem-def usr-sport-v32 "USR Sportster v.32bis" 38400 "" "AT&F1" "OK"
!
ip route 150.10.0.0 172.16.1.1 1
ip route 172.18.0.0 172.16.1.1 1
ip route 172.19.0.0 172.16.1.1 1
ip route 172.21.0.0 172.16.1.1 1
ip route 172.22.0.0 172.16.1.1 1
connecter au rseau augmente galement. Une solution de connexion distance volutive est nces-
saire afin de faire face la demande en ports de connexions entrantes. Il est frquent, pour une
entreprise croissance rapide, de passer en moins dun an de 50 200 modems. Il est recommand
de toujours prvoir un certain nombre de ports de connexions entrantes afin de pouvoir sadapter
lexpansion de la socit ainsi quaux pointes occasionnelles de demandes daccs. Dans une entre-
prise croissance rapide qui dispose, ses dbuts, de 50 modems installs pour 3 000 utilisateurs
distants enregistrs, seuls 20 30 modems sont actifs la plupart du temps. Un an plus tard,
200 modems pourraient tre installs pour supporter 8 000 utilisateurs.
Gardez toujours lesprit que la demande globale daccs distant peut galement augmenter ponc-
tuellement de faon considrable, par exemple lors doccasions spciales pour lentreprise. Dans
ces situations, les lignes entrantes sont fortement sollicites, de jour, mais galement dans la soire,
en raison daccs distance la messagerie et aux fichiers partags via des ordinateurs portatifs, ce
qui signifie que des utilisateurs travaillent partir de leur domicile. Les administrateurs de rseau
doivent se prparer ces pointes daccs distance, qui font soudain crotre la demande. De plus,
vous pouvez parfois observer, certains moments de la journe, une utilisation intensive des lignes,
sans quil y ait de rapport avec lactivit en cours. Cela peut sexpliquer par des oprations de tl-
chargement de fichiers ou de consultation de messagerie sur le site central, inities par des utilisa-
teurs qui travaillent dans des succursales, ou itinrants. Ces utilisateurs se connectent souvent au
rseau dentreprise partir du rseau local de leur bureau distant en utilisant RNIS, ou bien partir
dune chambre htel, au moyen dun modem.
Il existe plusieurs profils dutilisateurs qui se connectent au rseau dentreprise distance :
m Les utilisateurs qui emploient des stations de travail afin de se connecter au rseau de lentreprise
partir dun petit bureau distant ou de leur domicile. Ils exploitent des connexions RNIS avec
adaptateurs de terminaux, ou cartes PC sur le rseau RTC, qui ne ncessitent pas de modem.
m Les utilisateurs itinrants, tels que les commerciaux, qui se connectent habituellement au rseau
de lentreprise via le rseau RTC, au moyen dun ordinateur portatif dot dun modem, et qui
consultent surtout la messagerie ou transfrent de nouveaux fichiers.
m Les utilisateurs qui travaillent la plupart du temps dans les bureaux de la socit, mais qui se
connectent occasionnellement distance, laide dune station de travail mobile ou fixe avec
modem, afin daccder principalement la messagerie et aux fichiers partags.
Les rseaux locaux de bureaux distants utilisent principalement RNIS pour se connecter dautres
rseaux, en raison de la bande passante que fournit ce mdia et que les connexions tlphoniques
analogiques ne peuvent atteindre. Ceux qui utilisent le Frame Relay pour accder dautres rseaux
requirent une liaison ddie. Dans certaines situations, les connexions inities par ces bureaux
distants ou par des utilisateurs itinrants sont tablies uniquement lorsque cela est ncessaire, ce qui
implique des conomies pour lentreprise. Lorsque le routage DDR est mis en uvre, les utilisa-
teurs peuvent demeurer non connects pendant de longs moments. Le nombre de nuds distants qui
ncessitent un accs est relativement faible, et le temps dtablissement des connexions est court. Si
le routage DDR est exploit sur des configurations purement IP, des routes statiques sont gnrale-
ment utilises pour les connexions distance. Sur les rseaux IPX, le routage Snapshot permet de
limiter la complexit de configuration.
Chapitre 20 Evolutivit du routage DDR 683
Ce sont rarement les sites centraux qui se connectent aux rseaux LAN ou utilisateurs distants, mais
plutt linverse ; cette communication est unidirectionnelle. A de trs rares occasions, le serveur
daccs de site central (par exemple, un Cisco AS5300) doit contacter un site distant (par exemple,
un routeur RNIS Cisco 1604) en mme temps quil reoit des appels entrants. Une fois la connexion
tablie, le site distant excute une application de traitement par lots avec le mainframe du site
central. Pendant le transfert des fichiers entre les deux sites, un autre site distant peut se connecter
au site central. Les appels distants analogiques ou numriques se font habituellement vers des
routeurs RNIS distants, tel le Cisco 1604. De plus, comme nous lavons mentionn, ils sont plutt
initis par un PC distant en direction du site central. Il peut galement arriver quun site central
appelle un site distant, en rponse une demande de livraison de courrier lectronique. La fonction
de rappel (callback) est active uniquement pour les connexions entrantes. Noubliez pas que MMP
(MultiChassis MultiLink PPP) et VPDN (Virtual Private Dialup Network) sont des solutions de
connexion entrante uniquement.
Cisco qui supporte RNIS PRI, tel le Cisco 4700-M charg avec un module de rseau PRI T1
fractionn.
m Configuration dun seul serveur daccs Cisco, par exemple un AS52/53/5800, afin de recevoir
des appels de PC distants connects des adaptateurs de terminaux ou des modems. Etant
donn que lInternet crot de faon exponentielle, ainsi que les demandes daccs lInternet, de
nombreux oprateurs tlphoniques et fournisseurs FAI doivent mettre en place des points
daccs de grande taille. Les configurations de laccs lInternet peuvent tre dfinies de faon
autoriser les appels entrants dutilisateurs distants qui se connectent partir dordinateurs indi-
viduels, ainsi qu tablir des connexions mixtes, via des liaisons multilignes RNIS ou par
modem, une pile de serveurs daccs universels qui excutent MMP. Lors dappels RNIS
entrants, un lment dinformation de capacit du canal porteur contenu dans le paquet de
demande de connexion indique si lappel est de type voix ou donnes. Une fois que les appels
ont t accepts par le serveur daccs, ils sont routs soit vers la configuration srie, soit vers la
configuration avec modems et groupe asynchrone.
Rsum
Cette tude de cas montre quil est possible dadapter le routage DDR de grands rseaux
commutation de circuits. Dans le futur, si le nombre de sites distants dpasse la capacit des
48 interfaces asynchrones, des routeurs supplmentaires pourront tre installs, sans avoir modi-
fier la stratgie de routage. Ce chapitre a galement abord les aspects relatifs la conception de
rseaux commuts dentreprise et de fournisseurs de services Internet.
21
Emploi efficace de RNIS
en milieu multiprotocole
Le dveloppement de RNIS en tant que moyen de connexion pour les sites distants est li la multi-
plication des services RNIS proposs par les oprateurs tlphoniques. Cette tude de cas couvre
les scnarios RNIS suivants :
m Configuration de DDR sur RNIS. Ce scnario de tltravail dcrit la configuration de bureaux
installs au domicile des utilisateurs, qui exploitent RNIS en tant que moyen de connexion un
rseau central dentreprise. Il illustre lutilisation des numros didentification de lignes appe-
lantes pour empcher les accs non autoriss au rseau central.
m Configuration du routage Snapshot sur RNIS. Le routage Snapshot assure un accs rentable au
rseau dentreprise, partir dune agence ou dun bureau domicile. Cette mthode de routage
est employe pour faire voluer le rseau de tltravail et contrler les mises jour de routage sur
les rseaux Novell IPX.
m Configuration dAppleTalk sur RNIS. Ce scnario illustre comment contrler les paquets
AppleTalk susceptibles de dclencher des connexions RNIS inutiles.
m Configuration de IPX sur RNIS. Ce scnario dcrit comment configurer IPX comme tant un
protocole de niveau 3 pour RNIS.
lenvironnement Clean Air Act, et de dvelopper la productivit des employs. En Europe, les entre-
prises recherchent des solutions qui permettent des bureaux distants de se connecter aux sites
centraux. Par le pass, les modems analogiques assuraient la connectivit ncessaire sur des lignes
srie, mais ils ne sont pas assez rapides pour des connexions entre rseaux locaux (LAN) ou pour
lutilisation distante de programmes graphiques, tels les outils de CAO (conception assiste par
ordinateur). Le principal avantage de RNIS est quil fournit la bande passante supplmentaire
ncessaire, sans avoir utiliser de lignes loues.
Un accs RNIS de base via linterface BRI (Basic Rate Interface) fournit deux canaux B 64 Kbit/s
pour le transport de la voix et des donnes, et un canal D 16 Kbit/s pour la signalisation. Les infor-
mations vocales et les donnes sont transportes numriquement sur les canaux B. Aux Etats-Unis,
laccs RNIS primaire avec linterface PRI (Primary Rate Interface) peut fournir 23 canaux B
64 Kbit/s pour le transport de la voix et des donnes sur une ligne T1, et un canal D 64 Kbit/s pour
la signalisation. En Europe, un accs RNIS primaire fournit 30 canaux B pour le transport de la voix
et des donnes, et un canal D pour la signalisation sur une ligne E1.
La Figure 21.1 illustre le rseau qui sert dexemple pour cette tude de cas. Il utilise plusieurs
commutateurs RNIS de bureau central.
Figure 21.1
Exemple de rseau RNIS. Rseau tlphonique commut
Bureau Bureau
central central
5 ESS
2503
Nick
Dans cette tude de cas, les sites distants ( domicile) exploitent des routeurs Cisco 2503 qui four-
nissent une interface BRI, une interface Ethernet et deux interfaces srie haute vitesse. Sur le site
central de lentreprise, un routeur de la srie Cisco 7000 quip dune ligne T1 fractionne rpond
aux appels. La carte de ligne T1 fractionne fournit une interface PRI.
Dans de nombreux endroits des Etats-Unis, les compagnies de tlphone nont pas dploy le
systme de signalisation SS7 (Signaling System 7), ce qui signifie que les appels entre certains
bureaux centraux doivent tre tablis la vitesse de 56 Kbit/s. Cette restriction ne sapplique pas
lensemble des Etats-Unis, ou dautres pays, mais elle concerne certains des exemples de rseaux
RNIS dcrits dans ce chapitre.
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 687
Site central
Deux utilisateurs de sites distants, Dave et Nick, tablissent des appels partir de leur domicile
respectif vers le routeur du site central, qui est configur comme suit. Une partie de la configuration
est spcifique au commutateur DMS-100, alors que les autres commandes sappliquent tout type
de commutateur RNIS de bureau central :
hostname central-isdn
!
username dave-isdn password 7 130318111D
username nick-isdn password 7 08274D02A02
isdn switch-type primary-dms100
!
interface ethernet 0
ip address 11.108.40.53 255.255.255.0
688 Partie II Etudes de cas
no mop enabled
!
controller t1 1/0
framing esf
linecode b8zs
pri-group timeslots 2-6
!
interface serial 1/0:23
ip address 11.108.90.53 255.255.255.0
encapsulation ppp
dialer idle-timeout 300
dialer map ip 11.108.90.1 name dave-isdn speed 56 914085553680
dialer map ip 11.108.90.7 name nick-isdn 8376
dialer-group 1
ppp authentication chap
!
router igrp 10
network 11.108.0.0
redistribute static
!
! route vers nick-isdn
ip route 11.108.137.0 255.255.255.0 11.108.90.7
! route vers dave-isdn
ip route 11.108.147.0 255.255.255.0 11.108.90.1
!
access-list 101 deny igrp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
!NTP
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
!SNMP
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 161
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.25 du nom
dhte.255
!
dialer-list 1 list 101
La configuration dbute par la dfinition du nom dhte du routeur central, au moyen de la
commande hostname. Les instructions qui utilisent la commande username dfinissent les noms des
routeurs qui sont autoriss appeler ce routeur (du site central). Les noms correspondent au nom
dutilisateur du routeur de Dave et celui du routeur de Nick. La commande isdn switch-type
indique que ce routeur se connecte un commutateur NorTel DMS-100. Le nom dhte, les noms
dutilisateurs et le type de commutateur RNIS varient selon le routeur configur.
Configuration de contrleur
La commande controller utilise la valeur t1 pour dclarer une interface de contrleur T1. La
valeur 1 indique que la carte de contrleur est situe dans le connecteur numro 1 du panneau
arrire de connexion. La valeur 0 dsigne le port 0.
La commande framing slectionne le type de trame pour la ligne de donnes T1. Dans ce cas, elle
utilise le mot cl esf pour indiquer le type ESF (Extended Super Frame). Le fournisseur de services
dtermine le type de trame appropri pour votre circuit T1/E1 parmi les types sf, esf ou crc4.
La commande linecode dfinit le type de code de ligne pour la ligne de donnes T1. Dans cet exem-
ple, elle utilise le mot cl b8zs pour indiquer lutilisation du code B8ZS (Bipolar 8 Zro Substitution,
code bipolaire substitution de huit zros). Le fournisseur de services dtermine le type de code de
ligne requis pour votre circuit T1/E1 entre les codes AMI (Alternate Mark Inversion) et BZ8.
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 689
La commande pri-group dsigne une interface PRI sur une carte T1 fractionne, sur un routeur de
la srie Cisco 7000. Le mot cl timeslots dfinit les canaux B. Dans cet exemple, seuls 5 canaux B
(canaux 2 6) sont utiliss sur ce contrleur.
Configuration dinterface
La commande ip address dfinit ladresse IP de linterface ; la commande encapsulation ppp
dfinit le protocole PPP (Point-to-Point Protocol) en tant que mthode dencapsulation. PPP
supporte les protocoles CHAP (Challenge Handshake Authentication Protocol) et PAP (Password
Authentication Protocol) en tant que mcanismes dauthentification de lappelant, et galement afin
dassurer un certain niveau de scurit. La commande dialer idle-timeout dfinit un dlai dinac-
tivit de cinq minutes.
Les commandes dialer map dfinissent les sites distants que le routeur peut appeler. Etant donn
que le routeur de Dave se connecte un commutateur de bureau central qui nutilise pas le systme
de signalisation SS7, la commande dialer map excute pour lappeler contient le mot cl speed,
valide seulement avec les interfaces pour RNIS natif. Linterface pour RNIS natif sur le Cisco 2503
opre 64 Kbit/s ou 56 Kbit/s. Si lappelant et lappel utilisent le mme commutateur RNIS, ils
peuvent communiquer 64 Kbit/s. Sinon, ils doivent communiquer 56 Kbit/s.
Etant donn que la ligne RNIS de Nick se connecte sur le site central au moyen du mme commuta-
teur que le routeur du site central, le numro de tlphone dans la commande dialer map
utilis pour se connecter au routeur de Nick na pas besoin dinclure le prfixe trois chiffres.
Note : tant donn que le routeur de site central utilise des lignes qui font partie dun Centrex, les
numros de tlphone pour les appels sortants commencent par un 9, sils ne sont pas composs de
quatre chiffres.
La commande dialer-group associe linterface BRI au groupe daccs de numrotation 1. La
commande ppp authentication chap active lauthentification CHAP.
Configuration du routage
Dans le listing de configuration relative au routage, la commande router igrp active le protocole
IGRP (Interior Gateway Routing Protocol), et dfinit le systme autonome avec le numro 10. La
commande network assigne le numro de rseau. La commande redistribute envoie des informa-
tions de route statique (dfinies avec les commandes ip route) aux autres routeurs de la mme zone
IGRP. Sans cette commande, les autres routeurs connects au site central ne disposeraient pas de
chemin vers les routeurs distants.
DDR a tendance faire une utilisation intensive des routes statiques, car les mises jour de routage
ne sont pas reues lorsque la connexion par circuit commut nest pas active. Les deux premires
commandes ip route crent les routes statiques qui dfinissent les sous-rseaux que Dave et Nick
utilisent.
NOTE
Les commandes IGRP sont les mmes sur tous les routeurs de site central ; cependant, les routes statiques corres-
pondent aux sites domicile qui appellent le routeur de site central.
690 Partie II Etudes de cas
Site domicile
Les configurations des routeurs de sites domicile sont analogues, mais celle de Nick est plus
simple, car son routeur se connecte au mme commutateur de bureau central que le routeur du site
central.
Configuration de Nick
La configuration pour le routeur de Nick est la suivante :
hostname nick-isdn
!
username central-isdn password 7 050D130C2A5
isdn switch-type basic-dms100
!
interface ethernet 0
ip address 11.108.137.1 255.255.255.0
no mop enabled
!
interface bri 0
ip address 11.108.90.7 255.255.255.0
encapsulation ppp
no ip route-cache
isdn spid1 415555837601 5558376
isdn spid2 415555837802 5558378
dialer idle-timeout 300
dialer map ip 11.108.90.53 name central-isdn 8362
dialer map ip 11.108.90.53 name central-isdn 8370
dialer-group 1
ppp authentication chap
!
ip route 11.108.0.0 255.255.0.0 11.108.90.53
!
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 177
access-list 101 permit ip 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
!
dialer-list 1 list 101
A linstar du routeur du site central, la commande isdn switch-type indique que le commutateur
est un dispositif NT DMS-100. Etant donn que le routeur de Nick se connecte au DMS-100, les
identifiants de profil de service SPID (Service Profile Identifier) sont requis pour linterface BRI.
PPP et CHAP sont configurs laide dune commande username pour le routeur de site central. La
configuration pour le routeur de Nick diffre de celle du site central en ce qui concerne les comman-
des dialer map et la section de routage. Deux commandes dialer map pointent vers la mme adresse
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 691
de prochain saut. Si une tentative dappel du premier numro choue, le second sera utilis pour la
connexion vers ladresse de prochain saut.
Les commandes isdn spid1 et isdn spid2 reprsentent les identifiants SPID. Ils sont utiliss
lorsquune interface BRI se connecte un commutateur NorTel DMS-100 ou National ISDN-1. Les
SPID sont assigns par le fournisseur de services afin dassocier un numro de profil de service un
numro de tlphone. Les autres types de commutateurs ne ncessitent pas de SPID. Votre fournis-
seur de services peut vous indiquer si votre commutateur exige ou non lemploi didentifiants SPID.
Dans cet exemple, le SPID 1 identifie 415 comme tant le code de zone, 555 comme tant le code
dautocommutateur, 8376 comme tant lidentifiant de station et 01 comme tant lidentifiant de
terminal. Le format de SPID requis par votre fournisseur de services peut diffrer des exemples
prsents dans cette tude de cas.
Configuration de Dave
La configuration du routeur de Dave est analogue celle du routeur de Nick, except quil ne se
trouve pas dans le mme Centrex que le site central de lentreprise. Voici sa configuration :
hostname dave-isdn
!
username central-isdn password 7 08274341
isdn switch-type basic-5ess
!
interface ethernet 0
ip address 11.108.147.1 255.255.255.0
no mop enabled
!
interface bri 0
ip address 11.108.90.1 255.255.255.0
encapsulation ppp
no ip route-cache
bandwidth 56
dialer map ip 11.108.90.53 name central-isdn speed 56 14155558370
dialer-group 1
ppp authentication chap
!
ip route 11.108.0.0 255.255.0.0 11.108.90.53
!
dialer-list 1 list 101
Le routeur de Dave se connecte au commutateur RNIS de bureau central AT&T 5ESS, qui nutilise
pas la signalisation SS7. La commande isdn switch-type spcifie un commutateur AT&T, avec un
dbit de base qui nexige pas lemploi des commandes isdn spid1 et isdn spid2 que requiert le
commutateur DMS-100. La commande bandwidth indique aux protocoles de routage que la ligne
opre 56 Kbit/s. La commande dialer map utilise le mot cl speed afin que la ligne soit tablie
une vitesse de 56 Kbit/s lors dun appel effectu vers le site central. Ce paramtre est ncessaire
lorsque la connexion traverse un commutateur qui nutilise pas la signalisation SS7.
ncessite pas lemploi de CHAP ou PAP, mais elle doit tre modifie afin dinclure le CLID. Les
sections suivantes prsentent les modifications apportes aux configurations des routeurs de Nick et
du site central.
NOTE
Le service CLID nest pas disponible dans toutes les rgions des Etats-Unis, ni dans tous les pays. Certains
pays ne ncessitent pas lutilisation dun Centrex pour le CLID.
Site central
Voici la configuration de linterface PRI du site central, modifie pour lutilisation du CLID :
controller t1 1/0
framing esf
linecode b8zs
pri-group timeslots 2-6
!
interface serial 1/0:23
ip address 11.108.90.53 255.255.255.0
dialer idle-timeout 300
dialer map ip 11.108.90.7 name 5558376 8376
dialer-group 1
Le mot cl name, dans la commande dialer map, spcifie la chane relle que lidentification de
ligne appelante renvoie. Cette chane diffre du numro appel, celui-ci tant un numro de Centrex
quatre chiffres ; le numro retourn est le numro complet sept chiffres.
Site domicile
A linstar du site central, la principale diffrence dans la configuration de Nick est lutilisation du
mot cl name, avec la commande dialer map, qui spcifie le vrai numro de ligne appelante renvoy :
interface bri 0
ip address 11.108.90.7 255.255.255.0
no ip route-cache
isdn spid1 415555837601 5558376
isdn spid2 415555837802 5558378
dialer idle-timeout 300
dialer map ip 11.108.90.53 name 5558362 8362
dialer map ip 11.108.90.53 name 5558370 8370
dialer-group 1
NOTE
Si la commande EXEC debug isdn-q931 est active, le dcodage pour un appel entrant peut tre vu, et le
numro CLID apparat.
site central de le rappeler. Lors dun appel de Dave, le routeur central interrompt la connexion
tablie, puis rappelle le routeur appelant. Avec cette fonction, la facture tlphonique de Dave est
rduite, car les transferts de donnes rels se produisent lorsque le routeur du site central rappelle.
Les commandes suivantes configurent le rappel sur le routeur de Dave :
interface bri 0
ppp callback request
dialer hold-queue 100 timeout 20
La commande ppp callback, avec le mot cl request, spcifie que, lorsquune interface tablit une
connexion, cest pour demander le rappel. La commande dialer hold-queue spcifie quun maxi-
mum de 100 paquets peuvent tre maintenus dans une file dattente, jusqu ce que le routeur de site
central rappelle. Sil ne le fait pas dans un dlai de 20 secondes, auquel on ajoute le dlai dexpira-
tion du temporisateur dactivation enable-timeout, les paquets sont supprims. Les commandes
suivantes configurent le routeur du bureau central :
map-class dialer class1
dialer callback-server username
interface serial 1/0:23
dialer map ip 11.108.90.1 name dave-isdn speed 56 class class1 914085553680
ppp callback accept
dialer callback-secure
dialer enable-timeout 1
dialer hold-queue
La commande map-class dfinit un paramtre de qualit de service (QoS), qui doit tre associ une
entre statique. Le mot cl dialer spcifie que lentre assigne est une correspondance de numrota-
tion. Le paramtre class1 est une valeur dfinie par lutilisateur, qui cre une classe de correspondance
laquelle des commandes dencapsulation spcifiques sappliquent.
La commande dialer map a t modifie afin dinclure le mot cl class ainsi que le nom de la
classe spcifie dans la commande map-class. Le mot cl name est requis pour que, lors dun appel
en provenance du routeur de Dave, linterface puisse localiser cette instruction de correspondance
de numrotation, et obtenir la chane qui permet de le rappeler.
La commande ppp callback, avec le mot cl accept, permet linterface dhonorer les demandes
de rappel quelle reoit. Le service de rappel dpend du mcanisme dauthentification PPP, savoir
PAP ou CHAP.
La commande dialer callback-server permet linterface de retourner des appels, lorsque la
demande a t ngocie avec succs. Le mot cl username indique linterface de localiser la chane
de numrotation pour le rappel, en recherchant le nom dhte authentifi dans la commande dialer
map.
La commande dialer callback-secure spcifie que le routeur doit dconnecter lappel initial, et
rappeler uniquement sil possde une commande dialer map, avec une classe dfinie pour le routeur
distant. Dans le cas o la commande dialer callback-secure nest pas prsente, le routeur central
ne relchera pas la connexion si elle ne possde pas de commande dialer map, avec une classe
dfinie. La commande dialer enable-timeout prcise que linterface doit attendre une seconde
aprs la libration de la connexion initiale avant de rappeler.
694 Partie II Etudes de cas
NOTE
Cette tude de cas applique le routage Snapshot sur un rseau RNIS, mais dautres mdias semblables, tels
que les lignes loues ddies, peuvent bnficier de la rduction des mises jour priodiques que le
routage Snapshot assure.
Avant lapparition du routage Snapshot, introduit avec la version 10.2 du systme Cisco IOS, les
interfaces RNIS taient configures au moyen de routes statiques. A linstar des routes dfinies par
les commandes ip route dans la section "Site central", plus haut dans ce chapitre, les routes stati-
ques empchent la bande passante dtre consomme par les mises jour de routage. Elles sont
toutefois difficiles maintenir au fur et mesure que le rseau grandit.
Le routage Snapshot supporte les routes dynamiques en autorisant les mises jour de routage
durant une priode active, et rduit les cots de connexion en supprimant les mises jour qui se
produisent durant une priode de repos, qui peut atteindre 65 jours. Durant cette priode de repos,
les tables de routage des routeurs situs aux deux extrmits dune liaison sont geles. La
Figure 21.2 illustre la succession de ces priodes.
Priode Priode
Priode de repos
active active
Temps (minutes)
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 695
Durant la priode active, les routeurs situs chaque extrmit de la connexion schangent norma-
lement les mises jour pour leurs protocoles de routage configurs. Ils poursuivent ces changes
jusqu ce que la priode active se termine. Ensuite, chaque routeur gle ses tables de routage,
arrte lenvoi des mises jour, puis entre dans une priode de repos. Chaque routeur demeure dans
cet tat jusqu ce quun temporisateur configurable expire. A ce moment, les routeurs initient une
connexion pour envoyer et recevoir de nouveau les mises jour.
Pour sassurer que les tables de routage sont bien mises jour, la priode active doit tre suffisam-
ment longue, afin que plusieurs mises jour soient changes. Une priode trop brve pourrait ne
permettre qu une seule mise jour de traverser la liaison. De plus, si la mise jour est perdue, en
raison du bruit par exemple, le routeur situ lautre extrmit pourrait considrer une route valide
comme tant inutilisable, ou ne pas prendre connaissance dune nouvelle route valide. Pour sassu-
rer que les mises jour se produisent correctement, la priode active doit reprsenter au minimum
cinq minutes (cest--dire trois fois plus que lintervalle de mise jour des protocoles de routage).
Etant donn que les protocoles de routage mettent jour leur table de routage durant la priode
active, comme ils le font normalement, il nest pas ncessaire dajuster un temporisateur quelcon-
que de protocole de routage.
Si la ligne nest pas disponible lorsque le routeur passe de la priode de repos la priode active, il
entre dans une priode de transition. Durant cette priode, le routeur tente continuellement de se
connecter, jusqu ce quil puisse entrer dans la priode active (voir Figure 21.3).
Figure 21.3
Priode de transition Priode Priode de Priode Priode
durant laquelle Priode de repos
active transition active active
le routeur tente
continuellement
de se connecter. Temps (minutes)
Par dfaut, le routage Snapshot autorise lchange des mises jour sur des connexions tablies pour
transfrer les donnes utilisateur. Ainsi, en cas de besoin, le routage Snapshot force la connexion
durer aussi longtemps que la priode active de mise jour. Si vous ne souhaitez pas que les routeurs
changent des mises jour sur les connexions utilisateur, utilisez le mot cl suppress-state-
change-updates.
696 Partie II Etudes de cas
NOTE
Le routage Snapshot nest pas recommand pour les topologies mailles. En effet, sur ces topologies, la
configuration de routes statiques est plus efficace que le routage Snapshot.
Les commandes ip route, qui configuraient les routes statiques pour les sites domicile, ont t
supprimes de la configuration. La commande snapshot server active le routage Snapshot. La
valeur "5" dfinit une dure de priode active de cinq minutes.
NOTE
Le routage Snapshot doit tre configur sur des interfaces de rotation dfinies au moyen de la commande
dialer rotary-group. Les interfaces RNIS tant par dfinition des interfaces de rotation, vous navez
donc pas besoin dutiliser cette commande sur des configurations RNIS.
Les commandes ip route, qui configuraient les routes statiques pour les sites domicile, ont t
supprimes de la configuration. La commande dialer map snapshot dfinit une correspondance
(dont le numro de squence est 1), que le routeur utilise pour se connecter au routeur de site central
pour lchange de mises jour de routage. Le mot cl name spcifie le nom du routeur distant qui est
associ la chane de numrotation. Etant donn que la commande ppp authentication chap active
lauthentification CHAP, ce routeur reoit le nom du routeur central lorsquil lappelle, puis le
compare avec le nom spcifi, laide du mot cl name.
La commande snapshot client dfinit une priode active de cinq minutes (la valeur doit correspon-
dre celle dfinie dans la configuration du serveur Snapshot), et une priode de repos de 43 200
secondes (12 heures). Le mot cl suppress-statechange-updates empche les routeurs dchanger
des mises jour sur des connexions tablies pour le transfert des donnes utilisateur. Le mot cl
698 Partie II Etudes de cas
dialer autorise le routeur client appeler le routeur serveur en labsence de trafic ordinaire ; il est
ncessaire lorsque vous utilisez le mot cl suppress-statechange-update.
Figure 21.4
Topologie du rseau
Novell IPX. Serveur
NetWare Client
NetWare
Routeur A
Routeur B
Routeur serveur
Serveur pour Snaphot Routeur client
NetWare Client
pour Snaphot
NetWare
RNIS
Serveur
NetWare
Client Client
NetWare NetWare
Routeur D Routeur C
Routeur client Routeur client
pour Snaphot Client pour Snaphot Client
NetWare NetWare
Sur cette topologie, les routeurs clients se chargent de la mise jour de leur table de routage, en se
connectant au routeur serveur lorsque la priode de repos expire. Les routeurs clients recueillent
galement les informations de mises jour lors dun rechargement.
NOTE
Le routage Snapshot fonctionne avec les rseaux Novell 3.x et 4.x. Toutefois, Novell 4.x inclut un protocole de
synchronisation de temps, qui provoque lenvoi dune mise jour toutes les dix minutes par les serveurs
de temps Novell 4.x. Pour empcher ces serveurs de gnrer des paquets de mises jour qui provoqueraient
des connexions indsirables, vous devez charger un module NLM (Netware Loadable Module), nomm TIME-
SYNC.NLM, qui vous autorise tendre plusieurs jours lintervalle des mises jour pour ces paquets. Un
problme analogue est provoqu par les tentatives de synchronisation des rplications NDS de Novell.
NetWare 4.1 inclut deux NLM, DSFILTER.NLM et PINGFILT.NLM, qui fonctionnent de concert, afin de contrler
les mises jour de synchronisation NDS. Il est recommand dutiliser ces deux modules afin de vous assurer
que le trafic de synchronisation NDS est envoy uniquement aux serveurs spcifis, et aux moments voulus.
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 699
interface Ethernet 0
ip address 192.104.155.99 255.255.255.0
ipx network 300
!
interface bri 0
ip address 1.0.0.1 255.0.0.0
encapsulation ppp
ipx network 10
no ipx route-cache
ipx update-time 20
ipx watchdog-spoof
dialer idle-timeout 60
dialer wait-for-carrier-time 12
dialer map ipx 10.0000.0000.0002 name RouterB broadcast 041389082
dialer map ipx 10.0000.0000.0003 name RouterC broadcast 041389081
dialer map ipx 10.0000.0000.0004 name RouterD broadcast 041389083
!
dialer-group 1
snapshot server 10
ppp authentication chap
!
access-list 901 deny 0 FFFFFFF 0 FFFFFFFF 457
access-list 901 deny 1 10.0000.0000.0001 0 10.ffff.ffff.ffff 453
access-list 901 deny 4 10.0000.0000.0001 0 l0.ffff.ffff.ffff 452
access-list 901 deny 4 FFFFFFFF 0 FFFFFFFF 456
access-list 901 permit -1
!
dialer-list 1 list 901
La configuration commence avec le nom dhte utilis pour lauthentification CHAP. Les noms
dutilisateurs correspondent au nom dhte des routeurs B, C et D. La commande isdn switch-type
indique que le routeur se connecte un commutateur franais RNIS BRI VN3.
Configuration dinterface
La commande dialer idle-timeout spcifie une dure dinactivit de 60 secondes, qui doit scou-
ler avant que le routeur ninterrompe la connexion. La commande dialer wait-for-carrier-time
dfinit une dure dattente de porteuse de 60 secondes.
La commande dialer map dfinit ladresse de prochain saut 10.0000.0000.0002 pour le routeur B.
