Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Faciliter l'usage de services réseaux avancés : le cas de SIRES 2 sur RAP Cathe

Faciliter l'usage de services réseaux avancés : le cas de SIRES 2 sur RAP Catherine Grenet Unité Réseaux du CNRS Ludovic Ishiomin Centre Opérationnel de RAP Résumé Fiabilisation des raccordements, VPN de niveau 2 ou de niveau 3 : l'accès simultané à ces services avancés est désormais possible, à la condition que ceux-ci ne complexifient pas l'architecture à déployer. RAP est le réseau de la communauté enseignement supérieur et recherche de Paris. SIRES est le réseau privé virtuel dédié au système d'information de gestion du CNRS. La présentation détaillera l'évolution de l'architecture de routage sur RAP en insistant sur la démarche d'ingénierie adoptée. Celle-ci a eu pour résultat de proposer des mécanismes simples qui peuvent être généralisés au niveau des sites. Puis nous montrerons comment, dans ce cadre, la conception de l'architecture et la mise en place du réseau SIRES 2 sur les sites raccordés à RAP se sont trouvées grandement simplifiées. En effet, le réseau SIRES vient d'être migré vers le service de réseau privé virtuel de niveau 3 (VPN MPLS/BGP) proposé par RENATER. Nous montrerons comment dans le cas des six sites connectés à RAP, le service offert par RENATER peut être prolongé jusqu'aux sites, et comment l'architecture mise en place sur RAP peut permettre à ces sites de bénéficier de services avancés tels que le raccordement fiabilisé au VPN de manière transparente. Mots clefs L3VPN, BGP, VPN MPLS/BGP, SIRES, ingénierie. 1 Le Réseau Académique Parisien Le Réseau Académique Parisien est le réseau de la communauté enseignement supérieur et recherche de Paris. Il connecte entre eux et avec RENATER les 140 sites des 65 établissements présents sur le réseau. Le projet RAP a démarré en 1998, et le réseau est opérationnel depuis 2002 après une première étape de déploiement. Il a connu plusieurs phases d'évolution, que ce soit au niveau du nombre de sites raccordés, ou bien au niveau des services offerts. Au cours de l'année 2008, l'ensemble des actifs du réseau a été complètement renouvelé. Cette opération a eu pour conséquence de considérablement simplifier l'architecture de routage, ce qui a permis d'offrir aux utilisateurs du réseau des services de niveau 3 avancés. 1.1 Architecture du routage à l'origine Le réseau RAP est bâti autour d'un anneau optique de 5 points de présence géographiquement distribués dans Paris éclairé en Gigabit. Chaque site est raccordé à son point de présence le plus proche par une liaison optique à 100 Mégas. Cela donne une topologie de 5 étoiles reliées par un anneau. Les sites sont raccordés à un équipement de concentration et de commutation de niveau 2 et 3. Le point de présence de Jussieu est hébergé dans les mêmes locaux que le nœud RENATER de Jussieu. RAP a été conçu au départ comme un réseau de campus étendu. Par souci de simplification, et pour répondre à un objectif de migration rapide des sites de leur précédent accès au réseau vers RAP, le routage statique entre le site et RAP a été choisi. Un IGP1 est mis en place sur l'anneau, et transporte les réseaux d'interconnexion ainsi que ceux des sites. Le choix s'est porté sur 1Interior Gateway Protocol Page 1 / 12 JRES décembre 2009 OSPF2. Ce fut d'ailleurs plus un choix « par défaut » (il fallait un IGP, donc pourquoi pas celui-là !) qu'un choix étayé objectivement. Un équipement de bordure était chargé d'opérer la connexion avec RENATER. Il était connecté à l'équipement de concentration de Jussieu. Il récupérait les routes OSPF et les annonçait en BGP3 à RENATER. Il générait en retour une route par défaut dans l'OSPF. Cette architecture, représentée à la figure 1, possède le mérite de la simplicité. Elle ne présente pas de difficultés particulières concernant l'exploitation quotidienne du réseau, ce qui est avantageux lorsqu'on est en phase active de déploiement. L'ajout d'un nouveau site est une opération dont l'impact est facilement maîtrisé. Sur RAP, certains sites dits « multi-homés » disposent d'une liaison vers un fournisseur extérieur. Ils possèdent un numéro d'AS public leur permettant d'avoir deux accès Internet indépendants. Un peering BGP multi-hop4 entre leur équipement et celui de bordure avec RENATER leur permet de récupérer la table de routage globale de l'Internet, en plus des routes RAP. On remarque déjà une faiblesse dans la capacité à converger rapidement selon l'endroit où se situe la panne pour un site « multi- homé » : à son niveau, la convergence peut être rapide en cas de panne sur le lien de son deuxième accès ; à cause du « multihop », elle nécessite d'attendre la temporisation BGP en cas