1. Internet 101 Ce quon ne vous apprend pas lcole mais risque de vous servir un jour ou lautre Greg VILLAIN ESIGETEL Nov 2010

2. Internet, cest quoi au juste ? Les mtiers & acteurs dInternet La topologie dInternet Petits rappels sur BGP Le metier dArchitecte de Rseaux Outils et conseils Agenda 3. Rponse triviale: IP: Internet Protocol. Couche n3 (rseau) du Modle OSI. deux machines communiquant ensemble via IP en tant que couche rseau font partie dInternet. Dfinition juste, mais partielle: rseaux dentreprises qui implmentent IP en vase clos ? Quid de la rfc1918 ? Le point de vue de lutilisateur est bien plus pertinent. Internet se dfinit comme une somme variable de services accessibles aux Internautes. Internet, cest quoi au juste ? 4. Internet est avant tout une somme de services: Sur nimporte quel *NIX, taper la commande: less /etc/services (ports serveurs) DNS, http (service web) mail (POP, IMAP, ou MAPI chez les proprietairesSMTP) nntp (newsgroups) Irc (Internet Chat Relay) ftp, ssh Quelques uns plus rcents, moins triviaux: instant messaging (Jabber, MSN, AIM, YahooIM ) peer-to-peer (donkey, bit-torrent, Joost) RTMP, RTSP, RTP : protocoles de streaming Internet, cest quoi au juste ? 5. Dfinition trs pertinente dInternet: Internet est de prs ou de loin le seul rseau au monde dans lequel nimporte quelle machine connecte peut la fois et en mme temps tre un client et un serveur. Si a nest pas possible: cest un mode de souscription des services centraliss via un Terminal passif. (a ne rappelle rien personne ?) Si seul laccs un sous ensemble des services prcdents est possible, on ne parle plus dInternet, mais de Service en ligne (remember AOL, Infonie ?) En France en ce moment, grosse discussion sur le rle des ISP (FAI): Fournisseur daccs Internet VS fournisseur de services en ligne ? Accs indissoci a toute destination, tout contenu, sous tout protocole sappuyant sur IP ! Internet, cest quoi au juste ? 6. Internet nest donc pas: Le service de TVIP de votre ISP Le service de VoIP de votre ISP Dfinition strictement objective: Internet est la rsultante de linterconnexion en IP dun grand nombres de rseaux, htrognes dans leur conception et leur implantation gographique, chaque rseau tant plac sous une autorit administrative distincte, mais tous interconnects en IP. En gros, viter les lieus commun du genre: Ah bin Internet cest le Web quoi. Internet, cest quoi au juste ? 7. Les mtiers et acteurs dInternet 8. Les mtiers & acteurs dInternet Fournisseur daccs (ISP) Carriers Fournisseurs de contenu Fournisseurs dinfrastructure Utilisateur final Service Internet (page web, serveur mail) Requte pour du contenu Rponse contenant le contenu Bien noter les requtes et rponses spares: INTERNET EST ASYMETRIQUE !!! 9. Les mtiers dInternet sont rpartis sur la plupart des couches du modle OSI, de la plus basse la plus haute, ils forment un cosystme: - sont tous clients/fournisseurs les uns des autres - Phagocytent parfois leurs mtiers respectifs ISPs Fournisseurs de contenu Carriers Les points dchange, IX Hbergeurs Oprateurs dinfrastructure Datacenters Oprateurs fibre Les mtiers & acteurs dInternet Ddis aux professionnels de lindustrie: B2B Ddis aux consommateurs B2C Ceux qui vous voyez en tant quutilisateurs Ceux qui oprent lInternet que vous utilisez 10. Couche la plus basse du modle OSI: 0 Datacenters: Telehouse, Equinix (+Switch&Data +IXEurope), Telecity (+Redbus), InterXion, GlobalSwitch Organiss en Franchises ou Privs, peu dacteurs finalement Peuvent avoir des sites