Lorsque le routeur B appelle le routeur serveur A, ce dernier utilise ladresse de prochain saut pour
transmettre les paquets vers le routeur B. Le mot cl broadcast dfinit 041389082 en tant
quadresse pour les diffusions broadcast IPX. Les deuxime et troisime commandes dialer map
dfinissent des valeurs analogues pour les routeurs C et D.
700 Partie II Etudes de cas
La commande snapshot server dfinit une priode active de 10 minutes. La commande ppp
authentication chap dfinit CHAP en tant que protocole dauthentification.
La configuration commence avec le nom dhte utilis pour lauthentification CHAP. Le nom
dutilisateur correspond au nom du routeur A. La commande isdn switch-type spcifie que le
routeur se connecte un routeur franais RNIS BRI VN3.
La commande isdn tei utilise le mot cl first-call pour spcifier que la ngociation du TEI RNIS
(Terminal Endpoint Identifier, identifiant de terminaison de terminal) doit se produire lorsque le
routeur A effectue ou reoit son premier appel RNIS. Par dfaut, elle se produit lorsque le routeur
dmarre.
Configuration dinterface
La commande dialer wait-for-carrier dfinit une priode dattente de la porteuse de 12 secon-
des, observe par linterface lors dun appel.
La commande snapshot client dfinit une priode active de 10 minutes (la valeur doit correspon-
dre celle qui est configure pour le serveur Snapshot), et une priode de repos de 86 400 secondes
(24 heures). Etant donn que le mot cl suppress-statechange-updates nest pas utilis, les
routeurs peuvent changer des mises jour lors des connexions tablies pour le transfert de donnes
utilisateur. Le mot cl dialer autorise le routeur client appeler le routeur serveur, en labsence de
trafic ordinaire.
NOTE
La fonction qui permet de contrler la transmission des paquets NBP a t introduite dans Cisco IOS
version 11.0.
702 Partie II Etudes de cas
Bureau central
Bureau
central
5 ESS
National
ISDN1
Bureau principal
Administration Marketing
Serveur BRI 0
OpenReqs
E0 E1
Routeur B
Imprimante Imprimante
Les deux routeurs ont galement besoin de contrler les paquets RTMP. Pour cela, configurez les
plages de cble (cable ranges) AppleTalk ainsi que les numros de nud, et utilisez la commande
no appletalk send rtmps sur linterface BRI ou PRI qui se connecte aux deux rseaux AppleTalk.
Configuration du routeur A
Daprs la Figure 21.5, le routeur A est situ sur le bureau rgional. Le rseau de ce bureau se
compose de deux zones : Vente et Formation. Sur le routeur A, une liste daccs de style AppleTalk
est assigne linterface BRI 0 pour empcher la transmission des paquets NBP qui proviennent des
imprimantes et de la zone Formation. Si le routeur autorisait la transmission de ces paquets, ceux-ci
provoqueraient ltablissement de connexions RNIS inutiles avec le rseau du bureau principal.
hostname RouterA
!
username RouterB password 7 125D063D2E
appletalk routing
appletalk static cable-range 20-20 to 15.43 zone Administration
appletalk static cable-range 25-25 to 15.43 zone Marketing
isdn switch-type basic-ni1
!
interface ethernet 0
appletalk cable-range 5-5 5.128
appletalk zone Sales
!
interface ethernet 1
appletalk cable-range 10-10 10.26
appletalk zone Service
!
interface bri 0
appletalk static cable-range 15-15 15.42
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 703
La commande hostname dfinit le nom dhte du routeur A. La commande username dfinit le nom
du routeur qui est autoris appeler le routeur A, ici le routeur B. Le mot cl password indique que
la commande username spcifie un mot de passe. La valeur "7" indique que le mot de passe est
crypt au moyen dun algorithme dfini par Cisco. La commande appletalk routing active le
routage AppleTalk.
Les commandes appletalk static cable-range crent des routes AppleTalk statiques vers les
zones du rseau du bureau principal. Les routes statiques sont ncessaires, car la commande no
appletalk send-rtmps empche lchange des mises jour RTMP entre les deux rseaux. Sans ces
routes statiques, les zones du bureau principal napparatraient pas lors de louverture du slecteur
(chooser) sur les htes connects au rseau du bureau rgional. La commande isdn switch-type
spcifie que le routeur se connecte un commutateur National ISDN-1.
Configuration dinterface
Les commandes appletalk cable-range, pour chaque interface Ethernet, dfinissent le numro de
rseau pour le segment de cble auquel linterface se connecte, ainsi que le numro de nud de linter-
face. Pour chaque interface, la commande appletalk zone dfinit le nom de zone pour le rseau qui y
est connect. Aucune des configurations dinterface ne spcifie un protocole de routage AppleTalk ;
les interfaces utilisent par consquent le protocole de routage par dfaut RTMP.
La commande appletalk send-rtmps empche le routeur A denvoyer des mises jour RTMP sur
linterface BRI 0. Pour compenser labsence dchanges RTMP, vous devez configurer des routes
statiques AppleTalk (au moyen de la commande appletalk static cable-range).
La commande encapsulation ppp spcifie lencapsulation PPP ; la commande ppp authentication
chap active lauthentification CHAP. La commande dialer idle-timeout dfinit une dure dinacti-
vit de 240 secondes (4 minutes). La commande bandwith indique aux protocoles de routage que la
ligne opre une vitesse de 56 Kbit/s.
La commande dialer map dfinit le site distant que le routeur A doit appeler. Dans ce cas, elle
dfinit 15.43 comme tant ladresse de prochain saut. Le mot cl name dfinit le nom du routeur
distant qui est associ la chane de numrotation. Le mot cl speed spcifie que le routeur A doit
tablir un dbit de ligne de 56 Kbit/s, requis lorsque la connexion traverse un commutateur qui ne
704 Partie II Etudes de cas
supporte pas la signalisation SS7. La commande dialer-group associe linterface BRI 0 au groupe
daccs de numrotation 1.
Les commandes isdn spid1 spcifient les identifiants de profil de service, ou SPID, qui sont requis
par les commutateurs National ISDN-1. Les fournisseurs de services assignent ces identifiants afin
quun numro de tlphone leur soit associ. Votre fournisseur de services peut vous indiquer si
votre commutateur exige lutilisation de ces identifiants. Dans cet exemple, SPID 1 identifie 602
comme tant le code de zone, 555 comme tant le code dautocommutateur, 4631 comme tant
lidentifiant de station, et 01 comme tant lidentifiant de terminal.
Configuration du routeur B
A la Figure 21.5, le routeur B est connect au rseau du bureau principal. Celui-ci se compose de
deux zones : Marketing et Administration. A lexception du serveur OpenReqs, dans la zone Admi-
nistration, les utilisateurs des htes connects au rseau du bureau rgional nont pas besoin dacc-
der au serveur situ dans la zone Administration. A linstar du bureau rgional, chaque zone du
bureau principal possde sa propre imprimante. Le routeur B na donc pas besoin de transmettre les
paquets NBP gnrs par les imprimantes. La liste daccs pour le routeur B empche les paquets
NBP en provenance des imprimantes et de tous les serveurs de la zone Administration ( lexcep-
tion de OpenReqs) de dclencher une connexion RNIS vers le rseau du bureau rgional :
hostname RouterB
!
username RouterA password 7 343E821D4A
appletalk routing
appletalk static cable-range 5-5 to 15.42 zone Sales
appletalk static cable-range 10-10 to 15.42 zone Training
isdn switch-type basic-5ess
!
interface ethernet 0
appletalk cable-range 20-20 20.5
appletalk zone Administration
!
interface ethernet 1
appletalk cable-range 25-25 25.36
appletalk zone Marketing
!
interface bri 0
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 705
La configuration pour le routeur B est analogue celle du routeur A, 1exception des points suivants :
m La commande isdn switch-type spcifie que le routeur B se connecte un commutateur RNIS
de bureau central AT&T 5ESS. Etant donn que ce type de commutateur nutilise pas les num-
ros SPID, la commande isdn spid1 nest pas employe.
m La commande access-list nbp dfinit la liste daccs 601, et empche la transmission des
paquets NBP gnrs par les imprimantes LaserWriter connectes au bureau principal. La
deuxime commande access-list nbp autorise la transmission des paquets gnrs par le serveur
OpenReqs. La troisime commande access-list nbp accepte la transmission des paquets gnrs
par la zone Marketing.
8022A 8022C
E0 E0
B0 Nuage RNIS B0
C2503 C4000
23 !
24 interface Serial1
25 no ip address
26 shutdown
27 !
28 interface BRI0
29 encapsulation ppp
30 bandwidth 56
31 ipx network 8022B
32 no ipx route-cache
33 ipx watchdog-spoof
34 dialer idle-timeout 300
35 dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155551234
36 dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155556789
37 dialer hold-queue 5
38 dialer load-threshold 100
39 dialer-group 1
40 isdn spid1 408555432101 5554321
41 isdn spid2 408555987601 5559876
42 ppp authentication chap
43 !
44 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 452
45 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 453
46 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 457
47 access-list 900 permit -1
48 ipx route 8022C 8022B.0000.0c02.e649
49 ipx route 301586E0 8022B.0000.0c02.e649
50 !
51 ipx sap 4 NW410 301586E0.0000.0000.0001 451 2
52 !
53 !
54 dialer-list 1 list 900
55 !
56 line con 0
57 line aux 0
58 line vty 0 4
59 password test
60 login
61 !
62 end
Lignes 1 11
C2503#wr t
######
Current configuration:
!
version 10.2
!
hostname C2503
!
enable password test
!
username C4000 password cisco
708 Partie II Etudes de cas
Le nom dutilisateur C4000 est le nom dhte du routeur distant ; il est utilis par la commande
dialer map. Le nom dutilisateur est sensible la casse, et doit donc correspondre exactement au
nom dhte du routeur distant.
Le mot de passe, utilis par le processus dauthentification CHAP, est galement sensible la casse,
et doit donc tre identique lentre correspondante sur le routeur distant.
NOTE
Pour viter toute confusion, la forme non crypte du mot de passe cisco est donne dans cet exemple de
configuration. Dans la vritable configuration, le mot de passe apparatrait dans sa forme crypte, cest--
dire :7 13061E010803, o 7 indique le type de cryptage, et 13061E010803 est le mot de passe crypt. Lors-
que vous entrez ou modifiez la commande username, veillez saisir le mot de passe dans sa forme non
crypte, sans spcifier le type de cryptage (7), qui est dfini automatiquement.
Ligne 12
ipx routing 0000.0c09.509f
Cette commande active le routage IPX. Etant donn que le routeur associe ladresse MAC de lune de
ses interfaces au processus, vous navez pas besoin de lindiquer. Saisissez simplement la commande
ipx routing.
Ligne 13
ipx gns-response-delay 1000
La commande SAP statique de la ligne 51 annonce le serveur distant, mme lorsque la liaison RNIS
nest pas active. Par consquent, il peut tre ncessaire daugmenter lintervalle de temps qui doit
scouler avant que le routeur ne rponde la requte GNS (Get Nearest Server) dune station de
travail, afin de garantir que le serveur de fichiers local puisse rpondre en premier.
Ligne 14
isdn switch-type basic-dms100
Le type de commutateur RNIS doit correspondre lquipement de votre oprateur. Si vous modi-
fiez ce paramtre, vous devez recharger le routeur afin que le nouveau type devienne effectif.
Lignes 16 et 17
interface Ethernet0
ipx network 8022A
8022A est le numro du rseau local. Pour dterminer ce numro, saisissez config, linvite de
console du serveur local, puis associez le numro de rseau de linterface du routeur au numro
de rseau du protocole LAN. Grce cette commande, vous navez pas besoin dinclure les zros de
dbut, affichs pour le numro de rseau du protocole LAN.
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 709
Ligne 18
ipx encapsulation SAP
Cette commande dfinit le type de trame Ethernet de linterface, afin quil corresponde celui du
serveur de fichiers local. Pour dterminer le type de trame du serveur, saisissez config, linvite de
console du serveur local, puis utilisez le type spcifi pour configurer lencapsulation sur linterface
IPX du routeur.
Lignes 20 29
interface Serial0
no ip address
shutdown
!
interface Serial1
no ip address
shutdown
!
interface BRI0
encapsulation ppp
Lencapsulation PPP est recommande sur HDLC pour permettre lutilisation de lauthentification
CHAP.
Ligne 30
bandwidth 56
Le paramtre par dfaut pour la bande passante dune interface BRI est 64 Kbit/s. Si vous configu-
rez vos instructions dialer map avec loption speed 56, vous devrez inclure une commande band-
width dans votre configuration.
NOTE
Cette commande ne contrle pas la vitesse de la ligne RNIS, mais sert dfinir le point de rfrence correct
pour les statistiques show interface de port BRI, pour la commande dialer load-threshold, ainsi que pour
les mtriques de routage de IGRP/EIGRP.
710 Partie II Etudes de cas
Ligne 31
ipx network 8022B
8022B est le numro de rseau IPX du segment RNIS pour les deux routeurs. Ce numro devrait
tre unique pour votre rseau.
Ligne 32
no ipx route-cache
La mise en cache des routes IPX doit tre dsactive lorsque la simulation watchdog IPX est active.
Ligne 33
ipx watchdog-spoof
Cette commande permet au routeur de rpondre aux paquets watchdog du serveur local, de la part
du client distant. En labsence de cette commande, les paquets watchdog du serveur seraient consi-
drs comme intressants, et activeraient la liaison RNIS.
Ligne 34
dialer idle-timeout 300
Cette commande dfinit le nombre de secondes pendant lequel une connexion RNIS demeure
ouverte, lorsquaucun trafic intressant nest transmis. Le temporisateur est rinitialis chaque fois
quun paquet intressant est transmis.
Lignes 35 et 36
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155551234
dialer map ipx 8022B.0000.0c02.e649 name C4000 speed 56 broadcast 14155556789
La commande dialer map est utilise avec lauthentification CHAP pour tablir lappel initial vers
le routeur distant lorsquun trafic intressant est envoy vers linterface BRI. Une fois la connexion
active, la commande dialer idle-timeout dtermine sa dure dactivit. Une instruction dialer
map est ncessaire pour chaque numro de tlphone RNIS qui doit tre appel. Toutefois, sachez
que deux instructions dialer map pointant vers le mme lieu pourraient activer deux canaux B, alors que
lutilisation dun seul canal est souhaite.
Les paramtres de cette commande sont les suivants :
m 8022B.0000.0c02.e649. Adresse IPX de linterface BRI du routeur distant. Pour dterminer
cette adresse, saisissez show ipx interface B 0, linvite de console du routeur distant.
m name C4000. Nom dhte du routeur distant. Le nom est sensible la casse ; il doit correspon-
dre exactement celui configur avec la commande username, montre plus haut.
m speed 56. Dfinit 56 Kbit/s la vitesse de numrotation pour les circuits RNIS qui noffrent pas
64 Kbit/s de bout en bout. Il est recommand dintgrer ce paramtre dans les instructions
dialer map des deux routeurs. Aux Etats-Unis, la plupart des installations doivent tre configu-
res pour une vitesse de 56 Kbit/s.
m broadcast. Autorise la transmission des paquets broadcast. Toutefois, lutilisation de ce param-
tre ne rend pas ces paquets intressants. A moins que ces paquets ne soient explicitement spcifis
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 711
comme tant intressants via la commande dialer-list, ils sont uniquement transmis lorsque la
liaison RNIS est active.
m 14155551234 14155556789. Numros de tlphone RNIS du routeur distant.
Ligne 37
dialer hold-queue 5
Cette commande autorise les paquets intressants tre placs en file dattente, jusqu ce que la
connexion RNIS soit tablie. Elle est particulirement utile lorsquun identifiant douverture de
session NetWare est utilis pour activer la connexion, afin dempcher la station de travail daban-
donner. Dans cet exemple, cinq paquets intressants sont placs en file dattente.
Ligne 38
dialer load-threshold 100
Cette commande est utilise pour configurer la charge de trafic maximale supporte par le premier
canal B ; lorsquelle est atteinte, le routeur tablit un autre appel sur le second canal B. La charge de
trafic est la valeur moyenne pondre, calcule pour linterface (o 1 signifie charge nulle, et 255
charge maximale). La valeur de charge configurer dpend des caractristiques de votre rseau.
Dans cet exemple, le second canal B est activ lorsque la charge du premier canal B atteint 39 % de
lutilisation maximale, cest--dire 100 divis par 255.
Ligne 39
dialer-group 1
La commande dialer-group 1 active la liste de numrotation 1 sur linterface BRI qui dtermine
quels paquets intressants activent la connexion RNIS.
Lignes 40 et 41
isdn spid1 408555432101 5554321
isdn spid2 408555987601 5559876
Les commandes isdn spid sont utilises lorsque votre oprateur assigne des SPID vos lignes RNIS.
Ligne 42
ppp authentication chap
Lignes 44 47
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 452
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 453
access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 457
access-list 900 permit -1
Cette liste daccs dtermine quels paquets IPX sont intressants et activent la liaison RNIS. La
liste daccs que vous devez crer dpend de la conception de votre rseau.
712 Partie II Etudes de cas
Pour cet exemple, les paramtres de cette commande sont les suivants :
m access-list 900 deny -1 -1 0 -1 452. Dfinit tous les paquets SAP comme tant inintressants.
m access-list 900 deny -1 -1 0 -1 453. Dfinit tous les paquets RIP comme tant inintressants.
m access-list 900 deny -1 -1 0 -1 457. Dfinit tous les paquets de scurit comme tant inintressants.
m access-list 900 permit -1. Dfinit tous les autres paquets comme tant intressants.
Ligne 48
ipx route 8022C 8022B.0000.0c02.e649
Cette command cre une route statique vers le rseau Ethernet du routeur distant, via son interface BRI.
Elle est ncessaire, car les routes dynamiques sont perdues lorsque la liaison RNIS nest plus active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m 8022C. Numro de rseau IPX externe du rseau distant. Pour dterminer ce numro, saisissez
config, linvite de console du serveur distant, puis associez le numro de rseau linstruction
de protocole LAN.
m 8022B.0000.0c02.e649. Adresse de linterface BRI du routeur distant. Pour dterminer cette
adresse, saisissez show ipx interface B 0, linvite de console du routeur distant.
Ligne 49
ipx route 301586E0 8022B.0000.0c02.e649
La commande ipx route cre une route statique vers le serveur distant, via linterface BRI du
routeur distant. Elle est ncessaire, car les routes dynamiques sont perdues lorsque la liaison RNIS
nest plus active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m 301586E0. Portion rseau de ladresse IPX interne du serveur distant. Pour dterminer cette
adresse, saisissez show ipx servers, linvite de console du routeur distant.
m 8022B.0000.0c02.e649. Adresse IPX de linterface BRI du routeur distant. Pour dterminer
cette adresse, saisissez show ipx interface B 0, linvite de console du routeur distant.
Ligne 51
ipx sap 4 NW410 301586E0.0000.0000.0001 451 2
Cette commande cre une entre SAP statique pour le serveur distant, que le routeur local annon-
cera, mme si la liaison RNIS nest pas active.
Pour cet exemple, les paramtres de cette commande sont les suivants :
m 4. Type SAP (serveur).
m NW410. Nom du service SAP.
m 301586E0.0000.0000.0001. Rseau IPX interne, et adresse dhte du serveur distant. Pour dter-
miner cette adresse, saisissez show ipx servers, linvite de console du routeur distant.
Chapitre 21 Emploi efficace de RNIS en milieu multiprotocole 713
m 451. Numro de socket (port) du serveur distant, qui est dtermin au moyen de la commande
show ipx servers sur le routeur distant.
m 2. Compte de sauts RIP vers le serveur distant.
Ligne 54
dialer-list 1 list 900
Cette commande pointe vers la liste daccs 900, qui dtermine quels paquets IPX sont intressants.
Lignes 56 62
line con 0
line aux 0
line vty 0 4
password test
login
!
end
Ces lignes se passent de commentaires.
30 bandwidth 56
31 ipx network 8022B
32 no ipx route-cache
33 ipx watchdog-spoof
34 dialer idle-timeout 300
35 dialer map ipx 8022B.0000.0c09.509f name C2503 speed 56 broadcast 14085554321
36 dialer map ipx 8022B.0000.0c09.509f name C2503 speed 56 broadcast 14085559876
37 dialer hold-queue 5
38 dialer load-threshold 100
39 dialer-group 1
40 isdn spid1 415555123401 5551234
41 isdn spid2 415555678901 5556789
42 ppp authentication chap
43 !
44 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 452
45 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 453
46 access-list 900 deny -1 FFFFFFFF 0 FFFFFFFF 457
47 access-list 900 permit -1
48 ipx route 8022A 8022B.0000.0c09.509f
49 ipx route 2EE67FE3 8022B.0000.0c09.509f
50 !
51 ipx sap 4 NW312 2EE67FE3.0000.0000.0001 451 2
52 !
53 !
54 dialer-list 1 list 900
55 !
56 line con 0
57 line aux 0
58 line vty 0 4
59 password test
60 login
61 !
62 end
Rsum
Lorsque vous configurez RNIS, le contrle des paquets qui gnrent des connexions inutiles est un
problme primordial rgler. Par le pass, il tait possible de le rsoudre en configurant des routes
statiques. Le routage Snapshot et le filtrage des paquets NBP permettent de contrler les mises
jour de routage. Le routage Snapshot permet de configurer le rseau, afin que les protocoles routs
mettent jour leur table de routage dynamiquement, sans dclencher des connexions RNIS
frquentes et coteuses. Le routage Snapshot convient idalement pour les rseaux relativement
stables, sur lesquels toutes les mises jour de routage passent par un seul routeur central. Ce chapi-
tre a galement examin la configuration de RNIS dans un environnement IPX.
22
Amlioration de la scurit
sur les rseaux IP
Cest lt, les enfants ont termin lcole. Alors que les autoroutes et les aroports sont envahis par
les vacanciers, des interruptions de courant inexplicables touchent certaines parties des Etats-Unis.
Les avions de ligne disparaissent mystrieusement des crans de contrle, puis rapparaissent, ce
qui provoque des mouvements de panique dans de nombreux aroports.
Des rumeurs sur lexistence dun nouveau virus "Rosebud" se rpandent dans les forums de discus-
sion. Au mme moment, les administrateurs systme tentent de faire face ce nouveau virus, de
type "Melissa". Le virus, non content dinfecter le courrier lectronique, sattache aux navigateurs
Web, acclrant sa prolifration par le biais dactivits de dni de service (DoS, Denial of Service)
sur les sites de communication et de commerce lectronique, via lInternet. Un ralentissement
inquitant se fait sentir sur le Web.
Dans les principales grandes villes des Etats-Unis, des sections du service de tlcommunications 911
connaissent des dfaillances. Les responsables du Dpartement de la dfense amricain dcouvrent
que leurs services de messagerie lectronique et de tlphonie sont interrompus. Et des officiers
embarqus sur un navire de la U.S. Navy constatent que leur systme informatique a t victime dune
attaque !
A mesure que ces incidents mystrieux et perturbateurs se gnralisent, les indices des marchs finan-
ciers chutent brusquement. Une vague de panique envahit la plante. Linfrastructure qui relie les
quatre coins du monde est srieusement branle, et commence se retourner contre ses crateurs.
716 Partie II Etudes de cas
Pour une grande part, ce scnario sest produit en 1997, lorsque 35 hackers engags par lagence
amricaine pour la scurit nationale, la NSA (National Security Agency), ont simul des attaques
sur linfrastructure lectronique amricaine.
Cet exercice de simulation, baptis Eligible Receiver, a permis dobtenir un accs de niveau root sur
36 000 des 40 000 rseaux du Dpartement de la dfense amricain. Ces attaques ont galement
paralys des sections entires du rseau lectrique national, perturb le service 911 Washington
D.C., ainsi que dans dautres villes, et permis daccder aux systmes informatiques dun navire de
la marine amricaine.
Bien que cet exercice ait t initi aux Etats-Unis, qui regroupent environ 40 % de la puissance
informatique de la plante, la menace du cyber-terrorisme et de la guerre de linformation est bien
mondiale. Les incidents suivants vous donneront une ide de ltendue des risques :
m Durant la guerre du Golfe, des pirates hollandais se sont introduits dans des ordinateurs du
Dpartement de la dfense amricain, afin dy drober des informations concernant les mouve-
ments des troupes amricaines, en vue de les vendre aux Irakiens. Ces derniers, pensant quil
sagissait dun canular, ont dclin cette offre
m En 1997 et 1998, un jeune Isralien, qui se faisait appeler "The Analyzer", aurait pntr sur les
ordinateurs du Pentagone, avec laide dadolescents californiens. Ehud Tenebaum, 20 ans, a t
inculp Jrusalem, en fvrier 1999, pour association de malfaiteurs et prjudices envers des
systmes informatiques.
m En fvrier 1999, des pirates non identifis ont pris le contrle dun satellite militaire de tl-
communications britannique, exigeant de largent pour sa restitution. Cet incident a t vivement
rcus par les responsables militaires britanniques.
m En janvier 1999, le prsident Bill Clinton a annonc quune somme de 1,46 milliards de dollars
serait consacre la scurit informatique du gouvernement amricain, ce qui reprsente une
augmentation de 40 % par rapport 1998. Le Pentagone,qui est la forteresse militaire de la
nation la plus puissante du monde, est particulirement concern, puisquil est galement connu
comme tant la cible de choix des pirates, leur Saint Graal.
Il est clair que les sites gouvernementaux ne reprsentent quune partie des cibles recherches par
ceux qui mnent cette guerre de linformation. Dans la plupart des cas, lexprience a dmontr
quil tait plus avantageux pour les pirates dattaquer des rseaux dentreprises. Cest pourquoi des
comptences expertes en matire de scurisation des rseaux sont obligatoires dans de tels environ-
nements. Le droit lerreur est exclure lorsquil sagit de protger un rseau. Une seule vulnrabi-
lit peut mettre en pril toutes les donnes du rseau, llment vital de lentreprise. Que la menace
provienne dun concurrent qui recherche des secrets industriels, dun individu malintentionn visi-
tant votre rseau, ou demploys mcontents qui souhaitent se venger, il en rsulte invariablement
des pertes financires (secrets industriels drobs, immobilisation du rseau, ou altration des
donnes).
Chapitre 22 Amlioration de la scurit sur les rseaux IP 717
Figure 22.1
Scuriser
Roue dvaluation de la scurit.
Stratgie de
Grer et Surveiller et
scurit de
amliorer rpondre
l'entreprise
Test
Les ingnieurs en scurit de Cisco valident, puis confirment la prsence de chacune des vulnrabi-
lits spcifiques dtectes, en ralisant des pntrations tendues non destructrices sur le rseau, en
vue de dterminer plus prcisment le niveau daccs non autoris pouvant tre obtenu.
Plus prcisment, le processus SPA inclut les tapes suivantes :
m Cartographie du rseau et analyse de cible, afin de dterminer la topologie du rseau, de mettre en
vidence sa prsence sur lInternet grce aux informations collectes dans des rapports publics et
privs de lentreprise, et de fournir une vision exacte du degr de probabilit dune attaque russie.
m Dcouverte dhtes et de services, afin de dterminer le nombre dhtes prsents sur le rseau,
et didentifier les services de rseau excuts actuellement par chaque hte.
m Analyse des vulnrabilits, afin de dterminer toutes les failles potentielles qui existent pour
chaque service de rseau excut, sur chaque hte identifi. Cette phase inclut galement une
analyse complmentaire qui consiste, dans un premier temps, confirmer la prsence de ces
vulnrabilits sur des systmes spcifiques, en exploitant les failles potentielles qui ont t iden-
tifies, puis dterminer quelles vulnrabilits additionnelles pourraient tre exploites lorsque
celles de premier niveau le sont de faon approprie.
m Mesure du niveau de vulnrabilit, et collecte des donnes qui permettent didentifier les mthodes
daccs non autorises auxquelles le rseau est expos, via lexploitation des failles du rseau, au
moyen doutils SPA spcialiss.
m Analyse des donnes, et rvision de la conception de la scurit dans le cadre dune comparaison des
rsultats de tests avec les exigences fonctionnelles actuelles, afin didentifier les failles critiques.
m Recommandations et rapports permettant didentifier les moyens de protection optimaux qui
peuvent tre dploys, ainsi que conclusions et recommandations spcifiques pour chaque systme,
lattention des responsables de lentreprise, des administrateurs systme et des utilisateurs.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 719
Les ingnieurs en scurit de Cisco prsentent les donnes de rsultat dans des rapports dtaills,
ainsi que lors de runions. Ils expliquent les failles de scurit, la fois aux responsables de lentre-
prise et aux ingnieurs de rseau, de faon concise et strictement confidentielle. Outre les recom-
mandations relatives aux amliorations spcifiques au niveau de la scurit, le processus SPA donne
galement aux clients des mesures qui leur permettent de caractriser ltat de scurit de leurs
rseaux et systmes. Ces donnes peuvent ensuite tre exploites, afin de dfinir un profil de base de
la scurit du rseau dentreprise, ou de mesurer les amliorations progressives et les orientations
envisager, eu gard des valuations prcdentes.
Afin de maintenir la scurit sur des rseaux en constante volution, Cisco recommande aux entre-
prises de procder rgulirement des valuations SPA, dans le cadre dun programme continu de
protection des informations dentreprise. De plus, les clients Cisco ont trouv utile de faire raliser
des valuations SPA avant et aprs des changements majeurs sur leur rseau, telles quune fusion
de rseaux rsultant du rachat dune entreprise ou bien limplmentation dun site Internet de
commerce lectronique. Ces examens priodiques permettent dliminer les risques de violation
de la scurit quintroduisent invariablement les changements qui surviennent sur de tels rseaux.
Vous trouverez davantage dinformations sur les services de conseil en scurit de Cisco, ainsi que
sur tous ses produits, services et technologies de scurit en visitant le site www.cisco.com/security.
NOTE
Ces documents ne reprsentent quune infime partie des informations disponibles sur le sujet, mais ils
permettent de voir que cette guerre est bien relle. Votre rseau est-il protg ? Seriez-vous en mesure de
dceler une attaque ventuelle ?
Cette guerre sintensifie au fur et mesure que le commerce lectronique se dveloppe. LInternet
est la premire ressource vritablement mondiale, regroupant des individus du monde entier au sein
dune communaut virtuelle. Et, limage de toutes les grandes communauts, certaines personnes
respectent les rgles, dautres les enfreignent.
La scurit a probablement t lun des aspects le plus ignors du fonctionnement et de la conception
des rseaux. Au fur et mesure que les rseaux dentreprise voluent et se connectent lInternet, cet
aspect est devenu un souci majeur pour la plupart des organisations. Cette inquitude est, bien
entendu, justifie, mais la prise de conscience est lente. Des statistiques rcentes effectues par FBI
estiment 10 milliards de dollars la perte financire subie par les entreprises amricaines en 1997,
suite aux intrusions sur leurs rseaux. Ce chiffre dpasse le montant du produit national brut de
nombreux pays. Vu sous cet angle, vous pouvez plus facilement comprendre pourquoi certains indi-
vidus consacrent toute leur nergie au piratage informatique. Mme si votre rseau nest pas victime
dune intrusion en ce moment, dautres rseaux le sont. Comme mentionn prcdemment, les
mdias tmoignent de lintensification de la guerre de linformation, et bon nombre des plus impor-
tantes socits au monde font galement tat de menaces et de failles de scurit.
Cisco, en tant que numro un mondial des quipements de rseau, a dj reconnu cette menace, et
dveloppe des solutions pour sen protger.
Linfrastructure de campus est vulnrable aux attaques inities par un trs grand nombre dintrus,
divers et difficiles dtecter. Parmi les types dintrus les plus courants, on trouve :
m les employs actuels : ce groupe est parfois le plus difficile dtecter et viter, en raison des
relations de confiance qui existent entre le personnel et son employeur ;
m les anciens employs ;
m les employs ou utilisateurs qui initient des activits de faon involontaire ;
m les employs qui exploitent lenvironnement informatique en dpit du bon sens ;
m les espions.
niveau de scurit suprieur celui quelle offre rellement. Ce chapitre dcrit le modle de scurit
sous-jacent cette fonction de cryptage, ainsi que ses limitations en matire de scurit.
ATTENTION
Bien que cette tude de cas aborde des problmes de scurit de la couche rseau les plus significatifs
dans le contexte dune connexion Internet , le fait dignorer la scurit de niveau hte peut se rvler
dangereux, mme en cas de mise en uvre dun filtrage de niveau rseau. Pour savoir quelles mesures de
scurit de niveau hte peuvent tre implmentes, reportez-vous la documentation de vos applications
et aux suggestions de lectures rpertories la fin de ce chapitre.
Stratgies de scurit
Les stratgies de scurit reprsentent un sujet dtude pour les cyber-pirates. Il sagit en fait dun
lment constitutif des procdures de scurit mises en uvre sur un rseau. La citation suivante est
extraite du RFC 2196, intitul Site Security Handbook :
"Une stratgie de scurit est une dclaration formelle des rgles auxquelles doivent se soumet-
tre les utilisateurs ayant accs aux ressources technologiques et informatives dune entreprise."