de problème sur le chemin emprunté pour atteindre l'équipement de bordure RAP. Figure 1 – Architecture de routage à l'origine de RAP 1.2 Mise en œuvre de BGP pour les sites Le déploiement plus conséquent de BGP sur le réseau est survenu fin 2003 lorsqu'un établissement a émis le souhait de bénéficier d'un mécanisme permettant à deux de ses sites de se secourir mutuellement, sachant qu'il disposait d'une liaison privée entre ses deux sites. Au Centre Opérationnel de RAP, nous avons estimé que d'autres établissements seraient susceptibles d'adopter une solution similaire pour certains sites dits sensibles. Nous avions donc l'objectif de concevoir une solution qui ne soit pas spécifique à cet établissement demandeur. La contrainte fixée consistait à ne pas modifier le mode de raccordement des autres sites en production. Le protocole de choix, pour échanger dynamiquement ne serait-ce que quelques routes entre domaines différents, est BGP. Un IGP nous paraissait exclu principalement à cause de l'absence de contrôle des annonces de routes reçues du site. De plus, BGP permet de mettre en place assez facilement une ingénierie de routage en jouant simplement sur différents critères. Par 2Open Shortest Path First 3Border Gateway Protocol 4Par opposition à une session BGP entre deux routeurs adjacents. Page 2 / 12 JRES décembre 2009 RENATER MALESHERBES AUTEUIL ODEON 4 4 4 4 4 4 U N I V E R S I T Y U N I V E R S I T Y Internet 4 coût OSPF peering eBGP CNAM JUSSIEU Equipement de bordure conséquent, nous avons déployé une infrastructure iBGP5 entre nos équipements. Nous avons mis en place un route-reflector6 sur l'équipement de bordure, afin de simplifier les configurations et d'éviter de déclarer au minimum 20 peerings sur chaque équipement. La figure suivante schématise l'ajout de BGP sur RAP. La destination des routes BGP est résolue récursivement sur chaque équipement via OSPF. Toutefois, après cette étape de déploiement, une évolution de la topologie de routage s'est avérée nécessaire. En effet, de part l'augmentation continue du trafic, du fait du grand nombre de sites raccordés, et pour des raisons liées à leur architecture matérielle interne, les équipements des points de présence de Jussieu et Odéon n'étaient pas capables de traiter correctement au niveau 3 le trafic en transit depuis l'extérieur vers Auteuil, Malesherbes et Cnam. Pour pallier ce problème, une étoile entre l'équipement de bordure avec RENATER et chacun des cinq points de présence a été construite à base de VLAN de niveau 2, en plus de l'anneau. La figure 2 représente la topologie logique de routage résultante. Figure 2 – Topologie logique de routage après déploiement de BGP et évolution liée à l'augmentation de trafic 1.3 Le second raccordement à RENATER Le deuxième raccordement à RENATER, intervenu fin 2006, a été l'opportunité pour RAP d'améliorer significativement la disponibilité globale du réseau pour les utilisateurs. L'objectif visé consistait à disposer d'une redondance d'accès à RENATER, en mettant en place une deuxième liaison depuis un autre point de présence que Jussieu, vers un NR7 différent. Un deuxième équipement de bordure était prévu pour ce projet. Les contraintes que nous nous sommes posées étaient les suivantes : • cette deuxième liaison ne devait pas seulement servir en cas de panne ou de maintenance de la première : le meilleur moyen de s'assurer qu'elle fonctionne correctement, c'est de l'utiliser en permanence ; • la nouvelle architecture ne doit pas modifier du point de vue des sites leur mode de raccordement à RAP ; • nous souhaitions éviter en temps normal le trafic asymétrique sur le réseau. Le mécanisme offert par RENATER pour annoncer une même route à deux NR différents consiste à lui ajouter une communauté BGP différente sur chaque NR. RENATER traduit alors ces communautés en une priorité : il est ainsi possible d'indiquer à RENATER par quel NR la route devient prioritairement accessible. D'autres mécanismes dans BGP permettant de rendre prioritaire une route par rapport à une autre sont possibles (par exemple l'attribut MED8). L'avantage de celui-ci est qu'il rend explicite l'ingénierie de trafic dans la configuration des équipements. 5Internal BGP 6Le comportement par défaut d'un routeur BGP consiste à ne pas annoncer aux autres voisins BGP du même AS (Autonomous System) les routes apprises d'un voisin ayant le même AS ; le route-reflector centralise toutes ces routes pour les redistribuer à tous les autres voisins appartenant au même AS. 7Nœud RENATER 8Multi Exit Discriminator Page 3 / 12 JRES décembre 2009 RENATER MALESHERBES AUTEUIL ODEON uploads/Ingenierie_Lourd/ faciliter-l-x27-usage-de-services-reseaux-avances-le-cas-de-sires-2-sur-rap.pdf