Académique Documents
Professionnel Documents
Culture Documents
Algorithme SPF
Lalgorithme de Dijkstra est en gnral dsign sous le nom dalgorithme SPF (shortest path first - chemin le plus court dabord). Cet algorithme cumule les cots de chaque chemin, depuis leur source jusqu leur destination.
Dans le schma, chaque chemin est tiquet avec une valeur de cot arbitraire. Le cot du plus court chemin pour que R2 envoie un paquet au rseau local rattach R3 est de 27. Notez que ce cot de 27 pour atteindre le rseau local rattach R3 nest pas le mme pour tous les routeurs. Chacun deux dtermine son propre cot vers chaque destination de la topologie
Chaque routeur prend connaissance de ses propres liaisons et de ses rseaux directement connects
Lorsque vous configurez et activez correctement les interfaces, le routeur reoit des informations de la part des rseaux qui lui sont directement connects. Quel que soit le protocole utilis, les rseaux directement connects font partie de la table de routage.
Paquet hello
La deuxime tape du processus de routage dtat des liaisons est la suivante : chaque routeur est responsable de la dtection de ses voisins sur les rseaux directement connects. Les routeurs avec protocoles de routage dtats des liaisons utilisent le protocole Hello pour dtecter les voisins sur ses liaisons. Un voisin est un routeur qui prend en charge le mme protocole dtat des liaisons.
1. R1 ; rseau Ethernet 10.1.0.0/16 ; Cot 2 2. R1 -> R2 ; rseau srie point--point ; 10.2.0.0/16 ; Cot 20 3. R1 -> R3 ; rseau srie point--point ; 10.3.0.0/16 ; Cot 5 4. R1 -> R4 ; rseau srie point--point ; 10.4.0.0/16 ; Cot 20
Chaque routeur diffuse ses informations dtats des liaisons lensemble des routeurs dtat des liaisons dans la zone de routage. Lorsquun routeur reoit un LSP dun routeur du voisinage, il lenvoie immdiatement toutes les autres interfaces, part celle par laquelle qui la reu. Ce processus cre un effet de diffusion de LSP partir de tous les routeurs de la zone de routage.
Chaque routeur de la zone de routage peut maintenant utiliser lalgorithme SPF pour construire larborescence SPF
(suite)
Le protocole OSPF
Le protocole Open Shortest Path First (OSPF) est un protocole de routage dtat des liaisons qui a t dvelopp pour remplacer le protocole de routage vecteur de distance RIP. RIP tait acceptable au dbut des rseaux et de lInternet, mais le fait quil choisisse la meilleure route en prenant en compte uniquement le nombre de sauts est rapidement devenu inacceptable dans des rseaux plus grands ncessitant une solution de routage plus fiable. OSPF est un protocole de routage sans classe qui utilise le concept de zones pour son volutivit.
Les principaux avantages dOSPF sur RIP sont une convergence rapide, et une volutivit vers la mise en uvre de rseaux bien plus importants.
Protocole OSPF
La notion de cot
Supposons que du routeur R1 on cherche atteindre le rseau 192.168.1.0. Dans une telle situation, RIP aurait lu la route passant par R5 puisque c'est la plus courte en termes de saut.
Cependant, imaginez que les liens reprsents sous forme d'clairs soient "rapides" (type Ethernet 100 Mbps par exemple) et que les liens "droits" soient "lents" (type Ethernet 10 Mbps par exemple). Le choix de RIP n'est plus du tout pertinent !
Protocole OSPF
La notion de cot
La mesure OSPF sappelle le cot. : Un cot est associ au niveau de la sortie de chaque interface de routeur. Ce cot est configurable par un administrateur systme. Plus le cot est faible, plus linterface sera utilise pour acheminer le trafic de donnes.