Une stratgie de scurit doit couvrir la fois les aspects de scurit internes et externes. En effet,
les menaces proviennent des deux cts, ce qui oblige prendre en compte tous les risques si on
veut protger correctement son rseau.
724 Partie II Etudes de cas
Ces stratgies prsentent de nombreux avantages, et mritent par consquent le temps et les efforts
consacrs leur dveloppement. La liste suivante prsente les raisons qui justifient leur cration :
m Fournir un processus de contrle de la scurit du rseau existant.
m Aider dterminer les outils et procdures ncessaires lentreprise.
m Aider un groupe de dcideurs se mettre daccord, et dfinir les responsabilits des utilisateurs
et des administrateurs.
m Permettre une implmentation et une application globale de la scurit. La scurit informatique
concerne aujourdhui tous les secteurs de lentreprise, et les sites doivent tous se conformer la
stratgie de scurit du rseau.
m Crer une base de rfrence pour pouvoir intenter un procs en cas de besoin.
De nombreuses socits ont implment des stratgies de scurit dans le cadre de leur programme
de scurit de rseau. Ces stratgies fournissent un ensemble accessible de standards qui permettent
de dterminer les actions entreprendre, et prconisent une procdure de rponse en cas dattaque,
afin que tous les utilisateurs soient la fois informs et responsables.
La Figure 22.2 est extraite dune tude mene par WarRoom Research. Elle illustre le niveau de risque
auquel sont exposes les socit du classement Fortune 1000. Pour obtenir davantage dinformations sur
cette tude, visitez le site http://www.warroomresearch.com/ResearchCollabor/SurveyResults.htm.
11- 1-
20 10
Chapitre 22 Amlioration de la scurit sur les rseaux IP 725
Le RFC 2196 est une excellente rfrence en matire de dveloppement de stratgies de scurit de
rseau. Il prcise quune telle stratgie est essentiellement constitue dun document qui rsume
de quelle manire les ressources de traitement et de rseau de lentreprise doivent tre utilises et
protges.
Les caractristiques essentielles dune stratgie de scurit efficace sont les suivantes :
m Possibilit dimplmentation, la fois sur le plan technique et sur le plan organisationnel.
m Applicable au moyen doutils de scurit aux endroits appropris, sinon au moyen de sanctions
l o une protection relle ne peut tre implmente techniquement.
m Dfinition du niveau de responsabilit des utilisateurs, des administrateurs et de la direction.
m Souple et facile grer, afin de sadapter aux environnements changeants.
m Implmente le niveau maximal de scurit sur le rseau, tout en tant galement transparente que
possible pour les utilisateurs.
m Utilise des procdures de gestion et des processus de notification.
NOTE
Une stratgie de scurit nest pas la solution vos problmes de scurit. Elle reprsente plutt un cadre
de travail qui permet dimplmenter une scurit sur votre rseau. Associe dautres aspects traits dans
ce chapitre, une stratgie efficace peut garantir une scurit complte et fiable.
et de formation. Elles peuvent galement entraner une consommation trs importante des ressources de
traitement, et ncessiter un matriel ddi.
Lorsque vous laborez vos mesures de scurit, examinez-en le cot et les bnfices que vous pour-
rez en tirer. A cet effet, vous devez connatre les cots associs aux mesures elles-mmes, ainsi que
ceux lis aux risques de brches dans la scurit. Si vous engagez des dpenses exagres par
rapport aux dangers rels, vous pourriez le regretter. Par exemple, peu dentreprises pourraient justi-
fier le cot de mesures de scurit extrmes, telles celles mises en uvre sur le rseau du
Dpartement de la dfense amricain.
dune scurit. La communication avec les utilisateurs est donc essentielle, car une fois quils ont
compris les raisons pratiques qui motivent ces mesures, ils sont plus enclins les accepter. Mais,
quel que soit le mal que vous vous donnez, vous tomberez toujours sur des utilisateurs qui tenteront
de les contourner.
Tout utilisateur peut mettre en pril le systme de scurit, tout au moins dans une certaine mesure.
Les mots de passe, par exemple, peuvent souvent tre obtenus en appelant simplement les utilisa-
teurs au tlphone et en se faisant passer pour un administrateur systme. Si vos utilisateurs sont
conscients des problmes de scurit, et sils comprennent les raisons de ces mesures, ils feront tout
leur possible pour viter quun intrus ne pntre dans le systme.
Au minimum, les utilisateurs doivent savoir quil ne faut jamais communiquer des mots de passe ou
autres informations confidentielles sur des lignes tlphoniques non scurises (plus particulirement
les tlphones cellulaires) ou par courrier lectronique (e-mail). Ils doivent se mfier des questions
quon leur pose par tlphone. Certaines entreprises ont mis en place un programme officiel de
formation de leur personnel la scurit de rseau, et les employs ne sont pas autoriss accder
lInternet tant quils nont pas suivi cette formation. Une telle politique est efficace afin de sensibili-
ser une communaut dutilisateurs, et devrait tre formule par crit, de faon tre accessible
tous. Dernire remarque importante : ne violez jamais vos propres procdures de scurit, quelles
que soient vos raisons.
systme. Des outils daudit vous aideront dans cette tche. Bien sr, en complment de cette appro-
che prventive, vous pouvez mettre en place des mcanismes dalarme qui signalent les tentatives
de violation ou de contournement des mesures de scurit en place.
Limiter sa confiance
Vous devez connatre prcisment les logiciels et matriels que vous utilisez, et ne pas baser votre
systme de scurit sur lhypothse que tous les programmes sont exempts de bogues. Sachez
mettre profit lexprience et les dcouvertes dautrui, qui font lobjet de nombreuses annonces et
publications, et pensez toujours tout remettre en question.
Laccs SNMP permet de dfinir plusieurs chanes de communaut SNMP pour les accs non privi-
lgi et privilgi. Laccs non privilgi permet aux utilisateurs, sur un hte, denvoyer au routeur
des messages SNMP get-request et get-next-request, qui servent recueillir des informations statis-
tiques auprs du routeur. Laccs privilgi permet aux utilisateurs, sur un hte, denvoyer au
routeur des messages SNMP set-request afin den modifier les paramtres de configuration et le
mode de fonctionnement.
Lorsque vous ouvrez une session sur le routeur, linvite douverture de session se prsente de la faon
suivante :
User Access Verification
Password:
Vous devez saisir le mot de passe 1forAll, afin dobtenir un accs non privilgi au routeur. La
rponse apparat comme suit :
router>
Le mode non privilgi est signifi sur le routeur par linvite >. A ce stade, vous pouvez saisir une
varit de commandes, afin de consulter des informations statistiques sur ce routeur, mais vous
ntes pas autoris en modifier la configuration.
Nutilisez jamais cisco comme mot de passe, ou autre variante vidente, telle que pancho. Ce sont
les premiers mots de passe utiliss par les intrus lorsquils reconnaissent une invite Cisco.
Saisissez le mot de passe san-fran, afin dobtenir laccs privilgi au routeur. Ce dernier rpond
comme suit :
router#
Chapitre 22 Amlioration de la scurit sur les rseaux IP 731
Le mode privilgi est signifi par linvite #. Dans ce mode, vous pouvez entrer toutes les comman-
des qui permettent de consulter des statistiques, ou de configurer le routeur.
Une autre faon de dfinir le mot de passe du mode privilgi est dutiliser la commande enable
secret. Elle remplace la commande enable-password, et crypte automatiquement le mot de passe
du mode privilgi lorsque vous visualisez la configuration.
Accs Telnet
Vous pouvez accder au routeur en modes non privilgi et privilgi, via Telnet. A limage du cas
du port de console, la scurit Telnet intervient lorsque le routeur invite les utilisateurs sauthenti-
fier en fournissant un mot de passe. Un grand nombre des lments dcrits la section "Accs par
console" sont applicables laccs Telnet. Vous devez fournir un mot de passe, afin de transiter du
mode non privilgi au mode privilgi. Vous pouvez crypter les mots de passe, et spcifier des
dlais dexpiration pour chaque session Telnet.
Accs SNMP
Le protocole SNMP (Simple Network Management Protocol) reprsente une autre mthode daccs
aux routeurs. Avec SNMP, vous pouvez recueillir des statistiques ou configurer les routeurs. La collecte
de statistiques se fait au moyen des messages get-request et get-next-request, et la configuration des
732 Partie II Etudes de cas
routeurs au moyen des messages set-request. Chacun de ces messages comprend une chane de commu-
naut, qui est en fait un mot de passe en texte clair, envoy dans chaque paquet entre une station
gestionnaire et le routeur (qui hberge un agent SNMP). La chane de communaut SNMP sert
authentifier les messages envoys entre le gestionnaire et lagent. Lagent rpond uniquement lorsque le
gestionnaire lui envoie la chane de communaut correcte.
Lagent SNMP situ sur le routeur permet de configurer plusieurs chanes de communaut pour des
accs non privilgi et privilgi. Pour cela, la commande de configuration snmp-server community
<chane> [RO | RW] [liste-accs] est employe. Les sections suivantes examinent les diffrentes
utilisations de cette commande.
Malheureusement, ces chanes sont envoyes sur le rseau en texte clair, au format ASCII. Par
consquent, quiconque est capable de capturer un paquet sur le rseau peut dcouvrir la chane.
Ainsi, des utilisateurs non autoriss ont la possibilit dinterroger ou de modifier les routeurs, via
SNMP. Pour viter cela, la commande no snmp-server trap authentication empche les intrus
dutiliser des messages dinterception (envoys entre les gestionnaires et les agents) pour dcouvrir
les chanes de communaut.
La communaut Internet, consciente du problme, a considrablement amlior la scurit de la
version 2 de SNMP, tel que dcrit dans le RFC 1446. SNMP version 2 utilise un algorithme, appel
MD5, afin dauthentifier les communications entre les deux parties SNMP. MD5 vrifie lintgrit
de ces communications, en authentifie lorigine, puis en contrle la validit. De plus, cette version de
SNMP emploie le standard de cryptage DES (Data Encryption Standard) pour crypter les informations.
Vous pouvez galement spcifier une liste des adresses IP qui sont autorises envoyer des messa-
ges au routeur, au moyen de linstruction access-list, avec la commande snmp-server community.
Dans lexemple de configuration suivant, seuls les htes 1.1.1.1 et 2.2.2.2 se voient accorder un
accs SNMP non privilgi au routeur :
access-list 1 permit 1.1.1.1
access-list 1 permit 2.2.2.2
snmp-server community public RO 1
Mode privilgi
Employez le mot cl RW de la commande snmp-server community pour autoriser un accs privilgi
sur vos routeurs, via SNMP. La commande de configuration suivante configure lagent sur le
routeur pour quil nautorise que les messages SNMP set-request envoys avec la chane de
communaut "private" :
snmp-server community private RW 1
Chapitre 22 Amlioration de la scurit sur les rseaux IP 733
Vous pouvez galement spcifier une liste des adresses IP qui sont autorises envoyer des messa-
ges au routeur, au moyen de linstruction access-list, avec la commande snmp-server community.
Dans lexemple de configuration suivant, seuls les htes 5.5.5.5 et 6.6.6.6 se voient accorder un
accs SNMP privilgi au routeur :
access-list 1 permit 5.5.5.5
access-list 1 permit 6.6.6.6
snmp-server community private RW 1
NOTE
Bien que le cryptage soit utile, il peut tre forc, et ne doit donc pas constituer lunique stratgie de scurit.
Tableau 22.1 : Ports TCP pour laccs Telnet aux produits Cisco (versions antrieures
de System Software)
7 Echo
9 Discard (dtruire)
23 Telnet (sur ports de terminal virtuel VTY en mode rotation)
79 Finger
1993 SNMP sur TCP
2001 2999 Telnet, sur port auxiliaire (AUX), ports de terminal (TTY), et ports de terminal vir-
tuel (VTY)
3001 3999 Telnet, sur ports de rotation (laccs sur ces ports est possible uniquement si les
rotations ont dabord t explicitement configures laide de la commande
rotary)
4001 4999 Miroir Telnet (mode flux) de la plage 2000
5001 5999 Miroir Telnet (mode flux) de la plage 3000 (laccs sur ces ports est possible uni-
quement si les rotations ont dabord t explicitement configures)
6001 6999 Miroir Telnet (mode binaire) de la plage 2000
7001 7999 Miroir Telnet (mode binaire) de la plage 3000 (laccs sur ces ports est possible
uniquement si les rotations ont dabord t explicitement configures)
8001 8999 Xremote (serveurs de communication uniquement)
9001 9999 Reverse Xremote (serveurs de communication uniquement)
10001 19999 Groupe Reverse Xremote (serveurs de communication uniquement ; laccs sur
ces ports est possible uniquement sils ont dabord t explicitement configurs)
Chapitre 22 Amlioration de la scurit sur les rseaux IP 735
ATTENTION
Etant donn que les routeurs Cisco ne disposent pas de lignes TTY, la configuration de laccs (sur les
serveurs de communication) aux ports terminaux 2002, 2003, 2004, et plus, pourrait potentiellement fournir
un accs (sur les routeurs) sur les lignes de terminal virtuel 2002, 2003, 2004, et plus. Pour fournir un accs
aux ports TTY uniquement, vous pouvez crer des listes qui interdisent laccs aux ports VTY.
De plus, lors de la configuration de groupes de rotation, noubliez pas que laccs est possible par le
biais de nimporte lequel des ports disponibles dans le groupe (sauf si des listes daccs ont t
dfinies). Si vous utilisez des pare-feu qui autorisent les connexions TCP entrantes sur un grand
nombre de ports, Cisco recommande dappliquer les listes daccs appropries ses produits.
Lexemple suivant illustre une liste daccs qui refuse tous les accs Telnet entrants sur le port auxi-
liaire, et qui autorise laccs Telnet au routeur uniquement pour ladresse 192.32.6.7 :
access-class 51 deny 0.0.0.0 255.255.255.255
access-class 52 permit 192.32.6.7
line aux 0
access-class 51 in
line vty 0 4
access-class 52 in
Pour dsactiver les connexions sur les ports Echo et Discard, vous devez dsactiver compltement
ces services, au moyen de la commande no service tcp-small-servers.
NOTE
Si la commande ip alias est active sur les produits Cisco, les connexions TCP sur nimporte quel port
de destination sont considres comme tant valides. Il se peut que vous souhaitiez dsactiver cette
commande.
Dans certaines situations, il peut tre utile de crer des listes daccs pour empcher laccs aux
produits Cisco sur ces ports TCP. Pour obtenir des informations sur la cration de listes daccs
pour des routeurs, voyez la section "Configuration du routeur pare-feu", plus bas dans ce chapitre. Pour
obtenir des informations sur la cration de listes daccs pour des serveurs de communication,
consultez la section "Configuration du serveur de communication pare-feu", plus bas dans ce chapitre.
Avec les versions ultrieures, un routeur Cisco accepte par dfaut les connexions sur les ports rper-
toris au Tableau 22.2.
Tableau 22.2 : Ports TCP pour laccs Telnet aux produits Cisco (versions ultrieures
de System Software)
7 Echo
9 Discard (dtruire)
23 Telnet
79 Finger
1993 SNMP sur TCP
2001 Port auxiliaire (AUX)
4001 Port (flux) auxiliaire (AUX)
6001 Port (binaire) auxiliaire (AUX)
Laccs sur le port 23 peut tre restreint en crant une liste daccs, que lon assigne ensuite aux lignes
de terminal virtuel. Laccs sur le port 79 peut tre dsactiv laide de la commande no service
finger. Laccs sur le port 1993 peut tre contrl avec des listes daccs SNMP. Laccs sur les ports
2001, 4001 et 6001 peut tre contrl au moyen dune liste daccs place sur le port auxiliaire.
Fonctionnement
La dfinition dune liste de contrle daccs fournit un ensemble de critres, qui sont appliqus
chaque paquet trait par le routeur. Celui-ci dcide de transmettre ou de bloquer un paquet, en fonc-
tion des critres auxquels ce paquet correspond.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 737
Des critres de liste daccs typiques spcifient ladresse source, ladresse de destination, ou le
protocole de couche suprieure dun paquet. Toutefois, chaque protocole possde son propre
ensemble de critres, qui peut tre dfini plus prcisment au moyen de numros de port.
Pour une liste daccs donne, chaque critre peut tre dfini dans une instruction de liste daccs
spare. Ces instructions indiquent de transmettre ou de bloquer les paquets qui correspondent aux
critres lists. En fait, une liste daccs est la somme des instructions individuelles qui partagent
toutes le mme nom ou numro didentifiant.
NOTE
Chaque instruction de liste daccs que vous ajoutez est place la suite des instructions dj dfinies. De
plus, vous ne pouvez pas supprimer des instructions individuelles une fois quelles ont t cres. Vous
pouvez seulement supprimer la liste entire.
Chaque paquet est compar chaque entre de la liste, cest--dire chaque critre. Lorsquune
correspondance est trouve, le paquet est accept ou refus. Une entre de liste daccs peut soit
autoriser (permit) soit rejeter (deny) le trafic.
A la fin des listes daccs est spcifie une instruction implicite de rejet de tout le trafic. Par cons-
quent, si un paquet ne correspond aucun des critres, il est bloqu. Il sagit du comportement par
dfaut dune liste daccs sur un routeur Cisco. Lors de la configuration de listes daccs, il est donc
important davoir lesprit que tout le trafic non explicitement autoris est rejet.
Le comportement dune liste daccs peut tre compar une condition "if then" en programma-
tion. Chaque entre dune liste daccs comporte un critre spar. La portion "if" de la ligne est le
critre, et la portion "then" est une instruction dacceptation ou de rejet. Par exemple :
if <critre 1> then <permit | deny>
if <critre 2> then <permit | deny>
.
.
.
rejeter tout le trafic
Lordre des instructions dans une liste daccs est galement important. Lorsque le routeur doit
dcider de transmettre ou de bloquer un paquet, le logiciel Cisco IOS compare le paquet chaque
critre, dans lordre de cration des instructions. Une fois quune correspondance a t trouve,
aucune autre instruction nest excute pour ce paquet. Ce mode de fonctionnement est dsign
processus descendant.
Le processus descendant est lun des concepts les plus simples utiliss par les routeurs Cisco, si
vous respectez les rgles. Lors de la cration dune liste de contrle daccs, ayez lesprit les
rgles suivantes :
m Les lments spcifiques, tels que des adresses IP individuelles, sont placs en dbut de liste.
m Les lments gnraux, tels que des numros de sous-rseaux, devraient tre placs en milieu de
liste.
m Les lments ouverts, tels que des numros de rseaux, devraient se situer en fin de liste.
738 Partie II Etudes de cas
Si vous crez une instruction qui autorise explicitement tout le trafic, aucune des instructions
suivantes ne sera excute. Si, par la suite, vous voulez ajouter des instructions supplmentaires,
vous devrez supprimer la liste daccs, puis la recrer avec les nouvelles entres.
NOTE
Lors de la cration ou de la modification de listes daccs, il est vivement recommand de ne pas les modifier
la vole. Il est prfrable de les concevoir sur un serveur TFTP, dans un traitement de texte, ou sur papier.
Lutilisation de listes daccs induit une charge de traitement supplmentaire au niveau du processeur du
routeur, car chaque entre dune liste doit tre contrle, jusqu ce quune correspondance soit trouve.
ATTENTION
Nenregistrez pas les modifications apportes la configuration dun routeur tant que vous navez pas la
certitude que la scurit mise en uvre fonctionne correctement, de faon pouvoir revenir en arrire en
cas derreur.
Une seule liste daccs peut tre applique une interface, pour un protocole donn. Avec la plupart
des protocoles, les listes daccs peuvent tre configures sur des interfaces, en entre ou en sortie.
Dans le cas dun filtrage en entre, le paquet reu est compar aux critres de la liste par le systme
IOS, la recherche dune correspondance. Si une correspondance est trouve et que le paquet soit
autoris, le systme poursuit son traitement, sinon il le supprime.
Dans le cas dun filtrage en sortie, le paquet reu est rout vers linterface de sortie, puis compar
aux critres de la liste par le systme IOS, la recherche dune correspondance. Si une correspon-
dance est trouve et que le paquet soit autoris, le systme le transmet, sinon il le supprime.
Pour bien comprendre le fonctionnement de base des listes ACL, il faut savoir que le sens dans
lequel une liste est applique (entre ou sortie) est une question de perspective. En loccurrence, il
est vu depuis le routeur. La Figure 22.3 illustre ce principe.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 739
Figure 22.3
Le sens dapplication Trafic en Trafic en
des listes ACL est entre sortie
fonction du routeur.
ATTENTION
Pour la plupart des protocoles, si vous dfinissez une liste daccs en entre, afin de filtrer le trafic, vous devez
inclure des critres explicites qui autorisent la transmission des mises jour de routage. Sinon, vous pourriez
perdre la communication sur une interface, les mises jour tant bloques par linstruction implicite de rejet
de tout le trafic en fin de liste.
Souvenez-vous que les listes daccs sont configures sur le routeur, quelle que soit la faon dont
vous les exploitez. Tant que vous parvenez vous reprsenter la situation par rapport au routeur, vous
pouvez diffrencier les notions de trafic entrant et sortant.
Masque gnrique
Les listes daccs IP standards et tendues utilisent un masque gnrique (wildcard mask).
A linstar dune adresse IP, un masque gnrique est une valeur sur 32 bits, exprime au moyen de
nombre dcimaux spars par un point. Lors du processus de comparaison, les bits marqus 1 dans
le masque gnrique signifient quil faut ignorer la valeur des bits correspondants dans ladresse de
paquet, et les bits marqus 0 dans le masque signifient quil faut comparer la valeur des bits corres-
pondants dans ladresse de paquet.
Lutilisation du masque gnrique peut galement tre dcrite comme suit :
m Lorsquun bit est marqu 0 dans le masque, la valeur du bit de mme position dans ladresse du
paquet et dans ladresse de la liste daccs doit tre identique, que ce soit 0 ou 1.
m Lorsquun bit est marqu 1 dans le masque, la valeur du bit de mme position dans ladresse de
paquet est demble considre comme tant correspondante, que ce soit 0 ou 1. Il ny a donc
pas de comparaison avec ladresse de liste daccs. Pour cette raison, les bits marqus 1 sont dits
gnriques.
Une liste daccs peut comporter un nombre indfini dadresses relles et de masques gnriques.
Un masque gnrique, lorsquil est non nul, peut correspondre plusieurs adresses relles. Souve-
nez-vous que lordre des instructions de liste daccs est important, car lorsquune correspondance
est trouve pour un paquet, le reste des instructions nest pas excut.
NOTE
Les masques gnriques offrent un grand avantage : ils permettent au routeur de comparer rapidement les
paquets avec les entres ACL, ce qui rduit les temps de traitement ainsi que la quantit de cycles proces-
seur utiliss.
740 Partie II Etudes de cas
En fait, un masque gnrique est loppos dun masque de sous-rseau. Il permet au routeur de rapi-
dement dterminer si une seule adresse IP est rfrence, ou bien sil sagit dune plage dadresses
IP. Imaginez une adresse IP 172.19.1.1 avec un masque de sous-rseau 255.255.255.255 (32 bits).
Ce masque couvre la totalit de ladresse ; pour pouvoir sy rfrer dans une liste ACL, le masque
gnrique 0.0.0.0 serait utilis. Vous pouvez donc voir que le masque gnrique est le contraire du
masque de sous-rseau.
Prenons un exemple plus complexe. Imaginez un rseau 172.19.0.0, qui a t subdivis laide
dun masque de 28 bits. Les sous-rseaux suivants sont donc disponibles :
172.19.0.16/28
172.19.0.32/28
172.19.0.48/28
Pour dsigner un sous-rseau spcifique dans une liste ACL, le masque gnrique utilis serait le
contraire du masque de sous-rseau, soit :
255.255.255.255
255.255.255.240masque de sous-rseau
---------------
0 . 0 . 0 . 15masque gnrique
Le Tableau 22.4 dcrit les paramtres utiliss dans ces deux commandes.
NOTE
Pour supprimer une liste daccs, saisissez conscutivement les commandes no access-group, puis no
access-list, suivies de leurs paramtres respectifs.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 741
Tableau 22.4 : Paramtres des commandes access-list et ip access-group (listes daccs standards)
numro-liste-accs Identifie la liste laquelle lentre appartient. Pour les listes daccs stan-
dards, il sagit dun numro situ entre 1 et 99.
permit | deny Indique si cette entre autorise ou bloque le paquet lorsque son adresse cor-
respond au critre.
source Identifie ladresse source.
masque-source Identifie les bits comparer dans le champ dadresse source. Les bits mar-
qus 1 dans le masque indiquent ceux ignorer ; les bits marqus 0 ceux
comparer.
Protocole ?* Correspond
Excuter action
Entre suivante
dans la liste
Deny Permit
Message ICMP
numro-liste-accs Identifie la liste laquelle lentre appartient. Pour les listes daccs ten-
dues, il sagit dun numro situ entre 100 et 199.
permit | deny Indique si cette entre autorise ou bloque le paquet lorsquil correspond
toutes les conditions.
protocole ip, tcp, udp, icmp, gre, igrp.
source et destination Identifie ladresse IP source et ladresse de destination.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 743
masque-source Identifie les bits comparer dans les champs dadresse. Les bits marqus 1
et masque-destination dans le masque indiquent ceux ignorer ; les bits marqus 0 ceux comparer.
oprateur et oprande lt, gt, eq, neq (infrieur , suprieur , gale, non gale) plus un numro de port.
established Autorise le paquet tre transmis sil sagit dune rponse au trafic initi
par un rseau ou sous-rseau directement connect.
m Elles ne contiennent pas dinstruction implicite de rejet de tout le trafic, car elles sont imbriques
dans des listes daccs tendues nommes.
m Une liste daccs rflexive entrane la cration dune entre permit temporaire, lorsquune
nouvelle session IP dbute (par exemple, un paquet sortant). Cette entre est ensuite supprime,
lissue de la session.
m Une liste daccs rflexive nest pas directement applique une interface, mais imbrique dans
une liste daccs tendue nomme, qui, elle, est applique une interface.
m Deux listes daccs tendues nommes sont ncessaires, une en entre et une autre en sortie.
m Pour dfinir une liste daccs rflexive, vous devez utiliser une entre dans une liste daccs IP ten-
due nomme. Cette entre doit inclure le mot cl reflect. Ensuite, une autre liste daccs IP tendue
nomme doit contenir le mot cl evaluate.
2. Dfinissez la liste daccs rflexive laide dune entre permit rflexive. Rptez cette tape
pour chaque protocole de couche suprieure pour IP. Par exemple, vous pouvez configurer un
filtrage rflexif des sessions TCP, mais galement des sessions UDP. Vous pouvez employer le
mme nom pour plusieurs protocoles. Cette tape est une tape dimbrication ; elle utilise la
commande suivante :
permit protocole any any reflect nom [timeout secondes]
3. Les listes daccs rflexives sont le plus souvent mises en uvre laide de deux topologies de
rseau de base. Le fait de dterminer celle dont votre rseau se rapproche le plus peut vous aider
dcider si vous devez appliquer ces listes sur une interface interne ou externe. La Figure 22.5
illustre ces deux topologies.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 745
World Wide
Web
Conception de Ethernet 0
rseau n 2
Rseau Flux de trafic approuvs
interne
Serveur Web Serveur DNS
evaluate dans une liste ACL en entre
reflect dans une liste ACL en sortie
DMZ
Interface externe
La premire topologie illustre est intitule "Conception de rseau n 1". Dans cette topologie
simple, les listes daccs rflexives sont configures sur linterface externe Srie 0, ce qui empche
le trafic IP dentrer sur le routeur et datteindre le rseau interne, moins quil ne fasse partie dune
session dj tablie depuis le rseau interne.
Interface interne
La seconde topologie illustre est intitule "Conception de rseau n 2". Dans cette topologie, les
listes daccs rflexives sont configures sur linterface interne Ethernet 0, ce qui autorise le trafic
externe accder aux services au sein de la zone dmilitarise (DMZ, Demilitarized Zone), tels les
services DNS, mais empche le trafic IP dentrer sur le rseau interne, moins quil ne fasse partie
dune session dj tablie depuis le rseau interne.
En fait, vous ne configurez pas explicitement des listes ACL rflexives. Une liste est gnre auto-
matiquement en rponse un paquet qui correspond une entre ACL contenant la clause reflect.
La Figure 22.6 illustre les tapes ncessaires la configuration dune liste ACL rflexive.
Figure 22.6 ETAPE 1 : Cette commande spcifie la liste ACL ETAPE 2 : Dfinit et nomme la liste ACL
tendue nomme en sortie ou en entre, laquelle rflexive dans le mode de configuration
Configuration la liste ACL rflexive sera applique. de la liste d'accs. Utilisez la commande
dune liste daccs permit et rptez-la pour chaque protocole.
rflexive.
ETAPE 1 : Dfinit la liste d'accs tendue nomme Sortie
router (config) #ip access-list extended mon_acl_sortie
router (config-ext-nacl) #permit http any any (exemple)
Lorsquun paquet de donnes est valu au moyen de la liste ACL donnes_sortantes, sil sagit
dun paquet UDP, les informations dadresse IP et de port source, ainsi que celles dadresse IP et de
port de destination quil contient sont extraites, et une clause permit est cre dans la liste ACL
contrle_donnes_udp. Une seule entre ACL par session ou flux est cre.
NOTE
Si un paquet de donnes sortant correspond une autre clause permit ou deny, situe avant la clause
reflect dans la liste ACL donnes_sortantes, aucune entre temporaire nest cre.
Lorsquun paquet de donnes est valu au moyen de la liste ACL donnes_entrantes, et que le routeur
atteint la clause evaluate, le paquet est contrl par la liste ACL contrle_donnes_udp. Sil corres-
pond, il est accept ; sinon, le routeur continue lvaluation avec la liste ACL donnes_entrantes.
NOTE
Si un paquet entrant correspond une clause permit ou deny dans la liste donnes_entrantes, avant que
la clause evaluate ne soit atteinte, lentre rflexive nest pas contrle.
Lorsque le routeur reoit un paquet, il lvalue au moyen de la liste daccs tendue. Si une corres-
pondance est trouve avant que le routeur nait atteint la liste daccs rflexive, celle-ci nest pas
utilise. Si le paquet ne correspond aucune condition de la liste daccs tendue, il est compar
aux instructions de la liste rflexive.
Si le paquet correspond une entre permit de la liste rflexive, une entre temporaire est cre, et
le paquet est gr en fonction des critres de correspondance. Lentre demeure active jusqu ce
que la session se termine.
Pour les sessions TCP, lentre temporaire est supprime cinq secondes aprs que deux bits FIN
activs aient t dtects, ou immdiatement aprs quun paquet TCP avec le bit RST activ ait t
dtect. Sinon, lentre temporaire est supprime lorsquaucun paquet de session na t dtect
pendant un laps de temps prdtermin, cest--dire pendant lintervalle dfini au moyen du tempo-
risateur timeout.
NOTE
Deux bits FIN activs dans une session signifient que celle-ci est sur le point de se terminer. La fentre de
cinq secondes laisse le temps la session de se terminer proprement. Un bit RST activ indique une fin de
session brusque.
Pour UDP et dautres protocoles fonctionnant en mode non connect (connectionless), la fin dune
session est dtermine diffremment. Etant donn quaucune information de suivi de session nest
contenue dans ces paquets, la fin dune session est signifie lorsquaucun paquet na t dtect
pendant un intervalle de temps configurable.
748 Partie II Etudes de cas
Le processus mis en uvre par le routeur afin de traiter les entres dune liste daccs rflexive est
illustr la Figure 22.7. Ayez lesprit les concepts essentiels suivants, lors de lexamen de ce
processus :
m Comme pour nimporte quelle liste ACL, lordre des entres dans une liste rflexive est critique
pour son fonctionnement.
m Si le paquet correspond une entre de la liste tendue avant que la liste rflexive ne soit atteinte,
il ne sera pas compar avec cette dernire, et aucune entre temporaire ne sera cre.
m Une entre temporaire de liste ACL rflexive est cre uniquement sil nen existe pas dj une
pour cette session.
Figure 22.7
Paquet reu
Fonctionnement
dune liste ACL
rflexive.
Comparer avec l'entre Le paquet correspond-il
ACL suivante une entre ACL ?
Non Oui
L'entre contient-elle
Non une instruction reflect ?
Oui
Non
No
L'action est-elle
evaluate ?
deny
permit
Comparer avec ACL,
tel que spcifi par la
clause evaluate
continue
POUR :
m Dfinir ces listes uniquement avec des listes daccs IP tendues nommes.
m Toujours utiliser deux listes daccs IP tendues nommes, une en entre et une autre en sortie.
