Simon MUYAL Mastère SCR -9 – 1. 1 . 2. 2 Network Services Cette activité a pour mission de concevoir, déployer, intégrer et maintenir les réseaux des grandes ou moyennes entreprises de l’ensemble du secteur des services. Ses offres: Audit Intégration de Réseaux Service clients 1. 1. 2. 3 solutions et C Ses missions sont de services associés aux systèmes de commu pour certaines activités (banques, etc… – OF Swipe v orr: er une offre de velopper les services Pour cela ses offres son très larges et englobent aussi bien : la sécurité des communications et applications distribuées, es solutions d’administration, supervision, hypervision des systèmes de communication, la convergence multimédia des technologies réseau l’interaction entre l’opérateur et ses clients (Centres d’appels) migration, conversion de données proposés sont les suivants : Infogérance de systèmes distribués, nfogérance de production, Infogérance de réseaux, nfogérance de bout en bout, nfogérance globale Mastère SCR – 12 – 1. . 2 RENATER et IPv6 IPv6 est la nouvelle version du protocole IP de l’Internet. Ce protocole a été conçu pour s’affranchir des limitations d’IPv4 (pénurie d’adresses IPv4, xplosion des tables de routage… ) mais aussi pour prendre en compte les avancées issues des recherches sur les réseaux, comme fauto configuration, la mobilité, le multicast ou encore la sécurité. En Europe, les réseaux de la recherche sont très actifs pour préparer et commencer cette migration, et proposer un service IPv6 pour les expérimentations des premiers utilisateurs.
Renater est au premier plan de cette évolution : dans Renater 3, le service IPv6 est disponible dans chaque point de présence régional de l’épine dorsale. Tous les routeurs de Renater 3 sont « dual stack » (double pile IPv4 et IPv6). Depuis le 15 Avril 2003, la connexion de Renater avec GEANT transporte du trafic IPv6 en mode natif. 1. 3 Présentation du GIP RENATER 1. 3. 1 Historique 20F 14 Son métier : Maitrise d’ouvrage Le GIP Renater est le maître d’ouvrage de la partie commune de Renater, constituée de son épine dorsale, des liaisons internationales, de ses actions pilotes, et du service SFINX.
Il est le coordinateur du réseau pour l’ensemble des communautés académique et de recherche. Il représente le réseau Renater auprès des institutions françaises et étrangères, et notamment auprès des autres réseaux de la recherche. Mastère SCR – 13 – 2. Etudes des besoins L’administration des réseaux se décompose en un ensemble de tâches, chacune ayant une fonction bien particulière. Afin de mieux définir les besoins, nous allons d’abord présenter brièvement l’ensemble de ces tâches: Supervision – Monitoring : La supervision est essentielle à la bonne administration d’un réseau.
Elle consiste à vérifier qu’un ensemble d’équipements constituant un réseau (Routeurs, switchs, serveurs, PCs) fonctionne correctement. Elle permet donc de connaître à tout moment la disponibilité du réseau. Un standard est utilisé dans la quasi- otalité des réseaux pour réaliser ceci. Il s’agit de SNMP (Simple Network Management Protocol) : Ce protocole permet de collecter diverses informations stockées dans les équipements du réseau dans des bases de données appelées MIB (Management Information uipements sont aussi 3 4 réseaux.
Elle permet donc d’évaluer le type et la quantité de trafic dans le réseau. La métrologie a pris ainsi une place importante dans le monde de l’administration des réseaux: Parmi les utilisateurs de ce service se trouvent les opérateurs qui l’emploient entre autres pour suivre la consommation de leurs lients et vérifier qu’elle est conforme à leur contrat (Accounting — Billing). De même, ils vérifient que leurs liens physiques n’atteignent pas la capacité limite. Grâce aux fonctions de quelques outils, il est possible de faire du « reporting ».
De cette façon, il est plus facile de prévoir le dimensionnement du réseau lors de migrations. Sécurité : De nos jours, il est indspensable d’avoir une politique de sécurite dans un réseau afin d’assurer principalement l’intégrité et la confidentialité des données. Pour cela, il faut mettre en place plusieurs niveaux de sécurité. Premièrement, il est nécessaire de sécuriser l’accès physique aux équipements réseaux (routeurs, switch) et aux serveurs (collecteurs, serveur d’authentification… – Ensuite, afin de restreindre l’accès aux utilisateurs non autorisés, des filtres sur les adresses IP et les ports (Access List, PTables, ACL) ainsi que sur les services applicatifs (Certificats de sécurité, PKI) sont mis en place. Finalement, I ransmise sur le réseau 4 4 sûre et efficace. Topologie : La topologie permet de connaître à travers l’élaboration de schémas l’architecture du réseau. II est donc très important de maintenir à jour es schémas pour avoir une vision correcte du réseau.