dans plusieurs pays (Equinix, Telehouse, InterXion, Global Switch, Telecity) Fournissent principalement des services sans valeur ajoute: Energie Froid Espace pour placer des baies dquipements ou de serveurs Services dinterconnexion locale entre clients dans leurs sites Des services de mains distance Les Datacenters sont les points de concours obligatoires de tous les acteurs dInternet, quels quils soient. Essaient de plus en plus de vendre du service plutt que de linfra: points dchange (voir plus bas), stockage Les mtiers & acteurs dInternet Oprateurs dinfrastructure 11. Peu dacteurs, cest un march stabilis et consolid ou la plupart taient des franchises locales regroupes par rachat en gros acteurs mondiaux. A lchelle dun pays, il nest pas rare que certains acteurs de Datacenter soient aussi des ISPs, exemples en France: LDCom + Telecom Development + Neuf Telecom = N9UF + Cegetel + Club Internet SFR (ouf !!!) Sont ceux qui ont le plus de datacenters en France par exemple Free, aprs le rachat de Telecom Italia France (Alice pour tre prcis) a rcupr et continu lactivit dhbergement de celui-ci On distingues deux types de Datacenters: Carrier Neutral : ou beaucoup doprateurs rseau sont prsents pour y livrer des services. Les Non-Carrier-Neutral: ceux-ci sont en gnral des rseaux qui ont leurs propres datacenters et qui ny vendent que leurs services, ou laissent trs peu de rseaux venir simplanter dans ces datacenters. Lunit vendue est la Baie + KVA ou le m2 + KVA Certains de dernire gnrations sont dits denses avec un fort taux de KVA/baie (5KVA et plus), les plus vieux autour de 1/2KVA par baie. Les mtiers & acteurs dInternet Oprateurs dinfrastructure: Datacenters 12. Activit de Gnie civil, donc accrditations spciales pour faire du tirage. Tirent des tronons de fibre quils louent aux professionnels dInternet. Beaucoup ont une raison dtre historique (N9UF ? Oprateurs Historiques ? SANEF ? Telcit ? Telecom Developement ?) Plusieurs types de portes: Mtropolitaine, Nationale, Internationale. Ont des cots dexploitation dinfrastructures trs levs. Ont des produits rudimentaires: Fibres Noires Sont aujourdhui trs peu ne faire que a (cots, reviens), beaucoup ont t ingrs par dautres des mtiers lists ci-aprs, pour toffer leur portefeuille de produits. Cas particuliers, oprateurs de cbles sous-marins (SeaMeWe, SAT, IMeWe,Seacom) Les mtiers & acteurs dInternet Oprateurs dinfrastructure : oprateurs de fibre 13. Reprsentent les super-rseaux, dimension gographique Nationale et Internationale (oprateurs Globals). Ils transportent le trafic des autres acteurs (carriers) - sont en plein millieu dInternet ne dlivrent pas de services finaux. Exercent souvent lensemble des mtiers dInternet (oprateurs fibres, oprateurs de datacenters, oprateurs transmission/IP/Ethernet, hbergeurs ). Sont trs peu nombreux et bien identifis La plupart des oprateurs historiques sont des carriers (FT, Telia, AT&T, DTAG, Telefonica, TDC, BT). Sont souvent le fruit de rachats, de faillites conscutives (UUNet, WorldCom, MCI, Verizon). Faisaient souvent de la tlphonie lorigine (historiquesTDM for the win) Maitrisent les technologies Long Haul (TDM, WDM), issus du monde de la transmission, ont volu vers IP par ajout puis migration ils se dirigent de plus en plus vers des couches plus hautes. La plupart des gros oprateurs de Transit IP sont des carriers (les Tier1 le sont tous) Les mtiers & acteurs dInternet Carriers: Level3, TATA Communications, Cogent, Verizon 14. Les ISPs ont vu leur rle, leur tendue et