CONTRE :
m Dfinir ces listes avec des listes daccs IP standards numrotes ou nommes, ou avec dautres
listes daccs de protocoles.
m Utiliser ces listes avec des applications qui emploient des numros de port changeants, tel FTP
dans le mode actif.
ATTENTION
ATTENTION
Laccs lock-and-key autorise un vnement extrieur provoquer une ouverture dans le systme pare-feu.
Une fois cette ouverture faite, le routeur est expos lusurpation dadresse source. Pour viter cela, vous
devez fournir un support pour le cryptage. Ce problme est dcrit en dtail, plus loin dans cette section.
Lusurpation dadresse source est un problme inhrent toutes les listes daccs.
Voici deux situations dans lesquelles laccs lock-and-key pourrait tre implment :
m Lorsque vous souhaitez quun hte distant puisse accder un hte de votre rseau via lInternet.
Dans ce cas, la fonctionnalit lock-and-key limite laccs au-del de votre pare-feu, en ralisant
un filtrage par htes ou par rseaux.
m Lorsque vous voulez quun sous-ensemble dhtes sur un rseau puisse accder un hte sur un
rseau distant protg par un pare-feu. Dans cas, laccs lock-and-key permet daccorder
un accs uniquement lensemble dhtes souhait, en procdant leur authentification par
lintermdiaire dun serveur TACACS+.
Le processus suivant dcrit le fonctionnement de laccs lock-and-key :
1. Un utilisateur ouvre une session Telnet sur un routeur interzones configur pour laccs lock-
and-key.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 751
NOTE
Il est vivement recommand dutiliser un serveur TACACS+ pour le processus de requtes dauthentification.
TACACS+ assure des services dauthentification, dautorisation, et de comptabilit, et fournit galement
une base de donnes de scurit centralise.
3. Une fois que lutilisateur a t authentifi, le systme IOS cre une entre temporaire dans la
liste daccs dynamique. Cette entre hrite des paramtres de la liste. Vous pouvez limiter
la plage de rseaux pour lesquels lutilisateur a reu une autorisation daccs temporaire.
4. Lutilisateur change des donnes par lintermdiaire du pare-feu, puis met fin la session.
5. Lentre temporaire est supprime de la liste daccs dynamique par le systme IOS, lorsquun
dlai (dinactivit ou absolu) configur arrive expiration, ou bien lorsque ladministrateur
systme la supprime manuellement.
NOTE
Lorsque lutilisateur met fin une session, lentre temporaire demeure dans la liste daccs dynamique,
jusqu ce quelle soit supprime par le systme IOS ou ladministrateur systme.
Pour configurer laccs lock-and-key, ralisez les tapes suivantes, en vous plaant dans le mode de
configuration globale :
1. Configurez une liste daccs dynamique qui servira de modle et de contenu aux entres tempo-
raires. Voici les commandes que vous devez utiliser :
access-list numro-liste-accs
[dynamic nom-dynamique [timeout minutes]] {deny | permit}
protocole source masque-source destination masque-destination
[precedence priorit] [tos tos] [established] [log]
2. Configurez une interface au moyen de la commande suivante :
interface type numro
3. Dans le mode de configuration dinterface, appliquez la liste daccs linterface, laide de la
commande suivante :
ip access-group numro-liste-accs
4. Dans le mode de configuration globale, dfinissez un ou plusieurs ports de terminal virtuel
(VTY, Virtual Terminal). Si vous en spcifiez plusieurs, ils doivent tous tre configurs de faon
identique, car le systme IOS recherche les ports VTY disponibles tour de rle. Si vous ne
souhaitez pas configurer tous les ports VTY pour la fonction lock-and-key, vous pouvez spcifier
un groupe de ports VTY uniquement. La commande suivante est utilise pour dfinir des ports
(VTY) :
line VTY numro-ligne [numro-dernire-ligne]
752 Partie II Etudes de cas
6. Autorisez la cration dentres temporaires de listes daccs. Si largument host nest pas spcifi,
tous les htes du rseau sont autoriss en crer. La liste daccs dynamique contient le masque de
rseau, qui permet la nouvelle connexion de rseau. La commande suivante est utilise :
autocommand access-enable [host] [timeout minutes]
m La commande username. Cette mthode est plus efficace, car chaque utilisateur doit tre authen-
tifi individuellement. La syntaxe employe est la suivante :
Router# username nom password mot-de-passe
m Les commandes password et login. Cette mthode est moins efficace, car le mot de passe est
configur pour le port, mais non pour lutilisateur. Par consquent, nimporte quel utilisateur
connaissant le mot de passe peut se faire authentifier. La syntaxe employe est la suivante :
Router# password mot-de-passe
Router# login local
m Lorsque vous configurez un dlai dinactivit, spcifiez une valeur gale celle du dlai dinac-
tivit WAN.
m Ne crez pas plus dune liste daccs dynamique pour une liste daccs donne. Le systme se
rfre uniquement la premire liste dynamique dfinie.
m Nassignez pas un nom de liste dynamique existant une autre liste daccs, sinon le systme
rutilisera la liste existante. Toutes les entres nommes dans la configuration doivent tre
uniques.
m Si le routeur excute la commande autocommand, configurez tous les ports VTY avec la mme
commande autocommand. Lomission de cette commande sur un port VTY autorise nimporte
quel hte accder au mode EXEC du routeur, et ne cre pas dentre temporaire dans la liste
daccs dynamique.
Lorsque vous crez des listes daccs dynamiques, ayez lesprit les lments suivants :
m Les seules valeurs remplaces dans lentre temporaire sont ladresse source ou de destination,
selon que la liste dynamique a t place dans une liste daccs en entre ou en sortie. Tous les
autres paramtres, tel le port, sont hrits de la liste daccs dynamique.
m Chaque ajout dans une liste dynamique est toujours plac en dbut de liste. Vous ne pouvez pas
spcifier lordre des entres.
m Les entres temporaires de liste daccs ne sont jamais crites en NVRAM.
Lauthentification utilisateur est russie lorsque les vnements de routeur suivants se produisent :
m Lutilisateur se connecte sur le port VTY du routeur.
m Le routeur excute la commande autocommand, configure pour la commande access-enable.
m Une entre temporaire de liste daccs est cre, et la session Telnet est termine. Lhte spcifi
peut maintenant accder de lautre ct du pare-feu.
Vous pouvez vrifier que limplmentation sur le routeur est russie en demandant lutilisateur de
tester la connexion, ou bien en utilisant la commande show-access-lists, afin de visualiser les
listes daccs dynamiques.
Lexemple suivant illustre ce que lutilisateur pourrait obtenir, une fois le processus dauthentifica-
tion russi. Notez que la connexion Telnet a t ferme immdiatement aprs que le mot de passe a
t fourni, puis authentifi. Lentre temporaire a dj t cre ; lhte qui a initi la session Telnet
peut accder de lautre ct du pare-feu :
Router# telnet corporate
Trying 172.21.52.1 ...
Connected to corporate.abc.com.
Escape character is ^].
User Access Verification
Password:
Connection closed by foreign host.
754 Partie II Etudes de cas
line VTY 0 4
password cisco
!
Accs privilgi
Cette mthode de vrification de mots de passe peut galement sappliquer ceux du mode privil-
gi, grce la commande enable use-tacacs. Si aucun serveur nest disponible, vous ne pourrez
peut-tre pas accder au routeur. Dans ce cas, la commande de configuration enable last-resort
[password | succeed] permet dindiquer si lutilisateur est autoris se connecter sans mot de passe
(mot cl succeed) ou sil doit fournir le mot de passe du mode privilgi (mot cl password). Lutili-
sation du mot cl succeed comprend de nombreux risques. Si vous employez la commande enable
use-tacacs, vous devez galement spcifier la commande tacacs-server authenticate enable.
756 Partie II Etudes de cas
Vous avez galement la possibilit dutiliser la commande de configuration globale EXEC motd
banner sur nimporte quel quipement de rseau :
OSPF_Router (config)# motd banner
************************************************************************
* ! ! ! ! ! ! ! ATTENTION ! ! ! ! ! ! ! ! *
* CE SYSTEME EST LA PROPRIETE DE <nom-socit>. *
* TOUS ACCES ET UTILISATION NON AUTORISES DE CE SYSTEME *
* SONT FORMELLEMENT INTERDITS PAR <nom-socit> *
* ET SONT CONTRAIRES AUX STRATEGIES DE SECURITE, *
* AU REGLEMENT ET A LA LOI. *
* *
* LES UTILISATEURS NON AUTORISES SONT PASSIBLES DE POURSUITES *
* JUDICIAIRES ET SERONT SOUMIS AUX PROCEDURES *
* DISCIPLINAIRES INITIEES PAR LA SOCIETE. *
************************************************************************
Afficher un message comme celui-ci sur un quipement de rseau est trs efficace. Il vous couvre
dans tous les cas, et spcifie mme que les actions entreprises par des utilisateurs non autoriss ne
resteront pas impunies.
linverse de la charge utile dans le paquet TCP ou UDP, ce qui garantit une non lisibilit des donnes
durant leur transmission.
Le cryptage et le dcryptage des paquets IP a lieu uniquement au niveau des routeurs qui sont confi-
gurs pour cette fonctionnalit, et pour lauthentification de routeur. Ces routeurs sont dsigns par
les termes routeurs de cryptage homologues (peer encrypting routers), ou tout simplement routeurs
homologues. Les nuds intermdiaires ne participent pas au processus de cryptage/dcryptage.
En rgle gnrale, lorsquun paquet IP est gnr initialement sur un hte, il nest pas crypt (texte
clair), car la cration du paquet a lieu sur une portion scurise (interne) du rseau. Lorsque le
routeur de cryptage reoit le paquet de lhte en question, il dtermine sil doit ou non le crypter.
Sil dcide de le faire, le paquet est ensuite envoy sur une portion non scurise du rseau (habi-
tuellement un rseau externe, tel lInternet) vers le routeur de cryptage homologue. A rception du
paquet, le routeur homologue le dcrypte, puis le transmet en texte clair lhte de destination sur
son rseau.
NOTE
Il faut savoir que, lorsque vous implmentez le cryptage de niveau IP, vous appliquez une charge de traite-
ment supplmentaire au niveau des routeurs. Vous devriez donc vous assurer quils sont capables de grer
cette surcharge, en procdant un test pralable.
ATTENTION
Noubliez pas que les donnes se retrouvent dans une forme crypte uniquement lorsquelles quittent le
routeur de cryptage pour tre envoyes vers le routeur homologue. Ce qui veut dire quelles circulent
depuis lhte vers le routeur de cryptage dans une forme non crypte, cest--dire non scurise.
Pour assurer le cryptage de niveau paquet IP avec une authentification de routeur, Cisco implmente
les standards suivants : le standard de signature numrique DSS (Digital Signature Standard),
lalgorithme avec cl publique Diffie-Hellman (DH), et le standard de cryptage de donnes DES
(Data Encryption Standard). DSS est utilis pour lauthentification de routeur ; lalgorithme DH et
le standard DES sont utiliss pour initier des sessions de communication cryptes entre les routeurs
participants.
fournies ici ont t mises jour afin de reflter plus prcisment le contenu et la pertinence de ce
chapitre, mais vous pouvez vous reporter cet ouvrage pour une tude de cas complte.
NOTE
Cette section se rfre lauthentification de routeur voisin au moyen de lexpression authentification de
voisin. Cette fonctionnalit est parfois galement appele authentification de route.
NOTE
La mise en uvre de lauthentification en texte clair nest pas recommande dans le cadre dune politique
de scurit. Elle sert principalement viter des changements accidentels dans linfrastructure de routage.
Il est recommand dutiliser la place lauthentification MD5.
ATTENTION
A linstar des mots de passe, il est impratif de conserver les cls dauthentification labri des regards indis-
crets. Les avantages quoffre cette authentification en matire de scurit reposent sur la confidentialit
des cls. De plus, lorsque vous effectuez des tches de gestion de routeur via SNMP(Simple Network Mana-
gement Protocol), nignorez pas le risque associ la transmission de cls avec des versions de SNMP qui
nutilisent pas le cryptage.
Rebekah18
Cl d'authentification
Chaque interface se voit assigner OSPF en texte clair
la mme cl d'authentification
que l'interface correspondante
sur son routeur voisin
S1
Hill E0
top
Routeur C
Cl d'authentification S1
OSPF en texte clair
En rgle gnrale, lorsquune mise jour de routage est envoye, la squence dauthentification
suivante a lieu :
1. Un routeur envoie une mise jour de routage avec une cl dauthentification.
2. Le routeur destinataire (voisin) compare la cl quil reoit avec celle qui est stocke dans sa
mmoire.
3. Si les deux cls sont identiques, le routeur destinataire accepte le paquet de mise jour. Si elles
diffrent, le paquet de mise jour est rejet.
Authentification MD5
Lauthentification MD5 fonctionne de faon semblable lauthentification en texte clair, except
que la cl nest jamais envoye sur la liaison. Au lieu de cela, le routeur utilise lalgorithme de
hachage MD5 afin de gnrer un condens de message (ou signature) de la cl, qui est envoy la
place de la cl. Cela signifie quil est impossible pour quiconque coute clandestinement la ligne de
dcouvrir la cl.
Figure 22.9
Programme de dpannage
VisualOSPF de VisualProtocols.
non-concordance
Figure 22.10
Architecture Internet
pare-feu type. Passerelle
applicative
Routeur
pare-feu Hte
Flux de
paquet
Rseau
interne
Routeur
interne
La passerelle logicielle met en uvre des stratgies par applications et par utilisateurs. En effet, elle
contrle la livraison des services de rseau destination et en provenance du rseau interne. Par
exemple, seules certaines applications sont autorises tablir des connexions entre un hte int-
rieur au rseau et un hte extrieur, ou bien seuls certains utilisateurs ont le droit de communiquer
laide de lInternet.
Des filtres de routes et de paquets doivent tre dfinis pour reflter ces stratgies. Si la seule applica-
tion accepte est une application de messagerie, seuls les paquets de messagerie doivent tre autori-
ss traverser le routeur interne. Cela permet de protger la passerelle, et vite de la submerger de
paquets quelle supprimerait autrement.
125.50.13.3 hte
Passerelle applicative
125.50.13.4
Rseau
interne
Routeur
interne 125.50.1.0
Chapitre 22 Amlioration de la scurit sur les rseaux IP 765
Dans cette tude de cas, le routeur pare-feu autorise les nouvelles connexions entrantes vers un ou
plusieurs serveurs de communication ou htes. Il est prfrable de disposer dun routeur dsign
pour servir de pare-feu. Cela permet didentifier clairement son rle en tant que passerelle ext-
rieure, et vite galement dencombrer les autres routeurs avec cette tche. Au cas o le rseau
interne aurait besoin dtre isol, le routeur pare-feu assure la protection de la structure interne du
rseau.
Les connexions aux htes se limitent aux requtes FTP (File Transfer Protocol) entrantes et aux
services de messagerie, tel que dcrit la section "Dfinition de listes daccs de pare-feu", plus bas
dans ce chapitre. Les connexions Telnet, ou par modem, entrantes sur le serveur de communication
sont filtres sur ce serveur, qui excute le systme dauthentification de nom utilisateur TACACS,
tel que dcrit la section "Configuration du serveur de communication pare-feu", dans ce chapitre.
NOTE
Les connexions entre une ligne de modem de serveur de communication et une autre ligne de modem
sortante (ou vers le monde extrieur) devraient tre refuses, afin dempcher que des utilisateurs non
autoriss exploitent les ressources de votre rseau pour lancer une attaque vers lextrieur. Puisque ce
stade les intrus auront dj russi lauthentification TACACS, il est fort probable quils possdent le mot de
passe dun utilisateur. Il est vivement conseill dutiliser des mots de passe TACACS diffrents des mots
de passe dhte.
Cette configuration simple ne fournit aucune scurit et autorise tout le trafic en provenance de
lextrieur circuler sur la totalit du rseau interne. Pour implmenter la scurit sur le routeur
pare-feu, utilisez des listes daccs et des groupes daccs, tel que dcrit dans les prochaines
sections.
Dans le cadre dune implmentation de routeur pare-feu, la seconde mthode est la plus sre. Cest
celle que nous allons dcrire.
Dans cette tude de cas, les messages lectroniques et les news sont autoriss en entre pour quel-
ques htes seulement, et les services FTP, Telnet et rlogin sont accepts uniquement pour les htes
situs sur le sous-rseau protg par pare-feu. Les listes daccs IP tendues (allant de 100 199) et
les numros de ports TCP ou UDP sont employs pour filtrer le trafic. Lorsquune connexion doit
tre tablie pour la messagerie lectronique, Telnet, FTP ou autre, elle tentera douvrir un service
sur un numro de port spcifi. Par consquent, vous pouvez filtrer des types de connexions spcifi-
ques en refusant les paquets qui tentent dutiliser le service correspondant.
Souvenez-vous quune liste daccs est invoque aprs une dcision de routage, mais avant que le
paquet ne soit envoy vers une interface. Pour dfinir une liste daccs, vous pouvez utiliser votre
diteur de texte favori, par exemple Notepad. Vous pouvez crer un fichier qui contiendra les
commandes access-list, puis les copier directement sur le routeur, dans le mode de configuration.
Il est prfrable de supprimer toute instance dune ancienne liste daccs, avant de charger une liste
nouvelle ou modifie. Les listes daccs peuvent tre supprimes au moyen de la commande
suivante, dans le mode de configuration :
no access-list 101
La commande access-list peut prsent tre utilise pour autoriser nimporte quel paquet prove-
nant de machines dj connectes. Avec le mot cl established, une correspondance a lieu si le bit
dacquittement (ACK) ou de rinitialisation (RST) du datagramme IP est activ :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
established
Si des routeurs pare-feu partagent un mme rseau avec un fournisseur extrieur, vous souhaiterez
sans doute donner ces htes laccs votre rseau. Dans cette tude de cas, le fournisseur ext-
rieur dispose dun port srie, qui utilise ladresse de classe B du routeur pare-feu (152.50.14.2) en
tant quadresse source. Votre instruction de liste daccs autorisant ces htes serait donc celle-ci :
access-list 101 permit ip 152.50.14.2 0.0.0.0 0.0.0.0 255.255.255.255
Lexemple suivant illustre comment refuser laccs un utilisateur qui tente dusurper lune de vos
adresses internes partir de lextrieur :
access-list 101 deny ip 152.50.0.0 0.0.255.255 0.0.0.0 255.255.255.255
Les exemples de listes daccs suivants se fondent sur de nombreux numros de ports connus (well-
known) ou utiliss par dfaut avec la pile de protocoles TCP/IP. Reportez-vous au Tableau 22.6,
plus loin dans cette tude de cas, afin dobtenir la liste de certains de ces numros de ports.
Chapitre 22 Amlioration de la scurit sur les rseaux IP 767
NOTE
Le port 111 est uniquement un service dannuaire. Lorsque vous parvenez dcouvrir sur quels ports les
vritables services de donnes sont excuts, vous pouvez y accder. La plupart des services RPC nutili-
sent pas de numro de port fixe. Vous devez rechercher les ports sur lesquels ces services sont assurs,
et les bloquer. Malheureusement, comme les ports peuvent tre lis nimporte quel niveau, Cisco
recommande de bloquer tous les ports UDP, except DNS, lorsque cest possible.
Cisco recommande galement de filtrer le service TCP finger sur le port 79, afin dempcher des intrus
dobtenir des informations sur les rpertoires dutilisateurs internes et le nom des htes partir
desquels les utilisateurs ouvrent des sessions.
Les deux commandes access-list suivantes autorisent les requtes et rponses DNS (port 53) et
NTP (port 123) en fonction de leur adresse de port TCP/IP :
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 53
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 123
La commande suivante rejette le port UDP du serveur NFS (Network File Server) :
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049
Les commandes suivantes rejettent OpenWindows sur les ports 2001 et 2002, et X11 sur les ports
6001 et 6002. Cela permet de protger les deux premiers crans sur nimporte quel hte. Si une
machine utilise plus de deux crans, veillez bloquer les ports appropris :
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002
Les commandes suivantes autorisent quiconque accder lhte 152.50.13.100 sur le sous-rseau
152.50.13.0, via FTP:
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 21
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 20
Dans les exemples suivants, le rseau 152.50.1.0 se trouve sur le rseau interne (voir Figure 22.11).
Les commandes access-list suivantes autorisent les connexions TCP et UDP sur les numros de
port suprieurs 1023 pour un nombre dhtes trs restreint. Vrifiez que cette liste ne comprend
aucun serveur de communication ou traducteur de protocole :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.101 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 152.50.1.101 0.0.0.0 gt 1023
768 Partie II Etudes de cas
Les commandes access-list suivantes autorisent un accs DNS aux serveurs DNS rpertoris par
le NIC (Network Information Center) :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 eq 53
Les commandes suivantes autorisent les messages lectroniques SMTP entrants pour quelques
machines seulement :
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.13.100 0.0.0.0 eq 25
access-list 101 permit tcp 0.0.0.0 255.255.255.255 152.50.1.100 0.0.0.0 eq 25
Les commandes suivantes autorisent les serveurs de news NNTP (Network News Transfer Protocol)
internes recevoir des connexions NNTP en provenance dune liste dhomologues autoriss :
access-list 101 permit tcp 56.1.0.18 0.0.0.1 152.50.1.100 0.0.0.0 eq 119
access-list 101 permit tcp 182.12.18.32 0.0.0.0 152.50.1.100 0.0.0.0 eq 119
La commande suivante autorise lenvoi de messages derreurs ICMP (Internet Control Message
Protocol) :
access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Chaque liste daccs inclut une instruction implicite de rejet de tout le trafic (cest--dire, quelle
rejette tout ce qui nest pas mentionn) en fin de liste pour sassurer que les paramtres qui ne sont
pas expressment autoriss soient refuss. Voici quoi ressemblerait une liste daccs complte :
access-list 101 permit udp 0.0.0.0 255.255.255.255 0.0.0.0 55.255.255.255 eq 123
access-list 101 deny udp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2049
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 6002
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2001
access-list 101 deny tcp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255 eq 2002
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.2 0.0.0.0 eq 23
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 eq 21
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 eq 20
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.1.100 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.1.101 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 150.50.1.100 0.0.0.0 gt 1023
access-list 101 permit udp 0.0.0.0 255.255.255.255 150.50.1.101 0.0.0.0 gt 1023
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.1.100 0.0.0.0 eq 53
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.13.100 0.0.0.0 eq 25
access-list 101 permit tcp 0.0.0.0 255.255.255.255 150.50.1.100 0.0.0.0 eq 25
access-list 101 permit tcp 56.1.0.18 0.0.0.0 150.50.1.100 0.0.0.0 eq 119
access-list 101 permit tcp 182.12.18.32 0.0.0.0 150.50.1.100 0.0.0.0 eq 119
access-list 101 permit icmp 0.0.0.0 255.255.255.255 0.0.0.0 255.255.255.255
Par consquent, la commande access-group, qui applique une liste daccs pour filtrer les connexions
entrantes, doit tre assigne linterface Ethernet 0, de la faon suivante :
interface ethernet 0
ip access-group 101 in
Pour contrler laccs lInternet partir du rseau interne, dfinissez une liste daccs, et appli-
quez-la aux paquets sortants sur linterface srie 0 du routeur pare-feu. Pour cela, les paquets en
retour en provenance des htes qui utilisent Telnet ou FTP doivent tre autoriss accder au sous-
rseau pare-feu 152.50.13.0.
Les connexions sortantes sont autorises uniquement pour les htes des rseaux internes et le
serveur de communication. Cela permet dviter quune ligne de modem extrieure appelle vers
lextrieur partir dune seconde ligne de modem :
access-list 11 deny 152.50.13.2 0.0.0.0
access-list 11 permit 152.50.0.0 0.0.255.255
Figure 22.12
Exemple dusurpation dadresse. 125.50.14.0
Internet
Routeur
Paquet prtendant
provenir de l'adresse
source 125.50.13.0 125.50.13.0
Pour viter lusurpation dadresse, une liste daccs sera applique en entre sur linterface du routeur
avec lextrieur. Cette liste rejettera tous les paquets dont ladresse provient de rseaux internes, et que
le routeur connat (13.0 et 14.0).
Chapitre 22 Amlioration de la scurit sur les rseaux IP 771
ATTENTION
Si plusieurs rseaux internes sont connects au routeur pare-feu, et que ce dernier utilise des filtres
en sortie, le trafic entre ces rseaux subira une baisse des performances provoque par les filtres de
listes daccs. Pour se prmunir de cette dgradation des performances sur les rseaux internes, il faut
implmenter des filtres en entre sur linterface du routeur avec lextrieur uniquement.
Si une adresse utilise le routage par la source, elle peut envoyer et recevoir du trafic via le routeur
pare-feu. Pour cette raison, il est recommand de toujours dsactiver le routage par la source sur les
routeurs pare-feu, laide de la commande no ip source-route.
Suggestions de lectures
Cette section propose une liste de publications relatives la scurit sur les rseaux.
Livres et priodiques
Cheswick B. et Bellovin S. Firewalls and Internet Security. Reading, MA: Addison-Wesley, 1994.
Comer D.E. et Stevens D.L. Internetworking with TCP/IP. Volumes I-III. Englewood Cliffs, NJ:
Prentice Hall, 1991-1993.
Curry D. UNIX System Security A Guide for Users and System Administrators,1992.
Garfinkel et Spafford. Practical UNIX and Internet Security. Cambridge, MA: OReilly & Associa-
tes, 1996.
Quarterman J. et Carl-Mitchell S. The Internet Connection. Reading, MA: Addison-Wesley, 1994.
Ranum M.J. Thinking about Firewalls. Santa Clara, CA: Trusted Information Systems, Inc.
Stoll C. The Cuckoos Egg. New York, NY: Doubleday, 1995.
Thomas Thomas M. II. OSPF Network Design Solutions. Indianapolis, IN: Cisco Press, 1998.
Treese G. W. et Wolman A. X through the Firewall and Other Application Relays.
Sites Internet
Certaines rfrences peuvent tre consultes sur les sites suivants :
m Documents, sur le site gopher.nist.gov.
m Computer Underground Digest, sur le site site ftp.eff.org (rpertoire /pub/cud).
m Documents, sur le site research.att.com (rpertoire /dist/internet_security).
Rsum
Ce chapitre a donn un aperu des menaces internes et externes qui psent sur la scurit des rseaux
et a fourni des recommandations relatives au dveloppement dune politique de scurit permettant
de sen protger. Il a galement couvert limplmentation de cette scurit sur les quipements Cisco,
a laide de listes daccs et dautres mthodes. Pour finir, il a prsent deux tudes de cas sur limpl-
mentation de la scurit.
23
HSRP pour un routage IP
avec tolrance aux pannes
Cette tude de cas examine le protocole HSRP (Hot Standby Routing Protocol) de Cisco. Ce proto-
cole assure le secours automatique de routeurs lorsquil est configur sur des routeurs Cisco qui
excutent le protocole IP (Internet Protocol) sur des rseaux locaux Ethernet, FDDI (Fiber Distri-
buted Data Interface) ou Token Ring. HSRP est compatible avec IPX (Internetwork Packet
Exchange), AppleTalk et Banyan VINES, ainsi quavec DECnet et XNS (Xerox Network Systems)
dans certaines configurations.
NOTE
Les clients Banyan VINES sans serveur ne ragissent pas bien aux changements de topologie (que HSRP soit
configur ou non). Cette tude de cas dcrit les effets de tels changements sur des rseaux incluant les
clients Banyan VINES sans serveur.
Pour IP, HSRP autorise un routeur assumer automatiquement la fonction dun autre routeur si
celui-ci est dfaillant. HSRP est particulirement utile lorsque les utilisateurs sur un sous-rseau
requirent un accs continu aux ressources du rseau.
Examinez la Figure 23.1. Le routeur A gre les paquets entre le segment Tokyo et le segment Paris,
et le routeur B gre les paquets entre le segment Tokyo et le segment New York. Si la connexion
entre le routeur A et le routeur C devient impraticable, ou si lun des deux routeurs est indisponible,
les protocoles de routage convergence rapide, comme Enhanced IGRP (Enhanced Interior
Gateway Routing Protocol) ou OSPF (Open Shortest Path First), peuvent rpondre en quelques
secondes de faon que le routeur B soit prt transmettre les paquets qui auraient sinon t envoys
par le routeur A.
778 Partie II Etudes de cas
Figure 23.1
Un rseau WAN
typique.
Routeur A Routeur C
Pat Marceau
Routeur B
nexiste pas physiquement, mais il reprsente la cible commune pour les routeurs configurs pour se
secourir les uns les autres. La Figure 23.2 illustre le segment Tokyo du WAN configur pour HSRP.
Chaque routeur vritable est configur avec ladresse MAC et ladresse IP du routeur virtuel.
Pat
Adresse MAC virtuelle : 0000.0C07.AC01
Routeur Adresse IP virtuelle : 192.1.1.3
virtuel
E0 192.1.1.2
S0 192.2.2.1
vers New York
Routeur B
Routeur de
secours
Dans lexemple de la Figure 23.2, ladresse MAC du routeur virtuel est 0000.0C07.AC01. Lorsque
vous configurez HSRP, le routeur slectionne automatiquement lune des adresses MAC virtuelles
du bloc dadresses du logiciel Cisco IOS. Les rseaux locaux Ethernet et FDDI utilisent comme
adresse MAC virtuelle, une des adresses prassignes, et les rseaux locaux Token Ring utilisent
une adresse fonctionnelle.
Ainsi les htes du rseau 192.1.1.0 avec ladresse IP du routeur A, ils sont configurs avec ladresse
IP du routeur virtuel, qui devient leur routeur par dfaut. Lorsque la station de Pat envoie des
paquets la station de Marceau sur le segment Paris, il les envoie en fait vers ladresse MAC du
routeur virtuel.
Le routeur A est configur comme routeur actif, avec ladresse IP et ladresse MAC du routeur
virtuel. Il envoie tous les paquets adresss ce routeur vers linterface 1 du segment Paris. En tant
que routeur De secours, le routeur B est galement configur avec ladresse IP et ladresse MAC du
routeur virtuel. Si, pour une raison quelconque, le routeur A cesse de transmettre des paquets, le
protocole de routage converge, et le routeur B prend en charge les fonctions du routeur A en deve-
nant le routeur actif. Cest--dire que le routeur B rpond ladresse IP virtuelle et ladresse MAC
virtuelle. La station de Pat continue utiliser ladresse IP du routeur virtuel pour envoyer des paquets
destins la station de Marceau. Le routeur B reoit et envoie ces paquets vers le segment Paris via
le segment New York. Tant que le routeur A nest pas redevenu actif, HSRP autorise le routeur B
fournir un service continu aux utilisateurs du segment Tokyo qui ont besoin de communiquer avec
des utilisateurs du segment Paris. Pendant quil est actif, le routeur B continue assurer ses fonctions
habituelles, cest--dire la gestion des paquets entre le segment Tokyo et le segment New York.
780 Partie II Etudes de cas
HSRP fonctionne aussi lorsque les htes sont configurs pour proxy ARP. Lorsque le routeur HSRP
actif reoit une requte ARP pour un hte qui ne se trouve pas sur le rseau local, il envoie en
rponse ladresse MAC du routeur virtuel. Si le routeur actif devient indisponible, ou si sa
connexion vers le LAN distant nest plus exploitable, le routeur qui devient le routeur actif reoit
les paquets adresss au routeur virtuel et les transmet tel quil est prvu.
NOTE
Vous pouvez configurer HSRP sur nimporte quel routeur Cisco sur lequel tourne le systme Cisco IOS
version 10.0 ou ultrieure. Si vous le configurez sur un rseau Token Ring, tous les routeurs Cisco sur ce LAN
doivent excuter une version 10.0 ou ultrieure. Les versions 10.2(9), 10.3(6) et 11.0(2) permettent des
rponses aux requtes PING avec les adresses IP de secours. La version 11.0(3)(1) fournit un support amlior
pour lemploi dadresses IP secondaires avec HSRP.
Fonctionnement de HSRP
HSRP implmente un schma de priorit pour dterminer quel routeur configur pour HSRP doit tre
le routeur actif par dfaut. Pour configurer un routeur comme routeur actif, vous devez lui assigner
une priorit suprieure celle des autres routeurs HSRP. La priorit par dfaut est de 100. Par cons-
quent, si vous configurez un seul routeur avec la plus haute priorit, il sera le routeur actif par dfaut.
HSRP fonctionne en changeant des messages multicast qui annoncent les priorits des routeurs HSRP.
Lorsque le routeur actif manque denvoyer un message Hello dans un intervalle de temps configurable,
le routeur De secours possdant la plus haute priorit devient le routeur actif. La passation des fonctions
de transmission de paquets dun routeur un autre est compltement transparente pour tous les htes du
rseau.