Pour calculer un cot, lIOS de Cisco cumule les bandes passantes des interfaces de sortie depuis le routeur vers le rseau de destination. chaque routeur, le cot dune interface est dtermin par le calcul de 10 la puissance 8 divis par la bande passante en bits/s. Le rsultat est appel bande passante de rfrence. On divise 10 la puissance 8 par la bande passante de linterface pour que les interfaces dont les valeurs de bande passante sont les plus hautes obtiennent un cot infrieur, aprs calcul. Souvenez-vous que, dans les mesures de routage, la route ayant le cot le moins lev est la route prfre
Protocole OSPF
La notion de cot
Le protocole Hello
Le premier type de paquet OSPF est le paquet hello. Les paquets Hello sont utiliss pour : 1. dcouvrir des voisins OSPF et tablir des contiguts ;
2. annoncer les paramtres sur lesquels les deux routeurs doivent saccorder pour devenir voisins ;
3. dfinir le routeur dsign (DR) et le routeur dsign de secours (BDR). Dans la plupart des cas, les paquets OSPF Hello sont envoys en multidiffusion une adresse 224.0.0.5
Protocole Hello
1- Dtection des voisins
Dans le schma, les routeurs OSPF envoient des paquets Hello sur toutes les interfaces OSPF pour dterminer sil existe des voisins sur ces liaisons.
Les informations contenues dans les paquets Hello OSPF comprennent lID routeur OSPF du routeur qui envoie le paquet Hello.
La rception dun paquet Hello OSPF confirme un routeur quil existe un autre routeur OSPF sur la liaison. OSPF tablit ainsi des contiguts avec le voisin.
Protocole Hello
2- Intervalles des paquets Hello et Dead OSPF
Avant que deux routeurs puissent former une contigut de voisinage OSPF, ils doivent sentendre sur des valeurs tels que : lintervalle Hello OSPF indique la frquence laquelle un routeur OSPF envoie des paquets Hello. Par dfaut, les paquets OSPF Hello sont envoys toutes les 10 secondes. lintervalle Dead (arrt) Lintervalle Dead est la priode, exprime en secondes, pendant laquelle le routeur attendra de recevoir un paquet Hello avant de dclarer le voisin hors service . Cisco utilise par dfaut le quadruple de lintervalle Hello.
Si lintervalle Dead expire avant que les routeurs ne reoivent un paquet Hello,
OSPF supprime le voisin de sa base de donnes dtat des liaisons. Le routeur diffuse alors linformation dtat des liaisons concernant le voisin hors service vers toutes les interfaces OSPF.
Protocole Hello
Configuration des compteurs OSPF
Les routeurs OSPF doivent disposer des mmes intervalles HELLO et des mmes intervalles d'arrt (dead) pour changer des informations. Par dfaut, lintervalle darrt est quatre fois plus long que lintervalle HELLO. Cela signifie que le routeur aurait l'opportunit d'effectuer quatre envois de paquet HELLO avant dtre dclar arrt.
Protocole Hello
Configuration des compteurs OSPF Pour configurer les intervalles HELLO et les intervalles darrt sur une interface, utilisez les commandes suivantes:
Router(config-if)#ip ospf hello-interval secondes Router(config-if)#ip ospf dead-interval secondes
Protocole Hello
3- Slection dun routeur dsign et dun routeur dsign de secours Les slections de DR/BDR nont pas lieu dans les rseaux point point. Donc, dans une topologie standard trois routeurs, R1, R2 et R3, il ny a pas choisir de DR ou de BDR, car les liaisons existant entre ces routeurs ne sont pas des rseaux accs multiple.
Slection du DR/BDR
Comment le routeur dsign et le routeur dsign de secours sont-ils slectionns ? On applique les critres suivants : 1. DR : est le routeur avec la priorit dinterface OSPF la plus leve.
2. BDR : Il sagit du routeur dont la priorit dinterface OSPF est la seconde valeur la plus leve. 3. Si les priorits dinterface OSPF sont gales, cest le routeur dont lID est le plus lev qui est choisi.
Exemple de DR/BDR
lID de routeur
LID de routeur OSPF permet didentifier de faon unique chaque routeur du domaine de routage OSPF. Les routeurs Cisco dfinissent leur ID de routeur en utilisant trois critres, suivant la priorit suivante :
1. Ladresse IP configure laide de la commande router-id du protocole OSPF. Router(config)#router ospf process-id Router(config-router)#router-id ip-address 2. Si router-id nest pas configur, le routeur choisit ladresse IP la plus leve parmi ses interfaces de bouclage IP. Router(config)#interface loopback number Router(config-if)#ip address ip-address masque de sous-rseau
3. Si aucune interface de bouclage nest configure, le routeur choisit ladresse IP active la plus leve parmi ses interfaces physiques.
Modification de la priorit
contrler le choix de ces routeurs laide de la commande dinterface ip ospf priority.