Mastère SCR – 14 – Inventaire : L’inventaire permet de recenser l’ensemble des équipements constitue un réseau. Il a aussi pour but de tenir à jour la configuration de ces équipements. Si un inventaire n’est pas fait, il se peut, par exemple, que certains équipements du réseau ne soient pas supervisés. C’est pour cela qu’il est important de maintenir à jour l’inventaire, en même temps que le réseau évolue. Actuellement, il existe un éventail d’outils permettant d’administrer des réseaux IPv4. Il est nécessaire de disposer également d’un certain nombre ‘instruments pour administrer les réseaux IFh. 6. Quelques outils existants en IPv4 sont déj? disponibles en IPv6. Le fait d’administrer des réseaux IPv6 ne signifie pas que les outils employés transportent l’information en IPv6. En effet, la majorité des équipements sur le réseau étant en Dual Stack (IPv4 – IPv6), raccès aux équipements peut se faire en IPv4 pour récupérer des informations sur la supervision IPv6. Cette solution est retenue très souvent car certaines 4 différencier les interfaces dédiées au trafic des Interfaces de supeNision.
Ainsi, un plan d’adressage est défini et permet aux NOC d’accéder aux ?quipements. Cependant, un effort reste à faire pour atteindre le même niveau de supervision qu’en IPv4. Les récentes normalisations réalisées par les organismes comme l’IETF ne sont pas encore mises en œuvre par les constructeurs déquipements ou les éditeurs de logiciels de supervision. Par exemple, les MIB permettant de mesurer le trafic Pv6 sont pratiquement inexistantes chez des constructeurs comme Cisco. 2. 1 Outils de supervision utilisés en IPv4 2. 1. Au NOC (CS) Afin de superviser de façon globale des réseaux comme RENATER, le NOC utilise des plate-formes de supervision telles que HP OpenView. Cette plate-forme intègre un ensemble d’outils très vaste (génération de cartes réseaux, interrogation des équipements, alarmes… )- Cependant, ces plate-formes ne répondent pas forcement à des besoins précis. Ainsi très souvent, des programmes sont développés pour automatiser des tâches de supervision bien précises. par exemple, la configuration ou la mise à jour des versions logicielles des routeurs peut se faire avec l’utilisation de scripts.
Ces scripts sont écrits généralement en perl ou en Shell Unix. D’autre part, des outils de métrologie sont employés au NOC RENATER. celui qui est tilisé principalement est MRTG. Il a le grand avantage de générer les graphes sur le web et d’être gratuit. Il se base sur des re uêtes SNMP collectant les informations de trafic sur 6 4 sa configuration est simple : Détection des interfaces actives sur un équipement lors de la génération de la configuration, puis interrogation par polling SNMP sur rensemble de ces interfaces.
Mastère SCR – 15 D’autres outils semblables tels qu’Infovista sont employés pour suivre le trafic de réseaux tels que GÉANT. Cette application se base aussi sur des requêtes SNMP pour collecter les informations sur le trafic. Infovista peut générer des rapports sur l’ensemble des équipements du réseau. Avec ces rapports, il est possible d’analyser rapidement le trafic sur l’ensemble des liens pour une période donnée (semaine, moi, an). Cependant, il est nécessaire de configurer l’ensemble de ces équipements avec les mêmes paramètres pour que les rapports générés soient cohérents.
Les compteurs utilisés par nfovista sont codés sur 64 bits (au lieu de 32 bits), ce qui évite la remise à zéro régulière, particulièrement dans le cas des interfaces ayant un débit élevé. Cette application demande l’installation de plug-in afin de onsulter les graphes sur le web. 2. 1 . 2 Au GIP Renater Bien que l’administration soit réalisée par le NOC, le GIP Renater utilise aussi des outils de métrologie. En effet, ces outils permettent principalement de vérifier si les débits définis dans les contrats des différents sites sont respectés.