Les routeurs configurs pour HSRP changent trois types de messages multicast :
m Hello. Le message Hello communique aux autres routeurs HSRP le niveau de priorit et les
informations dtat du routeur.
m Coup. Lorsquun routeur De secours assure les fonctions du routeur actif, il envoie un message
Coup.
m Resign. Un routeur actif envoie ce message lorsquil est sur le point de sarrter, ou quand un
routeur Dot dune priorit plus haute envoie un message Hello.
A nimporte quel moment, les routeurs HSRP peuvent se trouver dans lun des tats suivants :
m Actif. Le routeur assure des fonctions de transmission de paquets.
m Secours. Le routeur est prt assurer les fonctions de transmission de paquets en cas de
dfaillance du routeur actif.
m Emission et coute. Le routeur envoie et reoit des messages Hello.
m Ecoute. Le routeur reoit des messages Hello.
Chapitre 23 HSRP pour un routage IP avec tolrance aux pannes 781
NOTE
Lorsquil est configur sur les routeurs AG, AGS+ et Cisco 7000, HSRP tire parti de fonctionnalits matrielles
spciales qui ne sont pas disponibles sur les autres routeurs Cisco. Cela signifie que HSRP fonctionne de
faon lgrement diffrente sur ces routeurs. Pour obtenir un exemple, voyez la section "Interaction
de HSRP avec des protocoles routs", plus bas dans ce chapitre.
Configuration de HSRP
La Figure 23.3 illustre la topologie dun rseau IP sur lequel deux routeurs sont configurs pour
HSRP.
IP
E1 3.0.0.1 2.0.0.2 E1
Routeur Routeur de
Routeur A actif secours Routeur B
E0 1.0.0.1 1.0.0.2 E0
Rseau 1.0.0.0
Hte A
Tous les htes du rseau sont configurs pour utiliser ladresse IP du routeur virtuel (dans ce cas,
1.0.0.3) comme passerelle par dfaut. La commande de configuration de la passerelle par dfaut
dpend du systme dexploitation, de limplmentation de TCP/IP, et de la configuration de lhte.
782 Partie II Etudes de cas
NOTE
La configuration prsente dans cette tude de cas utilise le protocole de routage EIGRP. HSRP peut tre utilis
avec nimporte quel protocole de routage support par le logiciel Cisco IOS. Certaines configurations utilisant
HSRP requirent encore un protocole de routage pour converger lorsquun changement survient. Le routeur
De secours devient actif, mais la connectivit nest pas tablie tant que le protocole de routage na pas
converg.
secours de lautre. Le "1" indique que cette commande sapplique au groupe Hot Standby 1. Si vous
nutilisez pas cette commande dans la configuration dun routeur, il ne pourra pas devenir actif.
La commande de configuration dinterface standby priority dfinit la priorit HSRP du routeur
110, qui est suprieure la priorit par dfaut de 100. Seule la configuration du routeur A inclut
cette commande, qui en fait le routeur actif. Le "1" indique que cette commande sapplique au
groupe Hot Standby 1.
La commande de configuration dinterface standby authentication dfinit une chane dauthentifi-
cation dont la valeur est une chane non crypte de huit caractres incorpore dans chaque message
multicast HSRP. Cette commande est optionnelle. Si vous choisissez de lemployer, chaque routeur
HSRP dans le groupe devrait utiliser la mme chane pour que chacun puisse authentifier la source
des messages HSRP quil reoit. Le "1" indique que cette commande sapplique au groupe Hot
Standby 1.
La commande de configuration standby timers dfinit 5 secondes lintervalle entre chaque
message Hello (appel temps hello), et dfinit 8 secondes le dlai dattente lissue duquel un
routeur Dclare le routeur actif comme tant dfaillant (appel temps de retenue ou hold time). Les
valeurs par dfaut de ces intervalles sont respectivement 3 et 10. Si vous dcidez de les modifier,
vous devez configurer les deux routeurs pour quils utilisent les mmes valeurs. Le "1" indique que
cette commande sapplique au groupe Hot Standby 1.
NOTE
Il peut y avoir jusqu 255 groupes Hot Standby sur un rseau local Ethernet ou FDDI, alors quun rseau
local Token Ring nen accepte pas plus de trois.
Figure 23.4
Exemple de groupes de
secours Hot Standby. Routeur de secours 1.0.0.1 2.0.0.1
pour groupe 1 E0 S0
Routeur A
Suivi dinterface
Pour HSRP et MHSRP, vous disposez dune fonction de suivi dinterface (tracking) permettant
dajuster la priorit dun routeur en fonction de la disponibilit de certaines de ses interfaces.
Lorsquune interface qui est suivie devient indisponible, la priorit HSRP du routeur est rduite.
Vous pouvez utiliser cette fonction pour limiter la probabilit quun routeur ne devienne actif alors
que lune de ses interfaces principales est indisponible. Pour configurer le suivi dinterface, utilisez
la commande de configuration dinterface standby track. La Figure 23.5 illustre un rseau sur
lequel cette fonction a t configure.
786 Partie II Etudes de cas
Figure 23.5
Un rseau sur lequel le suivi
dinterface a t configur.
WAN IP
A la Figure 23.5, le routeur A est configur comme routeur actif, et les routeurs B et C comme
routeurs de secours. Voici la configuration du routeur A :
hostname RouterA
!
interface ethernet 0
ip address 1.0.0.1 255.0.0.0
standby 1 ip 1.0.0.4
standby 1 preempt
standby 1 priority 110
standby authentication microdot
!
interface serial 0
ip address 2.0.0.1 255.0.0.0
!
router eigrp 1
network 1.0.0.0
network 2.0.0.0
La commande de configuration dinterface standby ip active HSRP et dfinit ladresse 1.0.0.4 comme
tant ladresse IP du routeur virtuel. Le "1" spcifie le groupe de secours Hot Standby 1. La
commande de configuration dinterface standby preempt permet au routeur A de devenir actif lors-
que sa priorit est suprieure celle dautres routeurs HSRP dans le groupe de secours.
La commande de configuration dinterface standby priority dfinit la priorit HSRP du routeur
110, qui est la priorit la plus haute assigne dans notre exemple. Comme le routeur A possde la
plus haute priorit, il est le routeur actif. Voici la configuration du routeur B :
hostname RouterB
!
interface ethernet 0
ip address 1.0.0.2 255.0 0.0
standby 1 ip 1.0.0.4
standby 1 preempt
standby 1 priority 105
standby track serial 0
Chapitre 23 HSRP pour un routage IP avec tolrance aux pannes 787
interface serial 0
ip address 3.0.0.1 255.0.0.0
!
router eigrp 1
network 1.0.0.0
network 2.0.0.0
Equilibrage de charge
Vous pouvez utiliser HSRP ou MHSRP lorsque vous configurez lquilibrage de charge. A la
Figure 23.6, la moiti des stations de travail sur le rseau local est configure pour le routeur A, et
lautre moiti des stations est configure pour le routeur B.
788 Partie II Etudes de cas
Figure 23.6
Exemple de rpartition
de la charge.
IP
Routeur A Routeur B
E0 1.0.0.1 E0 1.0.0.2
Ensemble, les fichiers de configuration pour les routeurs A et B tablissent deux groupes de secours
Hot Standby. Pour le groupe 1, le routeur A est le routeur actif par dfaut, et le routeur B est le
routeur De secours. Pour le groupe 2, le routeur B est le routeur actif par dfaut, et le routeur A est
le routeur De secours. En mode de fonctionnement normal, les deux routeurs se partagent la charge
du trafic IP. Lorsque lun deux devient indisponible, lautre devient actif et assure les fonctions de
transmission de paquets du routeur Dfaillant. Les commandes de configuration dinterface stan-
dby preempt sont ncessaires en cas de dfaillance dun routeur pour que son rtablissement soit
anticip de manire restaurer le partage de la charge.
Chapitre 23 HSRP pour un routage IP avec tolrance aux pannes 789
NOTE
Indpendamment du fait que HSRP soit configur ou non, Banyan VINES ne ragit pas trs efficacement aux
changements de topologie. Lorsque HSRP est configur, les consquences dun changement de topologie
varient selon le type du routeur qui devient actif.
DECnet et XNS
DECnet et XNS sont compatibles avec HSRP et MHSRP sur Ethernet, FDDI et Token Ring avec les
routeurs Cisco 7000 et Cisco 7500. Certaines restrictions sappliquent lorsque ces deux protocoles
sont configurs sur dautres routeurs, comme Cisco 2500, Cisco 3000, Cisco 4000 et Cisco 4500,
qui ne disposent pas du matriel requis pour pouvoir supporter plusieurs adresses MAC. Le
Tableau 23.1 identifie les combinaisons supportes.
790 Partie II Etudes de cas
MHSRP avec ou sans DECnet ou XNS Non Non Non Non Oui Oui
HSRP sans DECnet ou XNS Oui Oui Oui Oui Oui Oui
HSRP avec DECnet ou XNS Non Non Non Non Oui Oui
Rsum
Les protocoles HSRP et MHSRP assurent un routage des paquets IP avec tolrance aux pannes sur
les rseaux o tous les htes doivent pouvoir accder en continu aux ressources sur tous les
segments. Pour fournir une tolrance aux pannes, HSRP et MHSRP ont besoin dun protocole qui
converge rapidement, comme EIGRP. Un protocole convergence rapide garantit une vitesse de
propagation des informations dtat du routeur suffisamment rapide pour rendre transparente, pour
les utilisateurs du rseau, la transition partir de ltat de secours vers ltat actif.
III
Annexes
Cette annexe fournit une liste partielle dune zone de Classe B devant tre divise en 500 zones
OSPF (Open Shortest Path First) environ. Pour cet exemple, le rseau est suppos faire partie de la
Classe B et possder ladresse 150.100.0.0.
NOTE
Bien quun rseau de 500 zones OSPF semble irrel, son utilisation pourra servir illustrer la mthodologie
gnrale employe pour segmenter un espace dadresse OSPF.
Le Tableau A.1 ne prsente que lespace dadresse pour deux des 512 zones. Ces zones sont dfinies
avec ladresse de base 150.100.2.0. Lillustration de la totalit de lespace dadresse pour ce rseau
ncessiterait des centaines de pages supplmentaires dinformations dadressage. Chaque zone
demanderait le mme nombre dentres que chacune des zones illustres dans notre exemple.
Le Tableau A.1 illustre lassignation de 255 adresses IP qui ont t partages entre deux zones
OSPF. Il montre galement les frontires des sous-rseaux et les deux zones OSPF prsentes (zone 8
et zone 17).
Pour notre dmonstration, nous imaginerons un rseau qui ncessite que les liaisons srie point--
point dans chaque zone reoivent un masque de sous-rseau autorisant deux htes par sous-rseau.
Tous les autres sous-rseaux doivent recevoir chacun quatorze htes. Une segmentation au niveau
bit et lemploi de masques de sous-rseau de longueur variable (VLSM, Variable Length Subnet
Mask) permettent de personnaliser lespace dadresse en facilitant la division en groupes plus petits
quavec une segmentation au niveau octet. Le modle dadresse prsent dans le Tableau A.1 illus-
tre une approche structure pour assigner des adresses qui utilisent VLSM. Ce tableau prsente
deux sous-rseaux : 255.255.255.240 et 255.255.255.252. Le premier masque cre des espaces
dadresse de sous-rseau de quatre bits de long ; le second masque cre des espaces de deux bits.
En raison de lassignation prudente des adresses, chaque zone peut tre synthtise avec une seule
commande de configuration de routeur De zone area (utilise pour dfinir la plage dadresse). Le
794 Partie III Annexes
premier ensemble dadresses commenant par 150.100.2.0xxxxxxx (dernier octet reprsent ici en
binaire) peut tre synthtis sur lpine dorsale avec la commande suivante :
area 8 range 150.100.2.0 255.255.255.128
Cette commande assigne toutes les adresses de 150.100.2.128 150.100.2.255 la zone 17.
Lassignation de sous-rseaux permet de dfinir la limite entre sous-rseau et hte (au moyen dun
masque de sous-rseau) au sein de chaque zone. Notez dans cet exemple quil ne reste que 7 bits
utiliser en raison de la cration du masque de zone artificiel. Les 9 bits sur la gauche du masque de
zone font, en ralit, partie de la portion sous-rseau de ladresse. En conservant ces 9 bits identi-
ques pour toutes les adresses dune zone donne, la synthse de routes est facilement ralise sur les
routeurs de frontires, comme lillustre le modle utilis dans le Tableau A.1.
Le Tableau A.1 recense les sous-rseaux individuels, les adresses IP valides, les identifiants de sous-
rseau et les adresses de broadcast. Cette mthode dassignation dadresses pour la portion VLSM
de lespace dadresse garantit quil ny a pas de chevauchement dadresses. Si les exigences taient
diffrentes, les sous-rseaux les plus grands auraient pu tre choisis et diviss en plages plus petites
avec moins dhtes, ou combins en plusieurs plages pour crer des sous-rseaux avec davantage
dhtes.
Lapproche utilise dans cette annexe permet la limite du masque de zone et aux masques de sous-
rseaux dtre assigns nimporte quel niveau de lespace dadresse, ce qui apporte une grande
souplesse de conception. Un changement dans la spcification de la limite de masque de zone ou
des masques de sous-rseaux peut tre requis si un rseau grandit et dpasse sa conception initiale
despace dadresse. Dans le Tableau A.1, la limite de masque de zone se trouve droite du bit le
plus significatif du dernier octet de ladresse (voir Figure A.1).
150.100.aaaaaaaa.a bbb cc dd
Masque de sous-rseau 1
255.255.255.240
Annexe A Segmentation dun espace dadresse IP 795
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Tableau A.1 : Exemple partiel dassignation dadresses de sous-rseaux au moyen de VLSM (suite)
Portion Portion
sous-rseau hte du
Adresse IP du dernier dernier octet Adresse de Masque
(dcimale) octet (binaire) (binaire) sous-rseau de sous-rseau Notes
Cette annexe tente de clarifier certaines confusions propos des connexions semi-duplex, duplex et
multipoint.
Liaisons asynchrones
En ce qui concerne les liaisons de communication asynchrones (et les paramtres logiciels dmula-
tion de terminal), le terme duplex implique un duplex intgral (full-duplex) en ce qui concerne
lcho des caractres envoys par un hte vers un terminal. Ce mode porte galement le nom de
mode echoplex. Dans ce contexte, le mode semi-duplex implique labsence dcho de caractre. On
rencontre couramment certaines configurations de terminaux et dhtes inadquates :
m Le mode duplex spcifi sur un terminal lorsque lhte est configur pour le mode semi-duplex
rsulte en une saisie aveugle sur le terminal.
m Le mode semi-duplex spcifi sur un terminal lorsque lhte est configur pour le mode duplex
rsulte en des caractres doubles sur le terminal. La raison est que le terminal affiche les carac-
tres entrs si sa configuration indique que lhte nenverra pas dcho de caractre.
NOTE
Cette interprtation du mode duplex ne sapplique pas dans un contexte de routeur.
808 Partie III Annexes
SNA dIBM
Le glossaire de base dIBM dfinit les modes duplex et semi-duplex pour les termes VTAM, NCP et
NetView de la faon suivante :
m Duplex. Dans les communications de donnes, se rapporte une connexion autorisant le trans-
port bidirectionnel simultan des donnes ; contraire de semi-duplex.
m Semi-duplex. Dans les communications de donnes, se rapporte une connexion autorisant le
transport unidirectionnel lalternat des donnes ; contraire de duplex.
Ces dfinitions peuvent sappliquer dans deux contextes reprsentant les deux sources principales
de confusion :
m Tout dabord, il existe des transferts de donnes duplex et semi-duplex. Cela concerne gnrale-
ment la capacit ou lincapacit dun ETCD supporter les flots de donnes bidirectionnels
simultans. Les dispositifs PU 4 SNA (ordinateurs frontaux tels que 3705, 3720, 3725 et 3745)
sont capables de grer le transfert de donnes en mode duplex. Chacun de ces dispositifs utilise
un chemin de donnes et de contrle distincts dans les tampons de rception et de transmission
du programme de contrle.
m Certains dispositifs PU 2.1 sont aussi capables de grer le mode duplex, qui est ngociable dans
la trame de format XID-3, moins que linstruction DATMODE=FULL de dfinition NCP du
PU ne soit spcifie. La prsence du paramtre FULL impose le mode duplex. Les dispositifs PU 2
et PU 1 fonctionnent dans le mode semi-duplex.
ETCD
Enfin, les termes duplex et semi-duplex sappliquent aux quipements de communication, ou
ETCD. Cest dans ce domaine que la majorit des avances technologiques a t ralise en ce qui
concerne ces deux modes de transmission. Les installations de ETCD consistent principalement en
des units de services de donnes (DSU, Data Service Unit), des units de services de canal (CSU,
Channel Service Unit), ou des modems, et une ligne de communication. Le modem peut tre
synchrone ou asynchrone, et analogique ou numrique. La ligne de communication peut tre deux
ou quatre fils, et peut tre loue ou commute (cest--dire tablie par appel).
Les anciens modems ne sont capables que de transmettre ou de recevoir des donnes, mais non
de raliser ces oprations en mme temps. Lorsquun ETTD (Equipement Terminal de Traitement de
Donnes) souhaite transmettre des donnes en utilisant un ancien modem, il met un RTS (Request
To Send) vers le modem. Si le modem nest pas en mode rception, il active son signal de porteuse
en prparation de la transmission de donnes et active un signal CTS (Clear To Send). Si le modem
est en mode rception, son signal DCD (Data Carrier Detect), cest--dire le signal de la porteuse
du modem distant, est actif. Le modem nactive donc pas le signal CTS, et lETTD ne transmet pas,
car le signal DCD est actif.
Les modems rcents sont capables de transmettre et de recevoir des donnes simultanment sur des
lignes loues ou commutes deux ou quatre fils. Une mthode utilise plusieurs signaux de
porteuse diffrentes frquences, de faon que les signaux de transmission et de rception du
modem local et ceux du modem distant disposent chacun de leur propre frquence de porteuse.
Annexe B Implmentation de liaisons srie IBM 809
Un ETTD dans un environnement SDLC possde des options de configuration qui spcifient le
mode de fonctionnement support par un ETCD. Les paramtres par dfaut pour la plupart des
dispositifs PU 2 sont dfinis pour le mode semi-duplex, bien quils puissent galement supporter le
mode duplex. Si lquipement est capable de fonctionner en mode duplex, le signal RTS peut tre
activ en permanence. Si lquipement supporte le mode semi-duplex ou bien fonctionne dans un
environnement multipoint qui recourt des dispositifs de partage de modems (et non pas un envi-
ronnement multipoint fourni par une compagnie de tlphone), RTS doit tre activ uniquement
lors de la transmission. Un quipement de communication qui supporte le mode duplex et qui
connecte un dispositif PU 4 un autre dispositif PU 2 ou PU 1 (chaque PU tant configur pour un
ETCD assurant le mode duplex) fournit un meilleur temps de rponse en raison de la rduction des
changements dtat.
Les anciens dispositifs PU 2 et PU 1 ne peuvent pas tre configurs pour le mode ETCD duplex. Par
consquent, comme ils ne peuvent supporter que les transferts de donnes semi-duplex, la transmis-
sion et la rception de donnes ne peuvent pas avoir lieu en mme temps sur la ligne (contrairement
un change duplex entre PU 4).
Connexions multipoints
Le mode multipoint reprsente une mthode de partage dun quipement de communication entre
plusieurs emplacements. Les compagnies de tlphone offrent des configurations multipoints deux
fils et quatre fils pour un service analogique (connexion par modem) ou quatre fils pour un service
numrique (CSU/DSU). La plupart des implmentations sont master-polling, multislave-drop (un
matre, plusieurs esclaves). Le matre ne se connecte qu un esclave la fois. La commutation prend
place au niveau dun autocommutateur local proximit du site ETTD matre. Certains fournisseurs
de services offrent des services multipoints analogiques qui supportent une communication bidirec-
tionnelle simultane, ce qui permet aux ETTD dtre configurs pour un RTS permanent.
Les dispositifs de partage de modems et les dispositifs de partage de lignes fournissent galement des
fonctions multipoints. Ces implmentations autorisent le partage dune seule liaison point--point
entre plusieurs dispositifs. Certains dentre eux disposent de ports configurables pour ETTD et ETCD,
ce qui leur permet dtre configurs pour une adaptation plusieurs sites (appels configuration en
cascade). La principale contrainte de ces dispositifs est que les autres utilisateurs sont bloqus lorsque
le signal RTS est actif. Vous ne pouvez pas configurer des ETTD pour un signal RTS permanent et
vous devez accepter les dlais de changement dtat associs ce mode de fonctionnement.
C
Configuration dhte SNA
pour des rseaux SRB
Lors de la conception de rseaux SRB (Source Routing Bridge, "pont routage par la source")
comportant des routeurs et des entits SNA IBM, vous devez configurer avec soin les nuds SNA
ainsi que les nuds de routage. Cette annexe donne des exemples mettant en jeu les trois quipe-
ments SNA spcifiques suivants :
m FEP (Front End Processor) ;
m nuds principaux commuts par VTAM (Virtual Telecommunications Access Method) ;
m contrleurs de cluster.
La Figure C.1 illustre un environnement typique. Les Tableaux C.1 C.6 prsentent les paramtres
de dfinition des quipements prsents dans la mme figure.
FEP
Routeur Contrleur
de cluster
Configuration FEP
Les paramtres rpertoris dans les Tableaux C.1 C.6 illustrent lentre pour le processus de gn-
ration de systme NCP (Network Control Program) qui est excut par le processeur de lhte au
moyen du NDF (Network Definition Facility). Le NDF fait partie de lutilitaire ACF/NCP/System
Support Program. La sortie produite par le processus de gnration est un module de chargement
812 Partie III Annexes
qui sexcute sur un FEP. Sa taille peut en gnral tre lgrement infrieure 1 Mo et dpasser les
3 Mo. Lutilitaire ACF/NCP/System Support Program est galement utilis pour le chargement et le
dumping dun FEP.
Les tableaux suivants mettent en valeur les paramtres pour la gnration de ressources Token Ring.
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
La dfinition LUDRPOOL prsente dans le Tableau C.2 spcifie le nombre de ressources priph-
riques ncessaires pour la quantit correcte despace de stockage de blocs de contrle rserver
pour les nouvelles connexions.
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
La dfinition GROUP prsente dans le Tableau C.3 spcifie les paramtres de dfinition de groupe.
Annexe C Configuration dhte SNA pour des rseaux SRB 813
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
La dfinition LINE prsente dans le Tableau C.4 spcifie les paramtres de dfinitions de ligne.
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
Exemple, paramtre,
Paramtre valeur ou plage Description de paramtre et notes dimplmentation
NOTE
Les lignes de configuration intressantes lors de la configuration de dispositifs 3174 pour un environne-
ment SRB sont les lignes 106, 107 et 384 sur lcran de configuration 2 (voir Tableau C.11). Elles spcifient
les adresses requises et le type de Token Ring pertinent pour le contrleur de cluster.
Numro de ligne
de configuration Exemple de valeur Description de paramtre et notes dimplmentation
Numro de ligne
de configuration Exemple de valeur Description de paramtre et notes dimplmentation
Numro de ligne
de configuration Exemple de valeur Description de paramtre et notes dimplmentation
Numro de
configuration de ligne Exemple de valeur Description de paramtre et notes dimplmentation
Les stations terminales SNA implmentent LLC2 (Logical Link Control Type 2) lorsquelles sont
connectes un rseau local (LAN). LLC2 implmente les lments suivants :
m des temporisateurs ;
m le squencement ;
m la rcupration aprs erreur ;
m le fentrage ;
m la livraison garantie ;
m la connexion garantie.
La Figure C.2 illustre de quelle faon le temporisateur de rponse T1 et la fonction de rcupration
aprs erreur oprent pour un 3174. Supposons que la liaison entre les deux routeurs vienne de
tomber en panne. La squence suivante caractrise le processus de rcupration aprs erreur :
1. Le 3174 envoie une trame de donnes et dmarre son temporisateur T1.
2. Le temporisateur T1 expire aprs 1,6 seconde.
3. Le 3174 entre dans le processus de rcupration.
4. Le 3174 envoie une requte LLC : une trame receiver ready avec le bit dinterrogation (poll)
activ, qui demande au 3745 dacquitter immdiatement cette trame.
Annexe C Configuration dhte SNA pour des rseaux SRB 819
Figure C.2
Procdure de Token Token
Ring Routeur A Routeur B Ring
temporisation T1 et
3174
de rcupration aprs
erreur pour le 3174.
3745
Donne Temporisateur T1
Requte LLC Temporisateur T1x
Requte LLC Temporisateur T1x
(7 tentatives)
Requte LLC Temporisateur T1x
DISC x
D
Configuration dhte SNA
pour des rseaux SDLC
Cette annexe prsente les informations dimplmentation de routeur en rapport avec les lments
suivants :
m configuration de FEP pour des liaisons SDLC ;
m exemple de tableaux de configuration SDLC de 3174.
Le Tableau D.1 prsente le support de connexion point--point SDLC 3x74 pour les appliques
AGS+, MGS et DCE CGS.
Tableau D.1 : Support de connexion point--point SDLC 3x74 pour les appliques AGS+, MGS
et DCE CGS
Tableau D.1 : Support de connexion point--point SDLC 3x74 pour les appliques AGS+, MGS
et DCE CGS (suite)
Tableau D.2 : Paramtres pour GROUP dun exemple de configuration SDLC pour FEP
Tableau D.3 : Paramtres pour LINE dun exemple de configuration SDLC pour FEP
ADDRESS (001,HALF) La valeur 001 est ladresse dinterface physique LINE du FEP. Le
deuxime paramtre spcifie si le mode semi-duplex ou duplex est
utilis pour le transfert de donnes sur le FEP. Il affecte aussi le
paramtre DUPLEX. Si la valeur FULL est spcifie ici, DUPLEX
prend par dfaut la valeur FULL, et les tentatives de modification de
cette caractristique sont ignores.
DUPLEX HALF Ce paramtre spcifie si la ligne de communication et le modem
constituent des dispositifs semi-duplex ou duplex. Si la valeur
HALF est spcifie, le signal RTS du modem est activ uniquement
lors de lenvoi de donnes. Si la valeur FULL est spcifie, le signal
RTS est toujours actif. Reportez-vous au paramtre ADDRESS
dans ce tableau.
NRZI YES Encodage pour cette ligne ; les options sont NRZ ou NRZI.
RETRIES (6,5,3) Nombre de tentatives lorsque REPLYTO expire. Options dentre :
(m, t, n) o m = nombre de tentatives, t = pause en secondes entre les
cycles de tentatives et n = nombre de cycles de tentatives ritrer.
Cet exemple entranerait six tentatives avec une pause quivalente
la valeur de REPLYTO entre chaque tentative RETRY (deux secon-
des par Tableau D.2), attend cinq secondes, et rpte cette squence
trois fois pour un total de 63 secondes. A la fin de cette priode, la
session est termine.
PAUSE 2 La dure en millisecondes entre les cycles dinterrogation (poll). Le
cycle stend ds linstant o le NCP interroge la premire entre
dans la table dordre de services jusquau moment o le cycle
dinterrogation suivant commence la mme entre. Durant cette
pause, toutes les donnes disponibles pour tre envoyes vers une
station finale sont transmises. Si des stations possdent des donnes
transmettre lorsquelles y sont invites, et que la dure denvoi
stende au-del du paramtre PAUSE, le cycle dinterrogation sui-
vant commence immdiatement.
Tableau D.4 : Paramtres pour unit PU dun exemple de configuration SDLC pour FEP
Tableau D.4 : Paramtres pour unit PU dun exemple de configuration SDLC pour FEP (suite)
Tableau D.5 : Paramtres pour unit LU dun exemple de configuration SDLC pour FEP
Numro de ligne
Exemple de valeur Description de paramtre et notes dimplmentation
de configuration
NOTE
Les lignes de configuration 104, 313 et 340 sur lcran de configuration 2 (voir Tableau D.7) sont intressan-
tes lors de la configuration de dispositifs 3174 pour un environnement SDLC bas sur un routeur. Ces lignes
spcifient ladresse SDLC requise et les options SDLC pertinentes pour le contrleur de cluster.
Annexe D Configuration dhte SNA pour des rseaux SDLC 825
Numro de ligne
de configuration Exemple de valeur Description de paramtre et notes dimplmentation
Numro de ligne
de configuration Exemple de valeur Description de paramtre et notes dimplmentation
Numro de
configuration de ligne Exemple de valeur Description de paramtre et notes dimplmentation
Pour communiquer avec toutes les portions dun rseau, les protocoles utilisent des datagrammes
broadcast et multicast de la couche 2 du modle OSI (Open Systems Interconnection, intercon-
nexion de systmes ouverts). Cela suppose videmment un mdia qui supporte le mode broadcast,
tel Ethernet. Lorsquun nud souhaite communiquer avec toutes les stations du rseau, il envoie un
datagramme ladresse MAC FF-FF-FF-FF, une adresse broadcast qui doit tre coute par la carte
rseau de chaque hte. Les routeurs, qui oprent au niveau 3 du modle OSI, ne transmettent gn-
ralement pas ces diffusions broadcast, mais les limitent au segment dont elles proviennent.
Lorsquun hte doit communiquer uniquement avec une portion du rseau, il envoie un datagramme
une adresse MAC spcifique, avec le bit de poids le plus fort de lidentifiant du fabricant activ
(01-00-0C-CC-CC-CC, par exemple). Cest ce quon appelle une diffusion multicast. Les cartes
rseau y rpondent lorsquelles ont t configures pour couter cette adresse particulire.
Aujourdhui, une grande varit dapplications utilisent le multicast IP de faon intensive, afin
doptimiser lutilisation de la bande passante. Au lieu denvoyer n flux de x mgaoctets, o n est le
nombre de destinataires, un seul flux de x mgaoctets est ncessaire. La prochaine section examine
de plus prs le multicast IP.
Multicast IP
Une plage entire dadresses IP (une classe) a t rserve pour lutilisation de la diffusion multi-
cast (224.0.0.0 239.255.255.255). A laide dune formule prdfinie, il est possible dassocier une
telle adresse IP de classe D une adresse MAC multicast de niveau 2. Un bloc dadresse MAC a t
rserv pour permettre des adresses IP de classe D dtre traduites en adresses MAC de niveau 2
(01-00-5E-xx-xx-xx). La correspondance est obtenue en plaant les 23 bits de poids le plus faible
de ladresse IP de classe D dans les 23 bits de poids le plus faible de ladresse multicast de niveau 2.
Par exemple, ladresse IP 236.123.1.2 correspondrait ladresse MAC 01-00-5E-7B-01-02.
Toutes les stations LAN qui supportent le multicast IP savent comment raliser cette traduction, et
peuvent donc facilement envoyer une diffusion multicast sur nimporte quel rseau LAN bas sur le
standard IEEE 802. Etant donn que lespace de classe D contient davantage dadresses (228) que
828 Partie III Annexes
le champ OUI (champ de fabricant) IETF au niveau de la couche MAC (223), de nombreuses adres-
ses de groupe correspondent chaque adresse IEEE 802. Certains groupes rservs ont t affects
des utilisations spcifiques, les plus connus tant probablement 224.0.0.1 (tous les systmes sur ce
sous-rseau) et 224.0.0.2 (tous les routeurs sur ce sous-rseau). Les autres groupes sont 224.0.0.4
(tous les routeurs DVMRP), 224.0.0.6 (routeurs dsigns OSPF), 224.0.0.9 (RIP version 2) et
224.0.0.10 (routeurs EIGRP).
Etant donn que les commutateurs fonctionnent comme des ponts, ils doivent propager tout le trafic
broadcast, multicast et unicast inconnu. Cette procdure est connue sous le nom dinondation (floo-
ding). Lajout de trafic broadcast et multicast de la part de chaque quipement sur le rseau est
appele propagation de diffusions broadcast. Notez cependant que linondation est limite un
VLAN. Par exemple, si une station faisant partie dun VLAN tente datteindre une adresse MAC de
destination qui na pas encore t dcouverte par le commutateur, la trame sera envoye vers tous
les ports de ce VLAN, except celui sur lequel la trame a t reue. Cest pourquoi un VLAN est
parfois appel domaine de broadcast. Etant donn que les cartes rseau doivent interrompre le
processeur afin de traiter chaque diffusion broadcast, la propagation de ce trafic affecte les perfor-
mances des htes du rseau. La majorit des cartes rseau rcentes peuvent filtrer les diffusions
multicast non souhaites ; aussi, elles nont pas besoin de les transmettre au processeur. Toutefois,
toutes les cartes nen sont pas capables ; dans ce cas, le trafic multicast doit tre trait de la mme
manire que le trafic broadcast. Le plus souvent, lhte ne tire aucun bnfice du traitement des
diffusions broadcast ou multicast : soit il nest pas le destinataire recherch, soit il ne sintresse pas
au service annonc, ou bien il en connat dj lexistence. Les routeurs qui supportent le mode
multicast nont pas besoin dtre directement adresss, car leurs interfaces doivent oprer de faon
transparente, et recevoir tout le trafic IP multicast.