Router(config-if)#ip ospf priority {0 - 255}
Lors de notre discussion prcdente, la priorit OSPF tait identique. et ce, parce que la valeur de priorit par dfaut tait de 1 pour toutes les interfaces de routeur.
Ctait donc lID de routeur qui dterminait le DR et le BDR. Mais si vous remplacez la valeur par dfaut, 1, par une valeur plus leve, le routeur dont la priorit est la plus leve devient le DR, et celui qui a la seconde priorit devient le BDR. Lorsquelle est attribue un routeur, la valeur 0 empche sa slection en tant que DR ou BDR.
Le process-id (id de processus) est un nombre compris entre 1 et 65535 choisi par ladministrateur rseau.
Commande network
La commande network utilise avec le protocole OSPF a la mme fonction que lorsquelle est utilise avec les autres protocoles de routage IGP : Toute interface de routeur qui correspond ladresse rseau dans la commande network est active pour envoyer et recevoir des paquets OSPF. Ce rseau (ou sous-rseau) sera inclus dans les mises jour de routage OSPF.
Sur la figure, le rseau est dcoup en trois zones dont le backbone. Les routeurs de la zone 1, par exemple, ne connaissent pas les routeurs de la zone 2 et encore moins la topologie de la zone 2. L'intrt de dfinir des zones est de limiter le trafic de routage, de rduire la frquence des calculs du plus court chemin par l'algorithme SPF(ce qui acclre la convergence) .
Les routeurs R1 et R4 sont particuliers puisqu'ils sont " cheval" entre plusieurs zones (on les appelle ABR pour Area Border Router ou routeur de bordure de zone).
Ces routeurs maintiennent une base de donnes topologique pour chaque zone laquelle il sont connects.
Les ABR sont des points de sortie pour les zones ce qui signifie que les informations de routage destines aux autres zones doivent passer par l'ABR local la zone. L'ABR se charge alors de retransmettre les informations de routage au backbone. Les ABRs du backbone ensuite redistribueront ces informations aux autres zones auxquelles ils sont connects.
Chaque rseau doit pouvoir tre identifi par la zone auquel il appartient. Ladresse rseau peut tre celle dun rseau entier, dun sous-rseau ou ladresse de linterface. Le masque gnrique reprsente lensemble dadresses htes que le segment prend en charge
Vrification OSPF
show ip ospf neighbor
La commande show ip ospf neighbor peut tre utilise pour vrifier et rparer les relations de voisinage OSPF
Address - adresse IP de linterface du voisin laquelle ce routeur est directement connect.
State - tat OSPF de linterface. Ltat FULL signifie que le routeur et son voisin ont des bases de donnes dtat des liaisons OSPF identiques..
Dead Time - dure de temps pendant laquelle le routeur attendra un paquet Hello OSPF du voisin avant de dclarer le voisin hors service. Cette valeur est rinitialise lorsque linterface reoit un paquet Hello.
Vrification OSPF
show ip protocols
Comme indiqu dans la figure, la commande show ip protocols offre un moyen rapide pour vrifier les donnes de configuration OSPF, notamment lID de processus OSPF, lID de routeur, les rseaux dannonce du routeur, les voisins desquels le routeur reoit des mises jour et la distance administrative par dfaut, savoir 110 pour le protocole OSPF.
Vrification OSPF
show ip ospf
La commande show ip ospf peut galement tre utilise pour examiner lID de routeur et lID de processus OSPF ainsi que la dernire fois o lalgorithme SPF a t calcul
Vrification OSPF
show ip ospf interface
La mthode la plus rapide pour vrifier les intervalles Hello et Dead est dutiliser la commande show ip ospf interface
Vrification OSPF
show ip route
Comme vous le savez, le moyen le
plus rapide de vrifier la convergence OSPF est de regarder la table de routage de chacun des routeurs de la topologie.
Authentification MD5 : utilise des paramtres qui sont une cl (key : La cl est un mot de passe alphanumrique qui comporte jusqu seize caractres) key-id (L'identificateur-de-cl est un identifiant dont la valeur est comprise entre 1 et 255 ) type de cryptage ( o 0 signifie aucun et o 7 signifie propritaire)
Ces paramtres sont configurs sur chaque routeur. Les routeurs voisins doivent utiliser le mme identifiant de cl et la mme valeur de cl pour pouvoir sauthentifier
ID du routeur DR
ID du routeur BDR
E0
Router
E1
10.1.128.0
10.1.112.0
Contrler le trafic lintrieur dun rseau local Contrler le trafic depuis lextrieur (WAN) vers lintrieur d un rseau local
Router
Quelle adresse ?