De plus, ils permettent de mieux dimensionner le réseau et de détecter des problèmes de sécurité (Déni de services…. ). Deux applications ont été dévelop ées au GIP ; la première se base sur le protocole SNMP et la fonctionnalité Netflow, proposée dans les versions logicielles (IOS) es routeurs Cisco. 2. 1. 2. 1 SNMP Le premier outil de métrologie se base sur un ensemble de programmes écrits en C permettant de collecter les informations sur les MIB des routeurs de RENATER-3 via SNMP.
Ces informations sont stockées dans une base de données Mysql et peuvent être consultées via le web à travers une interface réalisée en PHP (consultable par le personnel du GIP). Les informations collectées sont les champs de la MIB (OID) correspondant au trafic et à la charge CPU des routeurs. Avec cet outil, le GIP est capable de connaître les sites qui dépassent le débit autorisé. En effet, dans le contrat d’un site raccordé à RENATER-3, un débit est spécifié et le site est tenu de le respecter. Cet outil permet aussi de mieux dimensionner le réseau.
Ainsi lors d’une migration, il est possible d’évaluer les liaisons qui se rapprochent de la saturation et qui doivent être mises à Jour (cf. Annexe l). Il est possible aussi de détecter ou confirmer des attaques de type Déni de Service (Denial of Service DOS). En effet, lors d’une attaque de ce type, on peut observer soudainement un grand écart entre le trafic entrant et le trafic sortant sur l’équipement (cf. Annexe Il). Ceci ne permet pas d’affirmer qu’il s’agisse d’un déni de service, mais permet de repérer une anomalie ou de confirmer une attaque de ce type. . 1 . 2. 2 Netflow Le réseau RENATER-3 étant constitué d’équipements Cisco, le deuxième outil B4 équipements. Netflow permet de caractériser les flux de données et d’avoir des statistiques précises sur le trafic. Mastère SCR – 16 – un flux est caractérisé par les adresses IP source et destination, les ports source et destination ainsi que le protocole, le type de service (Type of Service TOS) et Pindex de l’interface. our un flux donné, Netflow renvoie les informations suivantes : Les compteurs sur les paquets et les octets reçus et envoyés.
Le temps de début et fin du flux. Le numéro des interfaces d’entrée et sortie. Le protocole de transport employé (TCP ou UDP) Des Informations sur le routage (Next-hop, AS source et destination, masque réseau source et destination). Les routeurs envoient régulièrement les informations concernant les flux vers un collecteur Netflow. un ensemble de scripts écrits en C traite les informations et les stockent dans une base de données Mysql. Connaissant la plage ‘adresses attribuée à un site, les données peuvent être agrégées.
Des histogrammes sur les flux peuvent être consultés sur le web à travers une interface PHP. Voici le schéma décrivant l’architecture de l’outil : Avec cet outil, le GIP est capable de caractériser le trafic (FTP, Web, Peer to peer… ) entre RENATER et les diffé Annexe Ill). Ainsi, il est Netflow (8Mb/s en journée, protocole UDP) Programme résident en C Requêtes SQL Mastère SCR – 17 – 2. 2 Etat de l’art des MIB IPv6 La croissance rapide des réseaux et la diversité des systèmes pendant la dernière écennie ont entraîné le besoin d’une gestion globale des infrastructures réseaux.
SNMP s’est avéré être une bonne solution proposée et standardisée par l’IETF (Internet Engineering Task Force). Ainsi, le protocole SNMP et les MIB sont devenus les deux éléments principaux du modèle de supervision de réseaux. Le protocole SNMP étant indépendant de l’architecture du protocole IP, son évolution vers IPv6 n’a pas représenté un problème majeur. La première implantation de SNMP pour le protocole IPv6 a été réalisée par l’équipe du Coria de l’université de Nancy (NET-SNMP OpenSource) et a été disponible dans la version 5. . 3 de net- snmp, en mai 2002. Avant cette première version, l’administration des réseaux IPv6 était possible du fait que les équipements étaient Dual Stack IPv4-lPv6. En effet, il était possible d’accéder en SNMP sur un équipement en IPv4 et de récupérer des champs de la MIB concernant IPv6. Ainsi, jusqu’ici, il n’y avait pas un grand besoin d’avoir une version de SNMP IPv6. Aujourd’hui, certains réseaux projets ne véhiculent que du trafic IPv6 d’où la nécessité de disposer d’une version IPv6 pour le transport du protocole SN 0 4