Cisco a dvelopp deux fonctionnalits qui rduisent considrablement linondation des trames
multicast. Il sagit de CGMP et de la surveillance IGMP. Une conversation CGMP a lieu entre un
commutateur et un routeur Cisco. Le routeur indique au commutateur les adresses MAC qui ont
demand rejoindre un groupe multicast (les stations utilisent des paquets IGMP pour demander
aux routeurs de joindre des groupes). En retour, le commutateur effectue une recherche dans sa
table de transmission, afin didentifier les ports sur lesquels se trouvent ces stations. Il peut ensuite
limiter la transmission des paquets multicast ces stations en crant des entres statiques. La
surveillance IGMP remplit le mme objectif global, mais sans impliquer le routeur. Nanmoins, le
commutateur doit disposer de fonctionnalits suffisantes pour pouvoir analyser les paquets IP et
identifier les requtes IGMP.
IP nest pas le seul protocole utiliser la diffusion multicast. Les sections suivantes dcrivent de
quelle manire les protocoles IP, Novell et AppleTalk utilisent les diffusions broadcast et multicast
pour localiser des htes, et annoncer des services. Elles examinent aussi en quoi le trafic li ces
diffusions affecte les performances processeur des htes sur le rseau.
Rseaux IP
On dnombre trois sources de diffusion sur les rseaux IP :
m Stations de travail. Une station de travail IP envoie une requte ARP (Address Resolution
Protocol) en mode broadcast chaque fois quelle a besoin de localiser une nouvelle adresse IP
Annexe E Diffusions broadcast sur des rseaux commuts 829
sur le rseau. Par exemple, la commande telnet cio.cisco.com traduit un nom en adresse IP
par le biais dune recherche DNS (Domain Name System), puis une requte ARP broadcast est
envoye pour trouver la vritable station. En rgle gnrale, les stations de travail IP placent dix
cent adresses en cache en deux heures de temps environ. Le taux ARP pour une station typique
se situe autour de cinquante adresses toutes les deux heures, soit 0,007 requte ARP par seconde.
Par consquent, 2 000 stations IP produisent environ quatorze requtes ARP par seconde.
m Routeurs. Un routeur IP reprsente tout routeur, ou station de travail, qui excute un protocole
de routage. Par exemple, RIP est un protocole qui fait une utilisation intensive des diffusions
broadcast. Certains administrateurs configurent toutes les stations de travail pour quelles excu-
tent RIP en tant que stratgie de redondance et daccessibilit. Toutes les 30 secondes, RIP
utilise des diffusions broadcast pour retransmettre la table de routage complte aux autres
routeurs RIP. Si 2 000 stations de travail taient configures afin dexcuter RIP et que cinquante
paquets soient ncessaires pour retransmettre la table de routage, les stations gnreraient 3 333
diffusions broadcast par seconde. La plupart des administrateurs configurent un petit nombre de
routeurs afin dexcuter RIP, habituellement entre cinq et dix. Pour une table de routage qui
requiert cinquante paquets, dix routeurs RIP gnreraient environ seize diffusions broadcast par
seconde. De faon plus gnrale, limportance du problme est proportionnelle au nombre de
routeurs. Heureusement, il existe des alternatives au mcanisme de broadcast RIP systmatique,
tel RIP version 2. Beaucoup dautres protocoles de routage utilisent le multicast IP afin dchan-
ger des informations (OSPF, EIGRP, etc.), mais la quantit de trafic quils gnrent est bien
moindre que celle de protocoles tels que RIP, une fois que les informations de routage ont
converg.
m Applications multicast. Les applications multicast IP peuvent entraner une dgradation des
performances sur les grands rseaux linaires commutation de paquets. Bien que le multicast
reprsente un moyen efficace pour envoyer un flot de donnes multimdias (vido) de
nombreux utilisateurs sur un hub de mdia partag, il affecte chaque utilisateur sur un rseau
commut, en raison du processus dinondation. Par exemple, une application vido par paquets
peut gnrer un flot multimgaoctets de donnes multicast qui, sur un rseau commut, serait
envoy vers chaque segment, ce qui provoquerait une grave congestion.
La Figure E.1 prsente les rsultats de tests raliss par Cisco relatifs aux effets de la propagation
de diffusions broadcast sur une station Sun SPARCstation 2, avec une carte Ethernet standard. La
station excutait SunOS version 4.1.3, avec la fonction de filtrage multicast IP active. Si cette
fonction avait t dsactive, les paquets multicast auraient affect les performances du processeur.
Ainsi que le montrent les rsultats de la Figure E.1, une station de travail IP peut tre rellement
arrte par une inondation de trafic broadcast. Bien quexcessives, des pointes de diffusion broad-
cast de milliers de paquets par seconde ont t observes durant des temptes de broadcast. Des
tests en environnement contrl, avec une plage de diffusions broadcast et multicast donne sur le
rseau, font apparatre des dgradations du systme partir de cent diffusions broadcast ou multi-
cast par seconde. Le Tableau E.1 prsente le pourcentage moyen de pertes de ressources processeur
pour des rseaux IP allant de 100 10 000 htes.
830 Partie III Annexes
85%
80%
Broadcasts
75%
0 200 400 600 800 1000
Tableau E.1 : Pertes de ressources processeur dues aux diffusions sur des rseaux IP
100 0,14
1 000 0,96
10 000 9,15
Bien que les chiffres du Tableau E.1 semblent faibles, ils correspondent un rseau IP moyen bien
conu, qui nexcute pas RIP. Lors de pointes de trafic broadcast et multicast provoques par des
comportements de type tempte, les pertes de ressources processeur peuvent excder la moyenne.
Durant une tempte de broadcast ou unicast provoque par une boucle de niveau 2, de puissants
systmes terminaux peuvent tre paralyss. La source dune tempte de broadcast peut tre un qui-
pement qui demande des informations sur un rseau devenu trop grand. Le demandeur reoit une
quantit de rponses telle, quelle dpasse sa capacit les traiter, ou bien la premire requte
dclenche des requtes semblables de la part dautres quipements, ce qui paralyse le flux de trafic
normal sur le rseau.
Toutefois, nallez pas en conclure que lutilisation de la diffusion multicast ne doit pas tre envisa-
ge. Une utilisation correcte de cette fonctionnalit rsulte en une exploitation bien plus efficace de
la bande passante disponible. Au lieu denvoyer n flux de m Mbit/s n destinataires, par exemple,
seul un flux de m Mbit/s est envoy un seul groupe multicast. Limiter les trafics broadcast et
multicast au rseau local fait partie du processus de conception de rseaux commuts efficaces.
Plusieurs techniques sont disponibles aujourdhui sur les commutateurs multicouches de Cisco. Par
exemple, le protocole CGMP de Cisco empche linondation du trafic multicast sur tous les ports,
grce une interaction entre le commutateur et le routeur Cisco. Le routeur communique au
commutateur les adresses MAC qui ont demand rejoindre un groupe particulier, de faon que le
commutateur sache ( partir de sa table de transmission) quels ports sont intresss par ce flux
multicast. De plus, la surveillance IGMP pour les commutateurs de niveau 3 limine le besoin de
Annexe E Diffusions broadcast sur des rseaux commuts 831
disposer dun routeur externe, en fournissant au commutateur les fonctionnalits ncessaires afin
dexaminer le contenu des paquets IGMP utiliss par les htes et les routeurs, dans le but dchan-
ger des informations dappartenance des groupes.
Rseaux Novell
Bon nombre de rseaux locaux fonds sur des PC utilisent encore le systme dexploitation de
rseau NOS (Network Operating System) de Novell et des serveurs NetWare. La technologie Novell
pose des problmes dvolutivit :
m Les serveurs NetWare emploient des paquets broadcast pour sidentifier et annoncer leurs servi-
ces et routes aux autres rseaux, via le protocole SAP (Service Advertisement Protocol).
m Les clients NetWare utilisent des diffusions broadcast pour rechercher des serveurs NetWare, via
des requtes GNS (Get Nearest Server).
m La version 4.0 des applications de gestion de rseau bases sur SNMP de Novell, telle NetExplorer,
envoie priodiquement des paquets broadcast afin de dcouvrir les changements survenus sur le
rseau.
Un rseau inactif, avec un seul serveur qui comporte un volume partag et ne propose aucun service
dimpression, gnre un paquet broadcast toutes les 4 secondes. Un grand rseau local, avec des
serveurs haut de gamme, pourrait comprendre jusqu 150 utilisateurs par serveur. Si le rseau
comptait 900 utilisateurs assez bien rpartis, il pourrait y avoir six ou sept serveurs. Dans un tat
dinactivit avec plusieurs volumes et imprimantes partags, environ quatre diffusions broadcast
seraient mises, uniformment rparties. En cas de forte activit, avec des requtes de route et de
service frquentes, le taux de trafic broadcast atteindrait entre 15 et 20 paquets broadcast par
seconde.
La Figure E.2 montre les rsultats de tests raliss par Cisco afin de connatre les effets de la propa-
gation de diffusions broadcast sur un processeur 80386 fonctionnant une vitesse de 25 MHz. Les
performances ont t mesures avec lutilitaire Norton Utilities. Le trafic a t gnr par un outil
de surveillance de rseau. Il se composait dun paquet broadcast et dun paquet multicast compor-
tant des zros en tant que donnes. Les performances du processeur ont t affectes partir de
30 paquets broadcast ou multicast par seconde. Les paquets multicast ont un effet un peu plus nga-
tif que les paquets broadcast. Bien que ce test ait t ralis laide dune technologie existante, il
montre clairement limpact que peut avoir la propagation de diffusions broadcast sur les quipe-
ments du rseau.
Le Tableau E.2 prsente le pourcentage moyen de pertes de ressources processeur pour des rseaux
Novell, avec de 100 10 000 htes.
832 Partie III Annexes
92%
Diffusions multicast
90%
88%
0 200 400 600 800 1000
Nombre de paquets par secondes
Tableau E.2 : Pertes de ressources processeur dues aux diffusions sur des rseaux Novell
100 0,12
1 000 0,22
10 000 3,15
Les rsultats prsents au Tableau E.2 correspondent un fonctionnement moyen du rseau sur
plusieurs heures. La charge du trafic et la perte de ressources processeur en cas de pointe, pour
chaque station de travail, peuvent dpasser celles dune utilisation moyenne du rseau. Un scnario
courant indique que le lundi 9 heures, tous les employs allument leur ordinateur. Normalement,
lorsque le niveau dutilisation ou de demande est moyen, le rseau est capable de grer un nombre
raisonnable de stations. Nanmoins, dans des situations o tous les employs mettent une demande
de service en mme temps (pointe de demandes), la capacit du rseau ne permet de supporter
quun nombre beaucoup moins important de stations. Le fait de dterminer au pralable les exigen-
ces en matire de capacit autorise des pointes de demandes et des temps de pointe plus importants
que les exigences de services moyennes.
Rseaux AppleTalk
AppleTalk utilise le multicast de faon intensive pour annoncer ou demander des services, et rsou-
dre des adresses. Au dmarrage, un hte AppleTalk transmet une srie de vingt paquets pour rsoudre
son adresse de rseau (une adresse de nud AppleTalk de couche 3) et obtenir des informations de
"zone" locale. A lexception du premier paquet, qui est adress lui-mme, ces fonctions sont
assures par le biais de diffusions multicast AppleTalk.
Annexe E Diffusions broadcast sur des rseaux commuts 833
En ce qui concerne le trafic densemble du rseau, le slecteur AppleTalk utilise les diffusions broa-
dcast de faon intensive. Le slecteur est linterface logicielle qui permet un utilisateur de slec-
tionner des services de rseau partags. Cette interface emploie des diffusions multicast AppleTalk
afin de rechercher des serveurs de fichiers, des imprimantes et dautres services. Lorsquun utilisa-
teur ouvre le slecteur et choisit un type de services (par exemple, une imprimante), il transmet
45 diffusions multicast au rythme dun paquet par seconde. Si le slecteur demeure ouvert, il envoie
une salve de 5 paquets, selon un intervalle de plus en plus long. Sil demeure ouvert pendant
plusieurs minutes, il atteint un dlai maximal, et transmet une salve de 5 paquets toutes les 270
secondes. En soi, cela ne pose aucun problme, mais, sur un grand rseau, ces paquets sajoutent au
trafic total de propagation de diffusions broadcast que chaque hte doit interprter, puis supprimer.
Dautres protocoles AppleTalk, tel NBP (Name Binding Protocol), qui est utilis pour lier un client
un serveur, et RDP (Router Discovery Protocol), une implmentation de RIP qui est transmise par
tous les routeurs et qucoutent toutes les stations, utilisent galement les diffusions broadcast de
faon intensive. Le systme quil inclut (appel AutoRemounter, et qui fait partie du systme
dexploitation Macintosh) utilise galement beaucoup les diffusions broadcast.
NOTE
La pile AppleTalk est plus efficace que la pile Novell, car elle supprime les diffusions broadcast non Apple-
Talk plus tt que la pile Novell ne supprime les diffusions broadcast non Novell.
La Figure E.3 prsente les rsultats de tests raliss par Cisco pour connatre les effets de la propa-
gation de diffusions broadcast sur un Power Macintosh 8100 et sur un Macintosh IIci. Les deux
processeurs ont t affects partir de quinze trames broadcast ou multicast par seconde.
Une fois encore, bien que ce test ait t ralis laide dune technologie assez ancienne, il montre
clairement limpact du trafic broadcast.
diffusions broadcast
Power Macintosh 8100
85%
Diffusions multicast
80%
0 200 400 600 800 1000
Nombre de paquets par secondes
Le Tableau E.3 prsente le pourcentage moyen de pertes de ressources processeur pour des rseaux
AppleTalk, avec 100 10 000 htes.
834 Partie III Annexes
Tableau E.3 : Pertes de ressources processeur dues aux diffusions sur des rseaux AppleTalk
Les quipements connexion lente LocalTalk vers Ethernet constituent un problme majeur sur les
grands rseaux AppleTalk. Ils ne fonctionnent pas sur ces rseaux, car la capacit de leur cache
ARP est limite et ne permet de traiter que quelques diffusions broadcast par seconde. Les temptes
de broadcast les plus importantes surviennent lorsque ces quipements ne sont plus en mesure de
recevoir les mises jour RTMP (Routing Table Maintenance Protocol). Dans ces conditions, ils
envoient des requtes ARP tous les quipements connus, ce qui acclre la dgradation des perfor-
mances du rseau, car il sensuit une dfaillance de leurs voisins, qui transmettent leur tour des
requtes ARP.
Rseaux multiprotocoles
Voici ce que lon peut dire de linteraction entre AppleTalk, IPX et IP :
m La pile AppleTalk ignore tout autre protocole de la couche 3.
m Les paquets broadcast et multicast AppleTalk et IP affectent le fonctionnement des piles IP et
IPX. Les paquets AppleTalk et IP entrent dans la pile et sont ensuite supprims, ce qui consomme
des ressources processeur.
F
Rduction du trafic SAP
sur les rseaux Novell IPX
La quantit de bande passante consomme par les importantes mises jour SAP (Service Advertise-
ment Protocol) est un des facteurs limitatifs dans lexploitation de grands rseaux Novell IPX
(Internetwork Packet Exchange). Les serveurs Novell envoient priodiquement aux clients des
informations sur les services quils proposent : ils les diffusent sur leurs interfaces de rseau local
(LAN) ou de rseau tendu (WAN). Les routeurs sont ncessaires la propagation des mises jour
SAP sur un rseau IPX ; ainsi tous les clients peuvent lire les messages de services. Il est possible
de rduire le trafic SAP sur ces rseaux grce aux moyens suivants :
m Filtrage de mises jour SAP au moyen de listes daccs. Les mises jour SAP peuvent tre
filtres en empchant les routeurs dannoncer les services de certains serveurs Novell spcifis.
m Configuration de routeurs Cisco sur les rseaux Novell IPX pour lexcution de EIGRP.
Bien que les filtres fournissent un moyen dliminer les annonces de services spcifiques,
EIGRP fournit des mises jour SAP incrmentielles pour bnficier dune granularit de
contrle plus fine. Des mises jour SAP compltes sont envoyes priodiquement sur chaque
interface jusqu ce quun voisin EIGRP IPX soit trouv. Ensuite, elles ne sont envoyes que
lorsquil y a des changements dans la table SAP. De cette manire, la bande passante est prser-
ve et les annonces de services sont rduites sans tre limines.
Les mises jour SAP incrmentielles sont automatiques sur les interfaces srie ; elles peuvent
tre configures sur les mdias de LAN. EIGRP fournit galement des mises jour de routage
partielles et la convergence rapide pour les rseaux IPX. Les administrateurs peuvent choisir
dexcuter seulement les mises jour SAP partielles, ou dexploiter la fois le protocole SAP
fiable et une portion des mises jour de routage partielles de EIGRP.
m Configuration des routeurs Cisco sur les rseaux Novell IPX pour lenvoi de mises jour
SAP incrmentielles. Avec la version 10.0 du logiciel System Software, les mises jour SAP
incrmentielles dj dcrites peuvent tre configures pour les routeurs Cisco sur les rseaux
Novell IPX, et ce, sans devoir recourir lexcution de la fonction de mise jour dinformations
de routage de EIGRP (seules les mises jour SAP partielles sont actives). Cette fonction est
836 Partie III Annexes
supporte sur tous les types dinterfaces. Encore une fois, les mises jour SAP ne sont envoyes
que lorsque des changements se produisent sur un rseau. Seules les modifications dans les
tables SAP sont envoyes comme mises jour.
Pour illustrer la faon de rduire le trafic SAP, cette tude de cas est divise en deux parties :
m la configuration des listes daccs pour filtrer les mises jour SAP ;
m la configuration des mises jour SAP incrmentielles.
Le rseau pour cette tude de cas est illustr la Figure F.1. Les parties suivantes dun rseau
Novell IPX de grande taille stendant sur un WAN Frame Relay sont examines :
m Le routeur A se connecte partir du rseau Frame Relay vers le site central avec trois serveurs
Novell.
m Le routeur B se connecte partir du rseau Frame Relay vers un site distant avec un client Novell
et un serveur Novell.
m Le routeur C se connecte partir du rseau Frame Relay vers un site distant avec deux clients
Novell.
Rseau 20
Rseau 30
Routeur A
Serveur Novell
Serial 0
Routeur B
Serial 2
Rseau 40
Site distant :
clients Novell
Site central
Le routeur est connect au site central. Les listes daccs suivantes configures sur le routeur autori-
sent tout, sauf aux serveurs dimpression dtre annoncs sur linterface srie.
access-list 1000 deny -1 47
access-list 1000 permit -1
!
interface serial 0
ipx network 10
ipx output-sap-filter 1000
Pour autoriser uniquement les serveurs de fichiers IPX, et rejeter tous les autres serveurs IPX,
servez-vous de la configuration suivante :
access-list 1000 permit -1 4
!
interface serial 0
ipx network 10
ipx out-sap-filter 1000
838 Partie III Annexes
Sites distants
Cette section fournit des informations relatives la configuration des routeurs sur les sites distants :
m Le routeur B est connect un serveur et un client IPX.
m Le routeur C est connect deux clients IPX.
Client IPX
Le routeur C ne requiert pas la configuration dune liste daccs, car le site distant ne possde pas
de serveur. Seuls les serveurs Novell gnrent des mises jour SAP.
Site central
Pour configurer lenvoi des mises jour SAP EIGRP encapsules sur une base incrmentielle, utilisez
la configuration ci-dessous. Bien que le numro du systme autonome EIGRP dfini soit 999, le
routage EIGRP (et les mises jour de routage) nest pas effectu, car le mot cl rsup-only est
utilis avec la commande ipx sap-incremental. Ce mot cl indique une mise jour SAP fiable.
interface ethernet 0
ipx network 20
!
interface serial 0
ipx network 10
ipx sap-incremental eigrp 999 rsup-only
!
ipx router eigrp 999
network 10
Annexe F Rduction du trafic SAP sur les rseaux Novell IPX 839
Pour configurer la fois les mises jour SAP incrmentielles et le routage EIGRP, configurez
simplement EIGRP avec les commandes suivantes :
interface ethernet 0
ipx network 20
!
interface serial 0
ipx network 10
!
ipx router eigrp 999
network 10
Sites distants
Cette section procure des informations relatives la configuration de routeurs sur des sites distants :
m Le routeur B est connect un serveur et un client IPX.
m Le routeur C est connect deux clients IPX.
Clients IPX
Pour configurer lenvoi des mises jour SAP EIGRP encapsules uniquement sur une base incr-
mentielle, utilisez la configuration suivante pour le routeur C :
interface se ethernet 2
ipx network 40
!
interface serial 2
ipx network 10
840 Partie III Annexes
Rsum
Cette tude de cas illustre deux mthodes pour rduire le trafic SAP sur les rseaux Novell IPX :
lemploi de listes daccs pour liminer les annonces de services spcifiques ; lutilisation de la
fonction de mises jour SAP incrmentielles pour changer des modifications SAP lorsquelles se
produisent. Cette technique limine les mises jour SAP priodiques.
G
Introduction au transport
de la voix en paquets
De tous les outils technologiques, le tlphone est sans doute celui qui a bnfici de la plus grande
perce, en particulier dans les entreprises. Celles-ci tablissent chaque jour des milliers dappels et
si le cot dun seul appel est ngligeable, le total des frais de lensemble des communications est
significatif.
Pour un grand nombre de socits, une partie de ce cot pourrait tre vite. Le systme tlphoni-
que public traditionnel est une combinaison complexe de tarifs et de subsides, provoquant bien
souvent des situations dans lesquelles un appel de "A" vers "B" cote une fraction du tarif dun appel
de "B" vers "A". Les entreprises se sont appuyes depuis longtemps sur des rseaux privs de lignes
loues pour contourner les frais tlphoniques publics, mais les tarifs appliqus ces liaisons sont
souvent levs. Un grand nombre dentre elles ont alors cherch des stratgies de remplacement.
Sur les rseaux, il existe aujourdhui plusieurs alternatives la tlphonie classique et aux liaisons
loues. Parmi les plus intressantes, on trouve des technologies de rseau se basant sur un type
diffrent de transmission de la voix appeles voix en paquets. La voix en paquets apparat comme
des donnes sur un rseau et peut par consquent tre transporte sur des liaisons de rseaux norma-
lement rserves pour les donnes o les cots sont bien infrieurs.
Comme la voix en paquets utilise moins de bande passante quun systme tlphonique tradition-
nel, davantage de signaux peuvent tre transports sur une connexion donne. L o la tlphonie
standard ncessitait 64 000 bit/s, les besoins de la voix en paquets se situent au-dessous de 10 000 bit/s.
Pour de nombreuses entreprises, il existe suffisamment de capacits en rserve sur les rseaux de
donnes nationaux et internationaux pour pouvoir transmettre une grande quantit de trafic voix
un cot trs faible ou quasiment nul.
Mme si, dans certaines situations, de nouvelles ressources de transport doivent tre ajoutes ou
acquises pour supporter la voix en paquets, les bnfices obtenus justifient linvestissement. Le rseau
842 Partie III Annexes
tlphonique public impose souvent des tarifs bass sur la distance et des frais supplmentaires pour
subventionner les appels rsidentiels. Lemploi de rseaux de donnes pour transporter la voix,
lorsquune telle utilisation nest pas contraire la loi, peut liminer ces cots. Mme dans les situa-
tions o aucune conomie ne pourrait tre attendue au niveau de la tarification, la voix en paquets reste
vingt fois voire davantage plus efficace quun transport traditionnel numrique de la voix
64 Kbit/s en matire dexploitation de la bande passante.
Comme toutes les bonnes choses, la voix en paquets a un prix. Bien que les concepteurs de rseaux
soient familiariss avec les exigences de qualit de service (QoS) des applications de donnes
spcialises telles que le traitement de transactions en ligne, la voix en paquets saccompagne
souvent de besoins encore plus stricts. Si le rseau nest pas correctement prpar pour satisfaire
ces exigences, il peut en rsulter une dtrioration de la qualit de la communication. Ceci est
particulirement vrai si la voix est transporte sur des rseaux de donnes publics tels que lInter-
net, o les utilisateurs de la voix disposent de peu doptions pour obtenir une qualit de service de
bout en bout.
En dpit de ces problmes de qualit de service, la voix en paquets jouit dun lan de popularit en
raison des conomies potentielles importantes pouvant tre ralises. Mme aux Etats-Unis, o les
cots de tlcommunications sont faibles ct des standards internationaux, les entreprises
peuvent obtenir un cot par minute ne reprsentant que la moiti ou le tiers de celui de la tl-
phonie, mme sur des rseaux privs virtuels (VPN). Les socits gnrant des frais de communica-
tion importants se doivent de considrer toutes les options de transport de la voix par paquets.
Malheureusement pour les utilisateurs potentiels de cette technologie, il existe peu de textes infor-
matifs sur ce concept, et lorsquils existent, ils sont plutt orients sur les intrts des entreprises.
Par consquent, Cisco propose, dans cette annexe, une exploration de cette technologie.
Introduction
Tous les systmes de voix en paquets suivent un modle commun, comme illustr dans la
Figure G.1. Le rseau de transport de la voix par paquets, qui peut se baser sur IP, Frame Relay, ou
ATM, forme le "nuage" traditionnel. Aux frontires de ce rseau, il existe des quipements ou des
composants que lon peut appeler "agents vocaux". Leur mission est de modifier linformation
vocale de sa forme traditionnelle en tlphonie vers une forme adapte la transmission par
paquets. Le rseau transmet ensuite les paquets un agent vocal servant la destination ou linterlo-
cuteur appel.
Ce modle de connexion par agents vocaux soulve deux problmes qui doivent tre considrs
pour garantir que ce service satisfera aux exigences de lutilisateur. Le premier problme est le
codage de la voix la faon dont les informations vocales sont transformes en paquets, et
comment ceux-ci sont utiliss ensuite pour recrer la voix. Le second problme est la signalisation
associe lidentification de linterlocuteur appel et de son emplacement sur le rseau. Les
sections qui suivent tudient davantage ces questions.
Annexe G Introduction au transport de la voix en paquets 843
Agent
vocal
Rseau de
donnes/voix
par paquets
Agent Agent
vocal vocal
Agent
vocal
Codage de la voix
La parole humaine, et tout ce que nous entendons, se prsente naturellement sous une forme analo-
gique. Les premiers systmes tlphoniques fonctionnaient aussi sous cette forme. Les signaux
analogiques sont souvent illustrs sous forme dondes sinusodales, mais la voix ou dautres
signaux contiennent de nombreuses frquences et possdent des structures plus complexes.
Bien que les humains soient "quips" pour les communications analogiques, cette forme de trans-
mission nest pas particulirement efficace. Lorsque les signaux saffaiblissent, en raison de pertes
dans la transmission, il est difficile de diffrencier la structure complexe du signal analogique de
celle des bruits alatoires de la transmission. Lamplification des signaux analogiques entrane aussi
une augmentation du bruit, ce qui rend les connexions analogiques trop bruyantes lusage.
Les signaux numriques, qui ne disposent que de deux tats (0 et 1), sont plus facilement diffren-
cis du bruit et peuvent tre amplifis sans provoquer daltration. Peu peu, on sest aperu que le
codage numrique tait mieux protg contre laltration par le bruit sur les connexions interurbai-
nes, et les systmes de communications mondiaux se sont tourns vers un format de transmission
numrique appel PCM (Pulse Code Modulation) ou MIC (Modulation par impulsion et codage).
PCM convertit la voix dans un format numrique en chantillonnant les signaux vocaux 8 000 fois
par seconde et en transformant chaque chantillon en un code. Ce taux dchantillonnage de
8 000 fois par seconde (125 microsecondes entre les chantillons) a t choisi car tous les changes
de parole sont essentiellement transports des frquences infrieures 4000 Hz (ou 4 kHz). Un
chantillonnage des formes dondes vocales toutes les 125 microsecondes est suffisant pour dtec-
ter des frquences infrieures 4 kHz.
844 Partie III Annexes
Aprs que londe de forme ait t chantillonne, les chantillons sont convertis dans un format
numrique avec un code reprsentant lamplitude de londe de forme au moment o lchantillon a
t enregistr. Le codage PCM du systme tlphonique standard utilise 8 bits pour le code et
consomme par consquent 64000 bit/s. Un autre standard de codage tlphonique, appel ADPCM
(Adaptive Differential PCM, codage MIC diffrentiel adaptif), code la voix en valeurs de 4 bits et
ne consomme donc que 32000 bit/s. Ce codage est souvent utilis sur les connexions interurbaines.
Dans les applications traditionnelles de tlphonie, les standards PCM ou ADPCM sont utiliss sur
des canaux numriques synchrones, ce qui signifie quun flux constant de bits est gnr un
rythme spcifique, quil y ait ou non des paroles changes. Il existe en fait des centaines de brves
priodes de silence au cours dune conversation tlphonique moyenne, et chacune delles gaspille
de la bande passante et entrane un cot. Avec les connexions tlphoniques standard, il ny a aucun
remde ce gaspillage.
Le transport de la voix en paquets offre une alternative. Dans les applications bases sur cette tech-
nologie, les paquets ne sont gnrs que sil y a rellement des informations vocales transmettre.
Llimination de la bande passante perdue lors des priodes de silence rduit du mme coup dun
tiers ou plus la bande passante effective requise pour le transport.
Figure G.2
Modulation PCM (ou MIC).
Le problme avec les stratgies dchantillonnage est que pour rduire la bande passante utilise
pour transporter la parole numrique, il est ncessaire de coder les signaux avec moins de bits.
Lutilisation de 8 bits pour un chantillon permet de reconnatre 256 niveaux diffrents dampli-
tude. Pour rduire la bande passante 32 Kbit/s, seuls 4 bits (64 valeurs) sont utiliss, et la valeur
Annexe G Introduction au transport de la voix en paquets 845
binaire reprsente le changement par rapport la valeur prcdente (cest le sens du terme "diff-
rentiel" dans le codage ADPCM). ADPCM peut tre rduit 16 Kbit/s en nutilisant que 2 bits
(4 valeurs), mais chaque fois que le nombre de valeurs damplitude diffrentes est rduit, la repr-
sentation en blocs cre ne ressemble pas au signal original et il sensuit une dgradation de la
qualit.
Un deuxime groupe de standards fournit une meilleure compression de la voix et du mme coup
une meilleure qualit. Dans ces standards, le codage de la voix utilise un algorithme spcial
appel LPC (Linear Predictive Code, codage linaire prdictif) qui modlise le fonctionnement
de la parole humaine. Comme cet algorithme peut tirer parti de la comprhension du processus
dlocution, il peut tre plus efficace sans sacrifier la qualit de la voix. La plupart des quipements
utilisant ce codage reoivent en entre le codage PCM 64 Kbit/s prsent plus haut, pour deux
raisons :
m Cette forme de voix reprsente la sortie standard des autocommutateurs privs et des commuta-
teurs tlphoniques.
m Les puces de codage PCM sont peu coteuses en raison de leur usage rpandu sur les rseaux
tlphoniques.
Le codage LPC et PCM/ADPCM des informations vocales est standardis par lUIT dans ses
recommandations de la srie G. Les standards de codage les plus populaires pour la tlphonie et la
voix par paquets comprennent les familles suivantes :
m G.711, qui dcrit le codage vocal PCM 64 Kbit/s. Les signaux ainsi cods sont dj dans le
format appropri pour le transport numrique sur le rseau tlphonique public ou par linterm-
diaire des autocommutateurs privs.
m G.726, qui dcrit le codage ADPCM 40, 32, 24, et 16 Kbit/s. Le codage ADPCM peut
galement tre chang entre les rseaux par paquets et ceux du systme tlphonique et dauto-
commutateurs privs, condition que ces derniers possdent des fonctions ADPCM.
m G.728, qui dcrit la compression vocale CELP (Code-Excited Linear Predictive, codage prdic-
tif avec excitation algbrique), ne requrant que 16 Kbit/s de bande passante. Ce codage doit tre
transform dans le format de tlphonie publique pour tre transport vers ou par lintermdiaire
de rseaux tlphoniques.
m G.729, qui dcrit le codage CELP adaptif permettant la voix dtre code en flux de 8 Kbit/s.
Ce standard existe sous deux formes et toutes deux fournissent une qualit de parole quivalente
celle du codage ADPCM 32 Kbit/s.
m G.733.1, qui dcrit une reprsentation code pouvant tre utilise pour compresser la parole ou
dautres composants de signaux audio de services multimdias un trs faible taux binaire dans
le cadre de la famille gnrale de standards H.324. Ce codeur possde deux taux binaires de
codage : 5,3 et 6,3 Kbit/s. Le taux le plus lev produit une meilleure qualit, mais le plus faible
fournit une bonne qualit et met davantage de souplesse la disposition des concepteurs de
systmes.