192.168.10.3
OK, circulez !
Le paramtrage de lACL dcide quel hte ou groupe dhte peut (permit) ou ne peut pas (deny) transiter par le routeur.
Router
Grce aux masques gnriques (wildcard mask), le contrle peut sappliquer un rseau, un sousrseau, un hte. ACL Ne contrle pas les paquets mis par le routeur lui-mme.
In/Out
Internet
E0
Router
S0
A
E0
Router
C
Internet
S0
Le processus de contrle
Cration dACL
Si on utilise un numro on aura le choix dans une plage de nombres en fonction du protocole de couche3.
Attention: ces masques sont totalement indpendants des masques de sous-rseaux qui peuvent tre associs ip_src ou ip_dst.
L'expression permet de dcrire des oprations sur les numros de port du destinataire du paquet.
ACL standard
Les listes daccs standard vrifient ladresse dorigine des paquets IP qui sont routs. Router(config)#access-list access-list-number {deny | permit | remark} source Source = Numro du rseau ou de lhte do provient le paquet Les commentaires remark permettent de comprendre plus facilement les listes d'accs. Chaque commentaire est limit 100 caractres Exemple :
Permission ou refus
Par dfaut, ds quune liste daccs est cre, elle refuse le passage tout ce qui nest pas spcifiquement autoris De faon implicite (cela napparat pas la ligne de commande) la liste de contrle daccs se termine par linstruction refuse tout (deny any). En gnral, ladministrateur devrait donner des permissions (permit) plutt que des interdictions (deny).
Un masque gnrique est un masque de filtrage. Quand un bit aura une valeur de 0 dans le masque, il y aura
1. Le masque gnrique indique que laccs est refus tous les postes du rseau 192.168.18.0
1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1111
Masque gnrique Inverse du MSR
Les 0 signifient que le nombre doit tre pris en compte (match). Les 1 indiquent que le nombre doit tre ignor. Dans ce cas, lnonc ignore tout ce qui concerne la partie hte de ladresse.
1100 0000 . 1010 1000 . 0001 0010 . 0000 0000 0000 0000 . 0000 0000 . 0000 0000 . 1111 1110
Masque gnrique Router (config)# access-list 11 permit 192.168.18.0 0.0.0.254
Ici, lnonc ignore tout ce qui concerne la partie hte de ladresse, sauf le dernier bit. Tous les htes pairs du rseau se voient autoriser laccs.
1100 0000 . 1010 1000 . 0001 0010 . 0000 0101 0000 0000 . 0000 0000 . 0000 0000 . 0000 0000
Masque gnrique Router (config)# access-list 11 permit 192.168.18.5 0.0.0.0
Avec ce masque, les 32 bits de ladresse doivent tre prises en compte (rseau et hte) Dans ce cas, lhte 192.168.18.5 est le seul se voir autoriser laccs.
ACL tendue
Les listes daccs tendues vrifient les adresses
dorigine et de destination du paquet, mais peuvent aussi vrifier les protocoles de transport(TCP, UDP) et les numros de port(couche application). Cela donne une plus
ACL tendue
Source et le destination avec leurs masque gnrique
spcifie le numro en dcimal ou le nom d'un port TCP ou UDP. Un numro de port est un nombre compris entre 0 et 65535
Applique les restrictions daccs linterface E1 vers lintrieur Router (config)# int e1 Router (config-if)# ip access-group 101 in
ACL nomm
Les listes de contrle daccs nommes IP permettent dattribuer des noms aux listes daccs standard et tendues la place des numros. Les avantages procurs par une liste daccs nomme sont les suivants: Identifier de manire intuitive une liste daccs laide dun nom alphanumrique. Les ACL nommes permettent de modifier des listes de contrle daccs sans avoir les supprimer, puis les reconfigurer. Il est important de noter quune liste daccs nomme permet de supprimer des instructions, et dinsrer des instructions uniquement la fin de la liste. Un mme nom ne peut pas tre utilis pour plusieurs listes de contrle daccs. Une liste de contrle daccs nomme est cre avec la commande ip access-list
Modification de lACL
Vrification de la cration