846 Partie III Annexes
Qualit de compression
On peut se demander pourquoi la voix compresse ne serait pas simplement un concept de standard.
Et si elle ntait pas compresse ? La rponse est que la compression ne peut quapprocher londe
de forme analogique. Bien que cette approximation puisse tre trs bonne dans le cas de certains
standards, tels que G.729, dautres standards souffrent quelque peu de la distorsion de cette
approximation de compression, tout particulirement si la voix subit plusieurs phases successives
de codage : tout dabord dans une forme numrique, puis dans une forme analogique, et nouveau
en numrique. Ces codages en tandem devraient tre vits autant que possible dans les systmes de
transport de la voix compresse.
La qualit de la voix selon la stratgie de compression a t mesure par une tude, MOS (Mean
Opinion Score), qui reprsente la rfrence la plus courante. Sur lchelle MOS, o 0 dsigne une
mauvaise qualit et 5 une qualit excellente, le standard PCM possde une qualit denviron 4,4. Le
standard G.726 ADPCM est valu par une qualit de 4,2 pour la version 32 Kbit/s.
Le codage G.728 CELP atteint une qualit de 4,2, tout comme G.729. Comme le montrent ces chiffres,
les codeurs de voix du modle linaire prdictif plus modernes obtiennent de meilleurs rsultats que
leurs homologues plus anciens bass sur lchantillonnage.
Dlai
Un autre facteur, le dlai, peut avoir un impact important sur la qualit de la voix compresse.
La compression de la voix pour le transport par paquets entrane un dlai. Le Tableau G.1, illustre
le dlai moyen associ chacun des standards de codage dcrits plus haut. Comme vous pouvez le
constater, le dlai associ avec le codage/dcodage de la voix peut atteindre 25 ms pour deux chan-
tillons CS-ACELP (un dlai initial de 5 ms plus 20 ms pour les deux trames de 10 octets). Ce dlai
naffecte pas en lui-mme la qualit de la parole, bien quil puisse ncessiter un recours lannulation
dcho pour viter la formation dun effet de rverbration indsirable. La plupart des dispositifs de
compression de la voix pour le transport par paquets incluent une forme quelconque dannulation
dcho. Mais dautres sources de dlai sur le rseau viennent sajouter ce dlai de base du codage,
et entranent un retard suffisant sur la totalit de la transmission de bout en bout pour interfrer avec
la parole.
Tableau G.1 : Dlai moyen associ aux standards de codage les plus connus
Les rseaux tlphoniques traditionnels et les rseaux pour la voix en paquets sont confronts
deux types de dlais : le dlai de propagation et le dlai de traitement. Le premier est provoqu par
la limitation de la vitesse de la lumire sur les rseaux fibre optique ou micro-ondes, ou de celle
des lectrons sur les rseaux de cuivre. Le deuxime dlai est li au traitement de la voix sur les
quipements le long de litinraire.
La lumire voyage une vitesse de 300 000 km/s, et les lectrons circulent une vitesse avoisinant
160 000 km/s dans un conducteur en cuivre. Un rseau micro-ondes ou fibre optique stendant
sur la moiti du globe couvrirait environ 20 000 km et entranerait un dlai dans une direction
denviron 70 ms. Ce niveau de retard nest presque pas perceptible et ne reprsente jamais un
problme.
Les dlais de traitement peuvent influer ngativement sur les rseaux traditionnels de transport de la
voix. Chaque trame T1/41/J1 requiert 125 ms pour tre assemble dans un commutateur et route
vers la ligne de destination, en supposant que chaque trame est envoye sa vitesse native (1 544 ou
2 048 Mbit/s). Ce dlai de srialisation saccumule mesure que les trames sont traites travers le
rseau. Le dlai total de srialisation peut atteindre 20 ms, voire plus, sur des liaisons transcontinen-
tales. Lorsquil est ajout au dlai de propagation, le dlai de srialisation peut provoquer un dlai
dans une direction avoisinant les 100 ms, ce qui est perceptible mais admissible.
Cest dans le dlai de traitement que les rseaux de voix en paquets et les rseaux traditionnels
commencent afficher leurs diffrences. Les dlais de traitement sur les rseaux de donnes
peuvent tre considrables, tout particulirement lorsquil se produit des phnomnes de congestion
et que le trafic doit tre plac en file dattente de transmission sur des lignes de tronons fortement
encombres. Sur lInternet, des dlais de bout en bout sur des routes internationales avoisinent
parfois une seconde. Lorsque de tels dlais apparaissent, les interlocuteurs ont comme recours de
sappuyer sur une structure formelle de conversation : en parlant tour de rle, ils risqueront moins
de prendre simultanment la parole un moment o le dlai de transmission gnre une priode de
silence.
La raison pour laquelle le dlai sur les rseaux de donnes peut reprsenter un problme pour la
qualit de la voix est que les informations locales possdent un "timing" caractristique. Une
syllabe particulire est prononce dans un intervalle de temps prcdant le dbut de la syllabe
suivante. Cette petite pause faisant partie de llocution comme de lexpression, son timing doit tre
prserv. Sur les rseaux tlphoniques traditionnels, le canal de la voix est un flux binaire synchro-
nis qui prserve prcisment le timing de tous les lments dlocution. Sur les rseaux de
donnes, un dlai variable peut tre introduit suite la congestion ou au traitement des informations
et peut altrer la qualit de la parole.
Aprs ces explications, il apparat comme vident que le problme pos par le dlai se prsente en
fait sous deux formes : le dlai absolu, qui peut gner la conversation et le rythme des changes ; et
les variations de dlai appeles la gigue, qui crent des pauses inattendues entre les prononciations
et peuvent influer ngativement sur lintelligibilit du dialogue. Cest le problme le plus important
auquel les rseaux de transports de la voix par paquets doivent rpondre.
Llimination de la gigue sur un rseau avec des dlais de traitement et de congestion variables est
confie la fonction de retenue. Les applications vocales mesurent le dlai moyen dun rseau et
retiennent sur lagent vocal de destination suffisamment de donnes vocales compresses pour
compenser le dlai moyen de la gigue. Cette fonction garantit que les paquets sont librs pour tre
848 Partie III Annexes
m Les rseaux de paquets publics (X.25), qui assurent des services de donnes publics dans de
nombreuses applications internationales et qui sont aussi utiliss comme rseaux de donnes
nationaux en Europe et en bordure du Pacifique.
m Les rseaux IP publics, y compris lInternet.
m Les rseaux de donnes privs dentreprises de tous types.
Ces nombreux choix peuvent heureusement tre groups en larges catgories pour tudier les appli-
cations vocales.
Rseaux de trames/cellules
Les rseaux de trames/cellules utilisant le Frame Relay ou les services de dbit variable dATM,
transportent la voix sous une forme code compresse. Pour ces rseaux, il est ncessaire de recou-
rir un agent vocal pour coder la voix dans des cellules ou des trames pour le transport, puis
dcoder ces dernires sur la destination. Lagent vocal doit galement comprendre nimporte quelle
signalisation tlphonique utilise par la source et la destination afin de pouvoir recevoir le numro
de linterlocuteur appeler et mettre des signaux de progression dappel. Finalement, il peut aussi
avoir besoin de comprendre la signalisation ou ladressage requis dans le nuage du rseau de
trames/cellules pour atteindre les divers agents vocaux de destination. Cette fonction est importante
lors de la traduction intervenant entre les rseaux traditionnels pour la voix et un rseau de trames/
cellules.
850 Partie III Annexes
Sur les rseaux Frame Relay ou ATM, le dlai et la gigue sont souvent contrls par les commuta-
teurs eux-mmes, si chacun des commutateurs et des points finaux est synchronis par rapport une
source commune reconnaissable sur le rseau. Normalement, la gigue sur ces rseaux est tellement
faible que le timing des paquets de donnes voix en sortie avoisine celui de la parole en entre, et
aucune estampille de temps spciale ne doit tre applique aux paquets pour garantir un timing de
sortie appropri. Des exceptions existent sur les rseaux qui ne sont pas synchroniss par rapport
une source de rfrence commune. La pratique de lajout dune estampille de temps dans une
cellule ATM est appele SRTS (Synchronous Residual Time Stamps, estampille de temps rsiduel
synchrone) et reprsente une mthode de transmission des informations de timing de bout en bout.
Certains commutateurs et multiplexeurs ATM et Frame Relay fournissent un codage de la voix pour
un ATM dbit variable, ce qui rend les produits essentiellement destins au rle dagent vocal.
Comme les standards pour la voix sur Frame Relay et ATM sont toujours en cours dvolution, les
acheteurs devraient sassurer que cette fonction est disponible, et galement que les capacits des
commutateurs correspondent aux exigences des applications. Sil ny a pas dinterface native pour
la voix pour un rseau de trames ou de cellules, un produit externe de compression de la voix peut
tre utilis. Tous les avantages des rseaux ATM ou Frame Relay permettant de contrler la gigue et
le dlai global du rseau restent disponibles pour un tel produit externe.
peuvent chouer. Ces rseaux oprent normalement avec des niveaux dutilisation trs levs et
souffrent par consquent rgulirement de congestion. Pour ces raisons, le transport de la voix sur
ces rseaux rpond rarement aux attentes de lutilisateur. Except pour les situations o les probl-
mes de cots sont essentiels, ils ne devraient pas tre envisags comme solution de transport de la
voix.
joindre et tablir une connexion avec lui. Ce modle transforme le nuage de rseau en un
commutateur virtuel pour la voix ou un commutateur tandem.
PBX PBX
PBX PBX
PBX
La Figure G.3 montre quil y a deux relations de signalisation trs diffrentes sur un rseau trans-
portant du trafic voix. Lune, appele signalisation externe, prend place entre lagent vocal et les
quipements de traitement de la voix quil sert. Comme ces quipements ont t conus pour parti-
ciper sur des rseaux ordinaires de tlphonie, cette signalisation externe suit les standards qui y
sont appliqus. Lautre type de signalisation intervient entre les agents eux-mmes travers le
nuage du rseau de transport. Cette signalisation interne se droule selon les standards du rseau
charg du transport, ou ceux des agents.
Signalisation externe
Les agents vocaux doivent tre interconnects avec la source et la destination dune manire coh-
rente par rapport aux systmes tlphoniques habituels, sous peine dobtenir un fonctionnement de
la voix en paquets ne sapparentant pas au systme tlphonique traditionnel. Les quatre options
suivantes de signalisation externe sont couramment supportes par les systmes de voix par
paquets :
m La signalisation DTMF (Dual-Tone Multi-Frequency) ou la signalisation analogique par impul-
sions. Ce type de signalisation est appropri pour les applications de gestion de la voix par
paquets dans les situations o les appareils tlphoniques doivent tre branchs directement sur
lagent vocal en utilisant le type de prise tlphonique appropri ladministration nationale.
m La signalisation de ligne de jonction, galement appele signalisation E&M, utilise le plus
souvent sur les tronons analogiques quatre fils.
m La signalisation intrabande, appele signalisation CAS (Channel Associated Signaling, signali-
sation associe un canal voix), qui est utilise sur les tronons numriques T1/E1. Les stan-
dards pour cette signalisation varient en fonction des zones gographiques principales
(Amrique du Nord et lUIT par exemple). Avec CAS, les informations de signalisation circulent
sur le mme chemin que les informations vocales.
854 Partie III Annexes
m La signalisation hors bande, appele CCS (Common Channel Signaling, signalisation par canal
commun), avec laquelle la signalisation dun tronon numrique multiconnexion (T1/E1/J1) est
combine en un ou plusieurs canaux communs et distincte des donnes voix. Ce type de signa-
lisation est celui qui est normalement employ par les PBX (par exemple, DPNSS et QSIG). Le
canal D de RNIS est galement un canal CCS.
Une autre forme de signalisation appele SS7 (Signaling System 7) est utilise avec les rseaux tl-
phoniques publics. Il sagit dun protocole interne ces rseaux fonctionnant hors bande entre les
quipements du rseau pour tablir des appels et demander des services spciaux. Les futurs
produits de gestion de la voix par paquets peuvent supporter SS7 comme protocole de signalisation
externe.
Un rseau de transport de la voix par paquets fonctionnant avec un modle traducteur agit comme
un commutateur tandem lorsquil comprend les protocoles de signalisation de lagent vocal et
connecte les appels travers le rseau de transport en se basant sur les numros transmis. Cette
fonction peut reprsenter une source supplmentaire dconomies pour les concepteurs de rseau
voix car ce type de commutateurs est normalement coteux.
Les commutateurs tandem et les commutateurs sources (par exemple PBX) sont combins pour
crer le plan dadressage ou de numrotation dun rseau. Ce plan associe des stations spcifiques
aux numros composs, et il doit tre complet et cohrent pour que le rseau puisse fonctionner
correctement. Il est important quun rseau de paquets transportant la voix conu sur le modle
traducteur, dispose de services appropris pour grer sa part de plan daccs et garantir quil soit
cohrent avec le plan de numrotation des rseaux voix quil assiste.
Signalisation interne
La signalisation interne, comme voqu plus haut, doit fournir deux caractristiques : le contrle de
la connexion et les information de progression ou dtat. La signalisation de contrle est utilise
pour crer des relations ou des chemins entre les agents vocaux pour permettre la voix en paquets
de circuler. Les informations de progression dappel ou dtat sont changes entre les agents
vocaux et renseignent sur les divers tats de la connexion, sonnerie, occupation, etc.
Avec le modle transporteur, la signalisation interne est utilise principalement pour viter le main-
tien dune connexion permanente travers le rseau de paquets afin de pouvoir supporter chaque
appel entre les agents vocaux. Par consquent, la signalisation interne dans ce modle est associe
avec les rseaux orients connexion qui allouent des ressources fixes de bande passante. Avec les
applications grant la voix en paquets sur des rseaux orients sans connexion, il ny a aucun besoin
dtablir une connexion, les deux agents vocaux senvoyant des datagrammes lorsque le trafic se
prsente.
Dans le modle traducteur, la signalisation de connexion peut savrer ncessaire pour pouvoir
router un flot de paquets vers un agent vocal appropri lorsque lidentification de celui-ci a t satis-
faite par la fonction de plan de numrotation. La multiplicit des connexions possibles sur les
rseaux disposant dune grande varit dagents vocaux peut rendre impossible la cration dune
connexion avec chaque partenaire pour tous les appels.
Les diffrentes solutions de transport telles que ATM, Frame Relay, et IP ont toutes leurs standards
de signalisation. Pour ATM, il sagit de Q.931, et pour Frame Relay, cest FRF.11. Ces diffrents
Annexe G Introduction au transport de la voix en paquets 855
standards pourraient ncessiter ladoption par les utilisateurs dagents vocaux spciaux pour chaque
rseau de transport.
Le modle accept pour la signalisation interne sur les rseaux IP transportant la voix, la fois pour
la connexion et les informations dtat, est spcifi dans le standard H.323. Bien que celui-ci soit
gnralement vu comme un standard vido, il dfinit en fait un ensemble de standards de communi-
cation multimdia entre les utilisateurs. En fait, seuls des services de traitement de la voix sont
requis pour lexploitation de H.323, le support de la vido et des donnes est optionnel.
H.323 dfinit un rseau multimdia complet, des quipements jusquaux protocoles. La liaison de
toutes les entits lintrieur de H.323 est dfinie par le standard H.245, qui prvoit la ngociation
de services entre les participants et les lments dun rseau H.323. Une version rduite du proto-
cole dappel Q.931 de RNIS est utilise pour assurer ltablissement de la connexion.
Selon les termes du standard H.323, les agents vocaux sont des terminaux, bien que lusage courant
de ce concept suggre plutt limplication dun seul utilisateur. Il dfinit aussi une fonction de poste de
frontire qui excute les traductions dadresse et les recherches requises pour le modle traducteur
du rseau voix par paquets.
Si le nuage du rseau de transport dun point de vue de lapplication de gestion de la voix est en fait
constitu de plusieurs types de rseaux de transport, H.323 dfinit une fonction de passerelle qui
ralise la traduction du format des donnes et de la signalisation ncessaires une communication
correcte aux frontires de rseaux. Laffectation la plus courante de cette passerelle est pour la
conversion des donnes de vidoconfrence du format H.320 vers le format H.323, permettant aux
utilisateurs de la vido en paquets de communiquer avec des systmes traditionnels qui sappuient
sur une forme de vido par circuits commuts.
Le standard H.323 peut venir coiffer des standards spcialiss pour chaque option de rseau de
transport. Sur les rseaux IP en mode non connect, le protocole RTP et le protocole de contrle
RTCP sont utiliss et transports leur tour sur UDP. Pour Frame Relay, le standard FRF.11 dcrit
un mcanisme standard de signalisation.
Ces standards de niveau infrieur peuvent bien sr tre utiliss sans H.323. Bien que celui-ci ne soit
pas ncessaire pour les applications de gestion de la voix par paquets, disposer dune compatibilit
avec ce standard apporte des avantages significatifs. Il permet de rendre optionnelle toute forme de
compression de la voix autre que la mthode PCM (ou MIC)/G.711. Il ny a cependant aucune
garantie que des systmes compatibles avec ce standard fourniront un codage optimal de la voix.
Le meilleur modle pour une application de gestion de la voix en paquets dpend de la nature des
utilisateurs. Alors quune connexion transportant la voix en paquets est utilise comme un type de
ligne de jonction entre deux communauts dutilisateurs de systme tlphonique priv ou public,
le modle transporteur associ un systme propritaire de codage de la voix et de signalisation est
appropri si les exigences de lapplication sont satisfaites par le systme de compression utilis et
que les ressources de transport du rseau sont disponibles.
Lorsquil faut grer plusieurs communauts dutilisateurs, ceci signifiant quil pourrait y avoir
beaucoup dagents sur le nuage du rseau de transport, le modle traducteur pourrait apporter une
meilleure conomie et davantage de souplesse. Sil y a une possibilit que ces agents vocaux soient
fournis et supports par diffrentes organisations, il est essentiel que lensemble du systme soit
bas sur le standard H.323 pour garantir que les agents et les fonctions dannuaire (terminaux,
856 Partie III Annexes
postes de frontire, passerelles, selon la terminologie H.323) puissent interoprer. Dans cette situa-
tion toutefois, lacqureur devra sassurer que les composants H.323 supportent des standards
supplmentaires de codage de la voix, sils sont requis pour scuriser les niveaux de qualit de la
voix et dconomie du rseau comme prvu par les applications.
Les services de rseaux publics bass sur H.323 sont de plus en plus disponibles et continueront
probablement gagner en popularit. Le choix entre ces services et les solutions alternatives dun
rseau public de transport de la voix par paquets est une affaire de garantie des performances requi-
ses (cest--dire, la qualit de la parole) au cot le plus bas.
Dans les applications prives, opter pour une conformit avec H.323 peut tre ncessaire ds la
procdure dacquisition de lquipement vido en paquets sil est prvu demployer du matriel
provenant de diffrents fournisseurs. Il peut cependant savrer utile de raliser des tests de confor-
mit ou dinteroprabilit. Comme cest souvent le cas avec les standards internationaux, H.323
prvoit de nombreux domaines "optionnels" de support, englobant certaines des mthodes de
codage les plus efficaces de la voix. Un quipement peut tre conforme aux standards et ne pas
fournir de support pour toutes les options. Ce type de matriel peut ne prvoir que le mode minimal
dinteroprabilit comme prvu par le standard H.323.
Souvent, les utilisateurs ventuels dapplications de gestion de voix en paquets disposent de rseaux
multicouches, par exemple, IP sur Frame Relay ou ATM. Sur ce type de rseaux, il est possible de
transporter la voix nimporte quel niveau ou tous les niveaux, et choisir la meilleure mthode
peut se rvler problmatique. Les points suivants font partie des facteurs prendre en compte :
m Il faut tout dabord prendre en compte la porte des diverses couches de rseaux. La connectivit
Frame Relay peut tre disponible de site en site par exemple, mais pas lintrieur de sites o
demplacements desservis par des ressources de transmission telles que la fibre optique ou les
micro-ondes. Quant IP, il est capable en raison de son omniprsence de supporter les utilisa-
teurs de ces applications dans nimporte quel lieu.
m Lorsque que ltendue des options de couches convient lapplication, il est gnralement prf-
rable de transporter la voix au niveau le plus bas, cest--dire avec Frame Relay ou ATM plutt
quavec IP. La charge de service est infrieure et la connexion avec qualit de services est
souvent contrle plus naturellement.
rgions desservies par le rseau. Ceci ncessite normalement deffectuer des recherches directes,
mais ltat actuel des rglementations peut tre rsum de faon suivante :
m A lintrieur dune administrations nationale ou dune zone de juridiction tlphonique, une
entreprise peut presque toujours employer la voix en paquets pour supporter ses propres commu-
nications travers ses propres sites.
m Avec de telles applications, il est normalement prvu que certains des appels transports sur le
rseau de paquets proviennent lorigine du rseau tlphonique public. Ce genre dappels
"externes" achemins par paquets est tolr de faon uniforme dun point de vue de la
rglementation, en se basant sur le fait quils manent demploys, de clients, ou de fournisseurs,
et quils reprsentent les oprations de lentreprise.
m Lorsquune connexion transportant la voix par paquets est tablie entre deux administrations
nationales pour supporter les activits dune seule entreprise (pour connecter deux ou plusieurs
sites de lentreprise dans plusieurs pays) lapplication est uniformment tolre dun point de
vue de la rglementation.
m Dans une telle situation, un appel extrieur provenant du rseau public dun pays se terminant
sur un site dentreprise lintrieur dun autre pays via un transport de la voix par paquets peut
reprsenter une violation technique des monopoles ou des traits nationaux relatifs aux services
dappels de longue distance. Lorsquune telle violation concerne un appel tabli entre des
employs de lentreprise, ou entre ces derniers et des fournisseurs ou des clients, il est peu proba-
ble quelle attire lattention des autorits.
m Lorsquun rseau de paquets transportant la voix est utilis pour connecter des appels publics
une entreprise, le fournisseur du rseau assure techniquement un service tlphonique local ou
national qui est soumis en tant que tel une rglementation.
m Lorsquun rseau de voix par paquets est utilis pour connecter des appels publics entre pays
diffrents, le fournisseur du rseau est soumis aux rglementations nationales en vigueur dans
chaque pays desservi et aussi toutes les prvisions daccords sur les appels internationaux dont
les pays desservis sont signataires.
Par consquent, on peut affirmer en toute scurit que des entreprises peuvent employer la voix en
paquets pour toutes les applications dans lesquelles des lignes loues, ou des rseaux dautocom-
mutateurs privs, pourraient tre employs en toute lgalit. En fait, un bon modle suivre pour
dployer un rseau transportant la voix par paquets, sans introduire de problmes supplmentaires
lis aux rglementations, est de dupliquer un rseau de tronons PBX ou de lignes de jonction en
utilisant des services de voix par paquets.
Rsum
Le rseau tlphonique public daujourdhui possde encore beaucoup de points communs avec le
systme du dbut des annes 1980. Durant cette priode, de grandes avances technologiques dans
le domaine des rseaux de donnes ont permis damliorer les cots dexploitation de rseaux ainsi
que le contrle de la qualit de services. Ce sont ces avances qui orientent aujourdhui le march
vers le transport de la voix par paquets.
858 Partie III Annexes
La voix en paquets utilise des algorithmes de compression avancs tels que le codage G.729 bas
sur ACELP, qui peut transporter seize fois plus de trafic vocal par unit de bande passante de
rseaux que les systmes bass sur le codage PCM (ou MIC) utilis par le systme tlphonique
public. Les utilisateurs de rseaux de donnes existants peuvent souvent intercaler du trafic voix et
du trafic donnes avec un cot supplmentaire de transport faible ou inexistant, et avec peu ou pas
dimpact sur les performances de lapplication. Les utilisateurs de rseaux voix de circuits commu-
ts T1/E1/J1, employant la transmission de la voix par paquets, peuvent souvent librer suffisam-
ment de bande passante sur les tronons voix existants pour transporter la totalit de leur charge de
donnes.
La plupart des discussions sur le transport de la voix par paquets abordent les thmes de larbitrage
de la tarification en tirant parti de la facturation Frame Relay indpendante de la distance ou en
vitant les tarifs internationaux de communication vocale. Bien que ces formes de suppression de
cots permettent souvent de raliser quelques conomies, tant quil y a des diffrences de tarifica-
tion, cest lefficacit fondamentale du transport de la voix par paquets qui rend cette technologie
toujours plus intressante aux yeux des entreprises.
Tous les rseaux et tous les utilisateurs ne pourront pas tirer parti des avantages de la transmission
de la voix par paquets pour rduire les cots de communication. Certains rseaux disposent de
capacits rsiduelles insuffisantes pour transporter la voix, mme si elle tait soumise une trs
forte compression, et les faire voluer par lintermdiaire de services supplmentaires de transpor-
teurs publics pourrait savrer coteux. Il est toutefois intressant de noter que la voix en paquets ne
sera jamais plus coteuse quune communication traditionnelle par circuits commuts. Elle est
mme souvent bien moins onreuse et vaut la peine dtre envisage court terme comme long
terme.
Les informations de ce chapitre proviennent du site Web de Cisco, ladresse : www.cisco.com.
H
Rfrences et
suggestions de lectures
Green, J.K. Telecommunications, 2nd ed. Homewood, Illinois : Business One Irwin ; 1992.
Hagans, R. "Components of OSI : ES-IS Routing". ConneXions : The Interoperability Report, Vol. 3,
No. 8 : August 1989.
Hares, S. "Components of OSI : Inter-Domain Routing Protocol (IDRP)". ConneXions : The Intero-
perability Report, Vol. 6, No. 5 : May 1992.
Jones, N.E.H. and D. Kosiur. Macworld Networking Handbook. San Mateo, California : IDG Books
Worldwide, Inc. ; 1992.
Joyce, S.T. and J.Q. Walker II. "Advanced Peer-to-Peer Networking (APPN) : An Overview".
ConneXions : The Interoperability Report, Vol. 6, No. 10 : October 1992.
Kousky, K. "Bridging the Network Gap". LAN Technology, Vol. 6, No. 1 : January 1990.
LaQuey, Tracy. The Internet Companion : A Beginners Guide to Global Networking, Reading,
Massachusetts : Addison-Wesley Publishing Company, Inc. ; 1994.
Leinwand, A. and K. Fang. Network Management : A Practical Perspective. Reading, Massachu-
setts : Addison-Wesley Publishing Company, Inc. ; 1993.
Lippis, N. "The Internetwork Decade." Data Communications, Vol. 20, No. 14 : October 1991.
McNamara, J.E. Local Area Networks. Digital Press, Educational Services, Digital Equipment
Corporation, 12 Crosby Drive, Bedford, MA 01730.
Malamud, C. Analyzing DECnet/OSI Phase V. New York, New York : Van Nostrand Reinhold ;
1991.
Malamud, C. Analyzing Novell Networks. New York, New York : Van Nostrand Reinhold ; 1991.
Malamud, C. Analyzing Sun Networks. New York, New York : Van Nostrand Reinhold ; 1991.
Martin, J. SNA : IBMs Networking Solution. Englewood Cliffs, New Jersey : Prentice Hall ; 1987.
Martin, J., with K.K. Chapman and the ARBEN Group, Inc. Local Area Networks. Architectures
and Implementations. Englewood Cliffs, New Jersey : Prentice Hall ; 1989.
Medin, M. "The Great IGP DebatePart Two : The Open Shortest Path First (OSPF) Routing
Protocol". ConneXions : The Interoperability Report, Vol. 5, No. 10 : October 1991.
Meijer, A. Systems Network Architecture : A tutorial. New York, New York : John Wiley & Sons,
Inc. ; 1987.
Miller, M.A. LAN Protocol Handbook. San Mateo, California : M&T Books ; 1990.
Miller, M.A. LAN Troubleshooting Handbook. San Mateo, California : M&T Books ; 1989.
OReilly, T. and G. Todino. Managing UUCP and Usenet, 10th ed. Sebastopol, California :
OReilly & Associates, Inc. ; 1992.
Perlman, R. Interconnections : Bridges and Routers. Reading, Massachusetts : Addison-Wesley
Publishing Company, Inc. ; 1992.
Perlman, R. and R. Callon. "The Great IGP DebatePart One : IS-IS and Integrated Routing".
ConneXions : The Interoperability Report, Vol. 5, No. 10 : October 1991.
Annexe H Rfrences et suggestions de lectures 861
Rose, M.T. The Open Book : A Practical Perspective on OSI. Englewood Cliffs, New Jersey : Pren-
tice Hall ; 1990.
Rose, M.T. The Simple Book : An Introduction to Management of TCP/IP-based Internets.
Englewood Cliffs, New Jersey : Prentice Hall ; 1991.
Ross, F.E. "FDDIA Tutorial". IEEE Communications Magazine, Vol. 24, No. 5 : May 1986.
Schlar, S.K. Inside X.25 : A Managers Guide. New York, New York : McGraw-Hill, Inc. ; 1990.
Schwartz, M. Telecommunications Networks : Protocols, Modeling, and Analysis. Reading, Massa-
chusetts : Addison-Wesley Publishing Company, Inc. ; 1987.
Sherman, K. Data Communications : A Users Guide. Englewood Cliffs, New Jersey : Prentice
Hall ; 1990.
Sidhu, G.S., R.F. Andrews, and A.B. Oppenheimer. Inside AppleTalk, 2nd ed. Reading, Massachu-
setts : Addison-Wesley Publishing Company, Inc. ; 1990.
Spragins, J.D. et al. Telecommunications Protocols and Design. Reading, Massachusetts : Addison-
Wesley Publishing Company, Inc. ; 1991.
Stallings, W. Data and Computer Communications. New York, New York : Macmillan Publishing
Company ; 1991.
Stallings, W. Handbook of Computer-Communications Standards, Vols. 1-3. Carmel, Indiana :
Howard W. Sams, Inc. ; 1990.
Stallings, W. Local Networks, 3rd ed. New York, New York : Macmillan Publishing Company ;
1990.
Sunshine, C.A. (ed.). Computer Network Architectures and Protocols, 2nd ed. New York, New
York : Plenum Press ; 1989.
Tannenbaum, A.S. Computer Networks, 2nd ed. Englewood Cliffs, New Jersey : Prentice Hall ;
1988.
Terplan, K. Communication Networks Management. Englewood Cliffs, New Jersey : Prentice Hall ;
1992.
Tsuchiya, P. "Components of OSI : IS-IS Intra-Domain Routing". ConneXions : The Interoperabi-
lity Report, Vol. 3, No. 8 : August 1989.
Tsuchiya, P. "Components of OSI : Routing (An Overview)". ConneXions : The Interoperability
Report, Vol. 3, No. 8 : August 1989.
Zimmerman, H. "OSI Reference ModelThe ISO Model of Architecture for Open Systems Inter-
connection". IEEE Transactions on Communications COM-28, No. 4 : April 1980.
862 Partie III Annexes
. DECserver 200 Local Area Transport (LAT) Network Concepts. AA-LD84A-TK ; June
1988.
. DIGITAL Network Architecture (Phase V). EK-DNAPV-GD-001 ; September 1987.
Digital Equipment Corporation, Intel Corporation, Xerox Corporation. The Ethernet, A Local-Area
Network, Data Link Layer and Physical Layer Specifications. Ver. 2.0 ; November 1982.
Feinler, E.J., et al. DDN Protocol Handbook, Vols. 1-4, NIC 50004, 50005, 50006, 50007. Defense
Communications Agency. Alexandria, Virginia ; December 1985.
Garcia-Luna-Aceves, J.J. "A Unified Approach to Loop-Free Routing Using Distance Vectors or
Link States". ACM 089791-332-9/89/0009/0212, pp. 212-223 ; September 1989.
Hemrick, C. and L. Lang. "Introduction to Switched Multi-megabit Data Service (SMDS), an Early
Broadband Service". Proceedings of the XIII International Switching Symposium (ISS 90), May 27-
June 1, 1990.
Hewlett-Packard Company. X.25 : The PSN Connection ; An Explanation of Recommendation
X.25. 5958-3402 ; October 1985.
IEEE 802.2Local Area Networks Standard, 802.2 Logical Link Control. ANSI/IEEE Standard ;
October 1985.
IEEE 802.3Local Area Networks Standard, 802.3 Carrier Sense Multiple Access. ANSI/IEEE
Standard ; October 1985.
IEEE 802.5Local Area Networks Standard, 802.5 Token Ring Access Method. ANSI/IEEE Stan-
dard ; October 1985.
IEEE 802.6Local & Metropolitan Area Networks Standard, 802.6 Distributed Queue Dual Bus
(DQDB) Subnetwork of a Metropolitan Area Network (MAN). ANSI/IEEE Standard ; December 1990.
International Business Machines Corporation. ACF/NCP/VS network control program, system
support programs : general information. GC30-3058.
. Advanced Communications Function for VTAM (ACF/VTAM), general information : intro-
duction. GS27-0462.
. Advanced Communications Function for VTAM, general information : concepts. GS27-0463.
. Dictionary of Computing. SC20-1699-7 ; 1987.
. Local Area Network Technical Reference. SC30-3883.
. Network Problem Determination Application : general information. GC34-2010.
. Synchronous Data Link Control : general information. GA27-3093.
. Systems Network Architecture : concepts and products. GC30-3072.
. Systems Network Architecture : technical overview. GC30-3073-1 ; 1985.
. Token-Ring Network Architecture Reference. SC30-3374.
. Token-Ring Problem Determination Guide. SX27-3710-04 ; 1990.
864 Partie III Annexes
Cette annexe a pour objectif de fournir les notions de base relatives au protocole PIM-SM, tudi au
Chapitre 13. Son contenu vient du site Web de Cisco.
Avantages du multicast
Nimporte quelle forme de communication qui implique la transmission dinformations vers
plusieurs destinataires peut tirer parti de lexploitation efficace de la bande passante assure par la
technologie multicast. Des exemples dapplications qui implmentent des communications one-to-
many (un seul metteur, plusieurs rcepteurs passifs) ou many-to-many (applications coopratives
et interactives) incluent les diffusions broadcast audio et vido, la vidoconfrence/collaboration, la
diffusion de valeurs cotes en bourse et de news, la rplication de bases de donnes, les
tlchargements de programmes, et la mise en cache de sites Web.
Pour comprendre lefficacit de la technologie multicast, prenons lexemple dun serveur de vido
qui offre un seul canal de contenu vido (voir Figure I.1). Pour une diffusion vido anime en mode
plein cran, un flux vido requiert environ 1,5 Mbit/s de bande passante dans le sens serveur-client.
Dans un environnement unicast, le serveur doit envoyer sur le rseau un flux vido spar pour
chaque client (qui consomme 1,5 n Mbit/s de la bande passante du mdia, o n reprsente le
nombre de clients visionneurs). Avec une interface Ethernet 10 Mbit/s sur le serveur, 6 7 flux
dans le sens serveur-client suffiraient la saturer compltement. Mme dans le cas dune interface
Gigabit Ethernet hautement intelligente, avec un serveur hautement performant, la limite pratique
se situerait entre 250 et 300 flux vido de 1,5 Mbit/s. Par consquent, la capacit de linterface dun
serveur peut reprsenter un goulet dtranglement significatif, ce qui limite le nombre de flux vido
unicast par serveur de vido. Les transmissions unicast rpliques consomment normment de
bande passante sur un rseau, ce qui reprsente une autre limitation de taille. Si le chemin qui relie
un serveur et un client traverse trois sauts de routeur et deux sauts de commutateur, la vido "multi-
unicast" consomme 1,5 n 3 Mbit/s de bande passante de routeur, plus 1,5 n 2 Mbit/s de
bande passante de commutateur. En admettant que 100 clients soient spars du serveur par deux
sauts de routeur et deux sauts de commutateur (tel quillustr la Figure I.1), un seul canal multicast
866 Partie III Annexes
consommerait 300 Mbit/s de bande passante de routeur et 300 Mbit/s de bande passante de commu-
tateur. Mme si la bande passante du flux vido tait ramene 100 Kbit/s (ce qui offre une qualit
acceptable dans le cas de laffichage dune fentre plus petite lcran), la vido multi-unicast
consommerait 20 Mbit/s de bande passante de routeur et 20 Mbit/s de bande passante de commutateur.
Figure I.1
Transmission de vido
sur des rseaux
Serveur de vido Serveur de vido
unicast et multicast.
Commutateur Commutateur
Routeur Routeur
33 Copies 34 Copies 1 Copie
Unicast Multicast
Dans un environnement multicast, le serveur de vido doit transmettre un seul flux vido chaque
groupe multicast, indpendamment du nombre de clients qui le visualiseront. Le flux est donc rpliqu,
lorsque cela est ncessaire, par les routeurs et commutateurs multicast du rseau, afin de permettre un
nombre arbitraire de clients de souscrire une adresse multicast et de recevoir la diffusion. Sur le
rseau de routeurs, la rplication se produit uniquement au niveau des branches de larbre de distri-
bution, cest--dire au niveau du dernier saut de commutateur. Dans le scnario multicast, seule-
ment 1,5 Mbit/s de la bande passante serveur-rseau est utilise ; le reste est disponible pour
dautres utilisations ou canaux de contenu vido. Sur le rseau, la transmission multicast offre une
efficacit analogue ; elle consomme seulement 1/ne de la bande passante de la solution multi-
unicast (par exemple, 3 Mbit/s de bande passante de routeur et de commutateur, la Figure I.1).
Il apparat de faon vidente que, dans des environnements o les destinataires dune transmission
rplique sont nombreux, la technologie multicast fait la diffrence, aussi bien en termes de charge
de serveur que de charge de rseau, mme sur un rseau simple qui comprend un nombre limit de
Annexe I Prsentation de la technologie multicast IP 867
Adressage
Une adresse de niveau 3 doit tre utilise afin de pouvoir communiquer avec un groupe de destinatai-
res (au lieu dun seul destinataire). De plus, cette adresse doit pouvoir tre associe aux adresses
multicast de niveau 2 des rseaux physiques sous-jacents. Pour les rseaux IP, des adresses de
classe D ont t dfinies spcifiquement pour ladressage multicast. Une adresse de cette classe
comprend le chiffre binaire 1110 dans les bits de poids le plus fort du premier octet, suivi dune
adresse de groupe de 28 bits non structure. Pour associer des adresses multicast IP des adresses
Ethernet, les 23 bits de poids le plus faible de ladresse de classe D sont appliqus un bloc dadres-
ses Ethernet rserves pour le multicast. Grce cette stratgie dassociation, chaque adresse multi-
cast Ethernet correspond 32 adresses multicast IP. Cela signifie quun hte qui reoit des paquets
multicast peut avoir besoin de refuser les paquets indsirables, envoys dautres groupes avec la
868 Partie III Annexes
mme adresse multicast MAC. Ces adresses comprennent le chiffre binaire 01 dans le premier octet
de ladresse de destination, afin de permettre linterface de rseau de distinguer facilement les
paquets multicast des paquets unicast.
Enregistrement dynamique
Un mcanisme doit permettre dinformer le rseau quun ordinateur donn est membre dun groupe
multicast particulier. En labsence de cette information, le rseau serait oblig dinonder le trafic,
plutt quenvoyer la transmission en multicast pour chaque groupe. Sur les rseaux IP, le protocole
IGMP (Internet Group Multicast Protocol), qui est un protocole de datagrammes IP utilis entre les
routeurs et les htes, assure la maintenance dynamique de listes de membres de groupes. Lhte
envoie au routeur un rapport dadhsion IGMP (Join) pour rejoindre un groupe multicast. De son
ct, le routeur envoie rgulirement une requte pour savoir quels membres participent toujours
un groupe donn. Si un hte souhaite demeurer membre dun groupe, il rpond en envoyant un
rapport. Sil nenvoie pas de rapport, le routeur limine (Prune) lhte en question de la liste des
membres, ce qui vite une transmission multicast inutile. Avec la version 2 de IGMP, un hte peut
envoyer un message de dpart (Leave) afin dinformer le routeur quil ne souhaite plus participer
un groupe multicast. Cela permet au routeur de rduire la liste de membres, avant dentamer le
processus de requte suivant. Cette mthode rduit ainsi la priode pendant laquelle des transmis-
sions inutiles sont envoyes sur le rseau.
Livraison multicast
La majorit des applications multicast sappuient sur le protocole UDP, qui assure une livraison au
mieux (best-effort delivery) et nutilise pas le mcanisme de fentrage de TCP qui permet dviter
les congestions. Par consquent, les paquets multicast sont plus souvent perdus que les paquets
TCP. Il est peu pratique pour les applications en temps rel de demander des transmissions. Il arrive
donc que les diffusions broadcast audio et vido subissent des dgradations de performances en
raison de pertes de paquets. Avant le dploiement de la qualit de service (QoS, Quality of Service),
le meilleur moyen pour limiter les pertes de paquets sur les rseaux fonds trames tait de fournir
une bande passante suffisante, surtout aux frontires du rseau. La fiabilit des transmissions multi-
cast sera amliore lorsque le protocole de rservation RSVP (Reservation Protocol), le protocole
de transport en temps rel RTP (Real-Time Protocol), le standard 802.1p, et dautres mcanismes de
gestion de priorit de niveau 2, rendront possible la livraison de bout en bout de fonctionnalits
de qualit de service sur un rseau de niveau 2/3.
Routage multicast
Un rseau doit pouvoir crer des arbres de distribution de paquets qui dfinissent un chemin de
transmission unique entre le sous-rseau source et chaque sous-rseau membre dun groupe multi-
cast. Un des principaux objectifs de la construction dun arbre de distribution est de garantir quune
seule copie de chaque paquet sera envoye sur chaque branche de larbre. Pour cela, un arbre recou-
vrant, dont la racine est le routeur multicast dsign de lhte metteur, assure la connectivit vers
les routeurs multicast dsigns des htes destinataires. Pour le multicast IP, lIETF a propos
plusieurs protocoles de routage multicast, dont DVMRP (Distance Vector Multicast Routing Proto-
col), MOSPF (Multicast extensions to OSPF), PIM (Protocol-Independant Multicast) et CBT
(Core-Based Tree).
Annexe I Prsentation de la technologie multicast IP 869
Les protocoles de routage multicast construisent des arbres de distribution en examinant la table de
routage dun protocole daccessibilit unicast. Certains protocoles, tels PIM et CBT, utilisent la
table de transmission unicast. Dautres emploient leurs propres tables de routage dinformations
daccessibilit unicast. DVMRP utilise son propre protocole de routage par vecteur de distance, et
OSPF sa propre base de donnes dtats de liens, afin de dterminer comment laborer des arbres de
distribution bass sur la source.
Ces protocoles sont diviss en deux catgories : ceux qui oprent en mode dense (DM, Dense
Mode), et ceux qui oprent en mode clairsem (SP, Sparse Mode). Les protocoles DM supposent
que tous les routeurs sur le rseau auront besoin de distribuer du trafic multicast pour chaque groupe
multicast (par exemple, presque tous les htes du rseau participent chaque groupe multicast). Par
consquent, ils construisent des arbres en inondant initialement le rseau tout entier, puis en limi-
nant le faible de nombre de chemins exempts de destinataires. A linverse, les protocoles SM suppo-
sent que relativement peu de routeurs sur le rseau seront impliqus dans chaque multicast. Ils
dbutent donc par un arbre vide, auquel ils ajoutent des branches uniquement lorsquils reoivent
des demandes explicites dadhsion un groupe multicast. Les protocoles DM (MOSPF, DVMRP
et PIM-DM) conviennent mieux dans des environnements LAN avec des groupes de destinataires
denses, tandis que les protocoles SM (CBT et PIM-SM) sont plus appropris dans des environne-
ments WAN. PIM est galement capable de fonctionner en mode dense, en adaptant son comportement
en fonction des caractristiques de chaque groupe de destinataires.
Processus multicast
La Figure I.2 illustre un processus multicast dans lequel un client reoit un flux multicast vido de
la part dun serveur. Ce processus comprend les tapes suivantes :
1. Le client envoie un message dadhsion IGMP (Join) vers son routeur multicast dsign.
Ladresse MAC de destination utilise correspond ladresse de classe D du groupe rejoint, et
non celle du routeur. Le corps du datagramme IGMP inclut galement ladresse de groupe de
classe D.
2. Le routeur enregistre le message dadhsion, et utilise PIM, ou un autre protocole de routage
multicast, afin dajouter ce segment dans larbre de distribution multicast.
3. Le trafic multicast IP mit par le serveur est maintenant distribu sur le sous-rseau du client via
le routeur dsign. Ladresse MAC de destination correspond ladresse de classe D du groupe.
4. Le commutateur reoit le paquet multicast, et examine sa table de transmission. Sil nexiste pas
dentre pour cette adresse MAC, le paquet est transmis sur tous les ports dans le domaine de
broadcast. Lorsquune entre existe dans la table du commutateur, le paquet est transmis unique-
ment sur les ports dsigns.
5. Avec IGMPv2, le client peut mettre fin son appartenance au groupe en envoyant un message
Leave IGMP au routeur. Avec IGMPv1, le client reste membre du groupe, jusqu ce quil omette
de rpondre la requte du routeur. Les routeurs multicast envoient une requte IGMP priodique
tous les groupes dhtes multicast ou un groupe spcifique sur le rseau, afin de dterminer
ceux qui sont toujours actifs. Chaque hte respecte un court dlai alatoire avant de rpondre la
requte, et rpond seulement si aucun autre hte dans le groupe na encore rpondu. Ce
mcanisme vite une congestion sur le rseau.
870 Partie III Annexes
Figure I.2
Processus multicast.
Serveur vido
Routeur
Epine dorsale
Routeur
Flux vido
Routage multicast
Commutateur
Client
m Une pine dorsale route hautement performante, avec une connexion commute vers lmetteur
et les htes destinataires, reprsente une infrastructure LAN hautement volutive pour le multi-
cast. Le summum de lvolutivit serait atteint au moyen dun rseau commut de couche2/3 de
bout en bout entre lmetteur et le destinataire. Une infrastructure commute est prfrable, car
elle fournit en gnral suffisamment de bande passante pour pouvoir supporter la cohabitation
dapplications unicast et multimdia sur un sous-rseau, sans ncessiter pour autant des
mcanismes particuliers de gestion de priorit ou de rservation de bande passante. Dans le cas
dune bande passante ddie pour chaque ordinateur de bureau, la commutation permet de
rduire considrablement les collisions Ethernet qui peuvent perturber le trafic multimdia en
temps rel ( noter quune bande passante duplex limine compltement ces collisions). Un
rseau mdia partag peut galement tre adopt pour des applications audio de faible bande
passante ou pour des projets pilotes limits.
m Les commutateurs ne sont pas tous adapts la transmission multicast. Ceux qui conviennent le
mieux possdent une structure de commutation qui permet la transmission du trafic multicast
vers un grand nombre de membres de groupes directement connects, sans avoir subir une
charge excessive. Le commutateur peut ainsi grer le nombre grandissant dapplications multi-
cast, sans que dautres trafics ne soient affects. Les commutateurs de niveau 2 doivent
galement tre dots de certaines fonctionnalits multicast, afin dviter dinonder tous leurs
ports avec ce trafic. Pour cela, diffrents types de contrles peuvent tre appliqus au trafic
multicast :
Des VLAN peuvent tre dfinis en fonction des limites dun groupe multicast. Bien que cette
approche soit simple, elle ne supporte pas les changements dynamiques dappartenance des
groupes, et ajoute la charge administrative des VLAN unicast.
Des commutateurs de niveau 2 peuvent examiner les requtes et rapports IGMP, afin de conna-
tre les correspondances de ports de membres de groupes multicast, ce qui permet de suivre
dynamiquement les changement dappartenance. Toutefois, lexamen de chaque paquet de
donnes et de contrle multicast peut consommer une grande quantit de ressources proces-
seur, mais galement dgrader les performances de transmission et augmenter la latence.
Le protocole GARP (Generic Attribute Registration Protocol) [IEEE 802.1p] peut tre utilis
afin de permettre un systme terminal de communiquer directement avec le commutateur, de
faon joindre un groupe 802.1p correspondant un groupe multicast. Ainsi, la charge de
configuration de groupes multicast peut, en grande partie, tre transfre de la couche 3 vers
la couche 2, ce qui convient mieux sur de grands rseaux linaires commuts.
Le rle traditionnel du routeur en tant que point de contrle du rseau peut tre prserv en
dfinissant un protocole multicast de communication routeur-commutateur, tel le protocole
CGMP (Cisco Group Multicast Protocol), ce qui permet au routeur de configurer la table de
transmission multicast du commutateur afin de reflter les informations dappartenance
actuelles.
m Le large dploiement de la transmission multicast sur des intranets ou sur des rseaux WAN
implique obligatoirement de traverser plusieurs limites de sous-rseaux et sauts de routeur. Les
routeurs intermdiaires et les commutateurs de niveau 3 entre les metteurs et les destinataires
doivent tre configurs pour le multicast IP. Au minimum, les routeurs en entre et en sortie de
872 Partie III Annexes
lpine dorsale devraient implmenter la transmission multicast IP. Si les routeurs dpine
dorsale ne supportent pas cette fonctionnalit, un tunnel IP (qui encapsule les paquets multicast
dans des paquets unicast) peut tre exploit en tant que solution temporaire, afin de relier des
routeurs multicast. Bien que la plupart des versions rcentes de logiciels de routeurs incluent un
support pour le multicast IP, il nexiste pas encore de protocole de routage multicast reconnu
comme standard de lindustrie et support par tous les fabricants, ce qui entrane un problme
dinteroprabilit sur les pines dorsales qui comprennent des routeurs multifabricants. Le choix
dun protocole de routage multicast (entre DVMRP, MOSPF, PIM et CBT) devrait tre fond sur
les caractristiques de lapplication multicast dploye, ainsi que sur la densit et lemplacement
gographique des htes destinataires.
de pouvoir tre visualis la demande. Microsoft prvoit dtendre la couverture vido des vne-
ments de lentreprise tous les sites Microsoft dAmrique du Nord. Il a galement fait savoir que
les rcentes utilisations du rseau NetShow avaient permis de raliser des conomies quotidiennes
de lordre de plusieurs millions de dollars. Par exemple, la diffusion multicast dune runion impor-
tante de la socit limine les cots associs la location dune salle et au transport des 5 000
employs du campus. Microsoft a galement ralis des conomies substantielles en matire de
productivit, puisque de nombreux employs exploitent la visualisation la demande, afin de limi-
ter les interruptions de leurs cycles de travail. Un autre bnfice moins vident du rseau multicast
est lamlioration de la qualit des communications, car tous les employs peuvent maintenant tre
pris en compte dans la diffusion des messages importants de lentreprise pour un cot supplmen-
taire insignifiant.
Pour assurer une utilisation conomique de lespace de stockage sur disque, et maintenir les ressour-
ces du rseau, la bande passante des transmissions vido est optimise 110 Kbit/s. Les serveurs
NetShow utiliss pour stocker le contenu multimdia sont situs dans le service informatique central,
en compagnie denviron 2 000 autres serveurs. Le contenu NetShow en temps rel est dlivr partir
du site de campus Microsoft Studios. Lpine dorsale pour le trafic multicast est forme dun
maillage de routeurs de site Cisco 7500 qui excutent PIM et CGMP, interconnects sur un rseau
dpine dorsale de campus LANE ATM. Lun des cinq ELAN de lpine dorsale est ddi au trafic
multicast. La rplication des paquets multicast au niveau des branches de larbre de distribution PIM
est ralise par les commutateurs ATM, avec laide du serveur BUS (Broadcast and Unknown
Server) point-multipoint. La connectivit physique des commutateurs ATM de site sappuie sur
linfrastructure SONET prive de Microsoft. Chaque ordinateur de bureau dispose dune connexion
commute Ethernet 10 Mbit/s ddie, assure par des commutateurs Cisco Catalyst 5000 ou 5500
qui excutent CGMP, situs dans les armoires de cblage. Ces commutateurs sont regroups au
moyen de la technologie Cisco Fast EtherChannel, afin daugmenter leur bande passante.
Index
DLSw+ (Data Link Switching Plus) 257, 265 Donnes de rfrence, administration 467
acquittement local 257 DSL (Digital Subscriber Line) 9
commutation locale 287 DUAL (Diffusing Update Algorithm) 77
configuration
avec APPN 236 E
avec CIP 297 EARL (Enhanced Address Recognition Logic),
minimale requise 266 circuit 454
connexions dhomologues 259, 273 EIGRP (Enhanced IGRP)
contrle de flux 260 adressage 75
disponibilit 262 conception de rseaux 75
change entre routeurs 259 convergence 77
encapsulation volutivit du rseau 81
de SNA 206 intgration avec AppleTalk 583
DLSw Lite 281 mtriques 584
FST 279 redistribution de routes 585
HDLC directe 280 slection de route 584
TCP 278 intgration avec IPX 572
quilibrage de charge 263, 273 mtriques 576
tablissement dun circuit 259 redistribution de routes 576
volutivit 261 rduction du trafic SAP 579
homologues slection de route 576
actifs multiples 278 masques VLSM 75
contrle de la slection 276 mises jour
de secours 276 partielles 81
dynamiques 284 SAP incrmentielles 835
groupes 261, 283 redistribution de routes 561
inter-zones 261, 283 scurit 81
intgration avec slection de route 76
Ethernet 268 synthse de routes 76
QLLC 270 topologie 75
SDLC 268 ELAN (Emulated LAN) 154, 156
Token Ring 267 arbre recouvrant (Spanning-Tree) 164
listes de ports 282 configuration
pare-feu dexploration 262 de la base LECS 157
redondance 273 des noms de LEC 157
rduction de nuds APPN 216 connexions VCC
routage Configure Direct 157
DDR 285 Control Direct 158
ODR 286 Control Distribute 158
snapshot 286 Multicast Forward 159
standard DLSw 258 Multicast Send 159
surcharge de service dencapsulation 281 enregistrement LEC/LES 158
tolrance aux pannes 263 interface ILMI 157
DLU (Dependent Logical Unit) Voir Units interrogation du LECS 157
logiques IBM, dpendantes recherche du serveur BUS 159
886 Index
Fonction de rappel G
DDR 343
Generic Routing Encapsulation (GRE) 34
RNIS 692 Gestion du trafic
Formats accs commut 31
dadresses ATM 146 adressage de soutien 44
de trames alimentation redondante 53
encapsulation 281 broadcast 45
traduction Voir Trames chemins alternatifs 31
Forward Explicit Congestion Notification (FECN) contrle
186 de congestion 225
Frame Relay de flux DLSw 260
adaptation de trafic 190 dcouverte de routeur 49
distribution stratgique 39
bande passante consomme 74
encapsulation 32
BECN 186
quilibrage de charge 30
bit DE 187 files dattente
BNN/BAN (Border Network Node/Border de priorit 26
Access Node) 205 quitables pondres 29
CIR 178 personnalises 28
commutation APPN via FRAS BNN/BAN 217 filtrage de zone et de service 38
conception hirarchique 178 Frame Relay 188
connexions virtuelles permanentes 178 gestion de la bande passante 38
diffusions broadcast 184 inter-zones OSPF 90
DLCI 178 liens redondants 51
volutivit 178 limitation du trafic
mises jour 286
FECN 186
SAP 579, 835
files broadcast 185
listes daccs 765
FRAS BNN et APPN 252
microsegmentation 58, 388
gestion multicast 45
de trafic multiprotocole 188 noms, proxy et cache 46
des performances 186 optimisation de lacheminement 26
interfaces virtuelles 183 pare-feu dexploration 262
mtriques de cot 186 redistribution de route 42
technologie WAN 9 rseau APPN
topologies gestion de la bande passante 225
en toile 182 mmoire consomme 228
mailles RNIS 370
scurit
hirarchiques 179
accs au mdia 48
hybrides 181
IP 764
partiellement mailles 182 segmentation de rseau 45
totalement mailles 182 services de passerelle 40
Voir aussi Voix sur Frame Relay techniques intraprotocole 27
Frame Relay Access Support Boundary Network temps de latence 225
Node Voir Frame Relay tolrance aux pannes 55
FST (Fast Sequenced Transport), encapsulation traduction de format de trame 42
de DLSw+ 279 vitesse daccs au mdia 225
888 Index
Gigabit Ethernet, technologie de LAN 7 ICMP Router Discovery Protocol Voir IRDP
GRE (Generic Routing Encapsulation) 34 Identifiants de chemins virtuels 154
Groupes IGRP (Interior Gateway Routing Protocol)
dhomologues configuration du routage 637
BGP 131 solution propritaire 14
DLSw+ 261 ILMI (Interim Local Management Interface) 157
de recherche de ligne 664 Intgration de rseaux
de rotation de numrotation 322 ATM 148
de secours Hot Standby 783 DLSw+ 266
de travail, commutateurs ATM 150 LAN/WAN 10
RNIS 345
H tendances 11
HDLC (High-level Data Link Control) 280 Interceptions SNMP
de routeurs 513
High Performance Routing, routage APPN 208
vnements 460
Homologues
mise en uvre 467
actifs multiples 278
Interconnexion de rseaux 3
BGP
Interfaces
groupes 131
ATM
routeurs 104
UNI et NNI 152
de secours 276
CLI, administration
DLSw+ 258
bases de donnes de transmission de pont 492
dynamiques 284
chssis et environnement 488
groupes 261, 283
erreurs de pont 494
interzones 261, 283
modules de commutateur 489
Hot Standby Routing Protocol Voir HSRP
ressources processeur 482
HSRP (Hot Standby Routing Protocol) 57, 169,
statistiques mmoire 518
777
taux dutilisation des ports 496
configuration 781
topologie Spanning-Tree 491
quilibrage de charge 787
utilisation des ressources processeur et
groupes de secours Hot Standby 783
mmoire 518
interaction avec protocoles routs 789
de bouclage, BGP 106
messages multicast 780
de connexion DDR
MHSRP 783
groupes de rotation 322
proxy ARP 780
modems asynchrones 321
routeurs
RNIS 321
LANE redondants 165
srie synchrones 320
virtuels 778
de numrotation DDR 315
schma de priorit 780
passives DDR 328
suivi dinterface 785
RNIS
Hub-and-Spoke (topologie) 696
daccs de base BRI 350
Hubs 20
daccs primaire PRI 355
srie synchrones 320
I
virtuelles 183
IARP (Inverse Address Resolution Protocol) 189 Interim Local Management Interface (ILMI) 157
IBM Interior Gateway Routing Protocol Voir IGRP
techniques dencapsulation 33 Intermediate System-to-Intermediate System
units logiques 27 (IS-IS) 15
Index 889
Point de contrle (CP), nud APPN 201 NBP (Name Binding Protocol) 833
Point-to-Point Protocol Voir PPP NCP (Network Control Protocols) 361
Ponts 20 niveaux de trafic broadcast 176
RSRB, rduction de nuds APPN 217 NNI (Network-to-Network Interface) 152
table de transmission 454 OSPF (Open Shortest Path First) 81
Ports OSPF ODC (On Demand Circuit) 95
analyseur SPAN 457 PIMSM (Protocol Independent Multicast Sparse
de commutateurs, administration des lments Mode) 421
critiques 465 PPP (Point-to-Point Protocol) 360
listes DLSw+ 282 Proxy ARP (Proxy Address Resolution Protocol)
Telnet VTY 731 49
PPP (Point-to-Point Protocol) Q.931 379
authentification 361, 364
RDP (Router Discovery Protocol) 833
CCP 363
ressources consommes
dlimitation de trames 360
bande passante 73
encapsulation de RNIS 360
mmoire 72
LCP 361
processeur 72
Multilink PPP (MLP) 361
NCP 361 routage
Priorit de trafic, services de lpine dorsale 26 par EIGRP 73
Problmes de conception dun rseau 12 par tat de lien 73
Processeur et protocoles 72 par vecteur de distance 73
Profils RIP (Routing Information Protocol) 50
numrotation DDR 322 SAP (Service Advertisement Protocol) 835
virtuels, RNIS 367 SGBP (Stack Group Bidding Protocol) 368
Protocoles SNA (Systems Network Architecture) 200
BECN (Backward Explicit Congestion Notifica- SSP (Switch-to-Switch Protocol) 258
tion) 186 SSRP (Simple Server Replication Protocol) 165
CCP (Compression Control Protocol) 363 STP (Spanning-Tree Protocol) 456
CDP (Cisco Discovery Protocol) 457 topologie de rseau 68
CGMP (Cisco Group Management Protocol) 64 UNI (User-to-Network Interface) 152
CHAP(Challenge Handshake Authentification Voir aussi Routage
Protocol) 49 Proxy ARP (Address Resolution Protocol) 49
de routage DDR 327
Proxy, rsolution
ES-IS (End System-to-Intermediate System) 49
ARP 46
FECN (Forward Explicit Congestion Notification)
NBP 46
186
PSDN (Packet Switched Data Network)
HSRP (Hot Standby Routing Protocol) 57
HSRP (Hot Standby Routing rProtocol) 165 circuits virtuels 177
IARP (Inverse Address Resolution Protocol) 189 conception hirarchique 172
IP (Internet Protocol) 715 diffusions broadcast 173, 176
IRDP (ICMP Router Discovery Protocol) 49 Frame Relay 178
L2F (Level 2 Forwarding) 368 topologies
LCP (Link Control Protocol) 361 en toile 174, 182
MLP (Multilink PPP) 361 partiellement mailles 175, 182
MMP (Multichassis MultiLink PPP) 367 totalement mailles 175, 182
MPOA (Multiprotocol over ATM) 587 PVC (Permanent Virtual Circuit), sur ATM 588
Index 895
Q commuts
broadcast 827
Q.931, RNIS 379
de campus 63
QLLC (Qualified Logical Link Control), configu-
ration de DLSw+ 270 conception
choix dun modle 23
R valuation
des besoins utilisateur 13
Rappel (callback)
des cots 15
DDR 343
RNIS 364 exigences 12
RDP (Router Discovery Protocol) 833 modle hirarchique 24
Redistribution de routes 42 modlisation de la charge de travail 16
BGP problmes 12
dynamiques 111 solutions propritaires ouvertes 14
statiques 110 test de sensibilit du rseau 17
EIGRP et OSPF 561 dentreprise commuts 681
ajout dans une liste de distribution 568 DDR 315
configuration 561 volutifs 663
tats de liens 566 adresses de prochain saut 667
vrification 565 adresses de sous-rseau 666
Redondance authentification 666
APPN 220, 221 choix du mdia 664
DDR configuration des routeurs 670, 676
interfaces de secours 332 convergence 669
lignes de secours 331, 653 matriel 665
routes statiques flottantes 333 protocoles requis 664
LANE 164 schmas de trafic 664
liaisons WAN 51 stratgie de routage 668
modle multicouche LAN 404 de campus 4, 388
OSPF 83 de FAI commuts 683
routeurs DLSw+ 273
EIGRP 75
SSRP 168
quipements 20
systmes dalimentation 53
tendus Voir WAN
topologies
fdrateurs Voir Epine dorsale
partiellement mailles 53
Frame Relay 178
totalement mailles 53
guerre de linformation 720
Rflecteurs de route, BGP 136
Relais de trames Voir Frame Relay hirarchiques
Rseau de connexion, rduction de liens APPN 211 Frame Relay 178
Rseau Numrique Intgration de Services Voir PSDN 172
RNIS intgration 11
Rseaux interconnexion 3
commutation de paquets Voir PSDN IP 68
AppleTalk 832 broadcast 828
APPN 199 valuation de ltat de scurit 717
ATM 139 scurit 715
896 Index
Syslog Telnet
administration rseau 460 administration 459
contraintes de mmoire 478 ports
filtrage des messages 526 TCP 734, 736
journalisation 460 VTY 731
messages scurit daccs 731
de routeurs 512 Temporisateurs, linger 277
lis lenvironnement 516 Temps de latence 225
mise en place de la journalisation 466 Terminaison numrique de rseau, RNIS 350
Terminal Access Controller Access Control
Sysplex (System Complex)
System Voir TACACS
APPN et routeurs CIP 244
Test de sensibilit du rseau 17
CMOS 9672 245
Token Ring
routage commutation LAN 7
APPN 247 configuration de DLSw+ 267
de sous-zone 245 Tolrance aux pannes
de sous-zone/APPN 246 DLSw+ 263
SNA et interrseau multiprocole 248 fonctions intraprotocoles 56
System Services Control Point (SSCP) 223 HSPR 777
Systmes matriel de secours et chemins alternatifs 56
autonomes, OSPF 81 problmes de mdia 55
dalimentation redondants 53 rseaux LANE
de Signalisation 7 (SS7) 358 protocole par arbre recouvrant 165
routeurs redondants (protocole HSRP) 165
T services redondants (protocole SSRP) 165
segmentation 55
Tables
Topologies
CEF, commutation CEF 554
DDR 317
de commutation 21
EIGRP 75
de hachage, commutation rapide 545
en toile
de routage 21 Frame Relay 182
de voisinage, commutation CEF 554 PSDN 174
TACACS (Terminal Access Controller Access mailles
Control System) 48, 755 hirarchiques, Frame Relay 179
accs hybrides, Frame Relay 181
non privilgi 755 OSPF 82
privilgi 755 partiellement mailles
cartes daccs jeton 756 Frame Relay 182
TCP/IP (Transmission Control Protocol/Internet interfaces virtuelles 183
Protocol), encapsulation 278 PSDN 175
TDM (Time Division Multiplexing), file dattente redondance 53
quitable pondre 29 rduction des mises jour APPN 211
TDU (Topology Database Update) Voir Nuds routage 68
APPN totalement mailles
Technologies Frame Relay 182
LAN 6 PSDN 175
WAN 8 redondance 53
902 Index