leur domaine de comptence sagrandir au fil du temps. Ils ont une porte nationale (pour les ISPs rsidentiels) Nopraient lorigine pas ou peu de rseau en RTC, ils utilisaient le rseau de loprateur historique et navaient quun site de collecte, avec leur coeur IP directement attach aux serveurs daccs. Sont tributaires de contraintes lgales de rgulation Tlcom (ARCEP en France). Ex: convention de dgroupage en France, Licenses WiMax Aujourdhui, ils manient: Une ou plusieurs technologies daccs (DSL, Docsys, WiMax, Wifi) En propre pour les zones quils couvrent (ex: ADSL option 1) En collect pour les zones quils ne couvrent pas (ex: ADSL option 3 et 5) Des technologies de transmission Metro Longue distance Des technologies issues du monde de la voix (ToIP, interconnexions TDM avec les oprateurs historiques et alternatifs) Lingnierie de leurs quipements client: *box, media-box, offre mobile unifie Les mtiers & acteurs dInternet ISPs (FAIs): fournisseurs daccs internet 15. Les ISPs ont maintenant acquis une expertise en opration dinfrastructures: Plusieurs PoPs Nationaux (1x par grande agglomration) Un rseau National longue distance bas sur: Un rseau de fibre noire achet ou lou (IRU) aux oprateurs dinfrastructures Des quipements de transmission longue distance Multiplexage en longueur donde (Nx1G ou Nx10G) Rgnration du signal optique Un coeur de rseau IP qui fait du routage hierarchique Des PoPs (points de prsence) Mtropolitains (NRA pour lADSL, NRO pour FTTH) sur lesquels arrivent leur technologie dAccs. Des rseaux mtropolitains (plusieurs boucles mtro par PoP National) Plusieurs Datacenter sur leur point central, pour y hberger: Leur coeur de routage vers le reste dInternet Leur plateforme de service systme (DNS, MX, Abonnement, Portail web, Pages perso/blogs) Leur plateforme de TV sur IP (Tvip & VoD) Leur plateforme VoIP Les mtiers & acteurs dInternet ISPs (FAIs) sont maintenant des operateurs nationaux ! 16. Exemples dISP qui ont acquis de lexpertise dans dautres domaines que laccs: Free fait fabriquer ses propres DSLAMs, ses propres Modems, ses propres Mediabox Free a une offre dhbergement: Dedibox, ils font mme construire leurs serveurs low-cost eux mmes Free a construit son propre Datacenter ( Bezons) N9UF (SFR)a galement une quipe pour leurs terminaux, les concoivent de bout en bout. N9UF (SFR) avait mme conu lEasyBox, un PC+modem tout intgr qui tournait sous un linux entirement packag par N9UF. Free & N9UF ont eux-mmes conu leur propre plateforme IPTV. Les mtiers & acteurs dInternet ISPs (FAIs) sont maintenant des operateurs nationaux ! 17. Les mtiers & acteurs dInternet ISPs (FAIs) aujourdhui: architecture nationale 18. Les mtiers & acteurs dInternet ISPs (FAIs) aujourdhui: architecture metropolitaine Lyon Boucle Metro 10G Ethernet Ville PoP IP & Longue distance NRA#1 NRA#2 NRA#3 NRA#4 Switch de NRA DSLAM NRA NRA (Noeud Raccordement Abonns) Boucle Lyon#1 DWDM national StrasbourgParis 19. Les mtiers & acteurs dInternet ISPs (FAIs) : coeur de rseau (Parisien) Paris Datacenter#1 Paris Datacenter#2 Paris Datacenter#3 Paris Datacenter#4 Internet Internet Rseau de collecte ADSL autre oprateur Plateforme Services: Abo, mail, dns,pages perso, portail Plateforme TVip / VoD Plateforme VoIP Voix FT Voix Autre oprateur VoIP autres oprateurs Feed VIDEO TV 20. Ont une prsence que sur 1 ou peu de sites, de la mme ville, en gnral la capitale internet du pays dans lequel ils sont. Nont pas de rseau national Un rseau mtropolitain rduit Ne font pas dingnierie dAccs (DSL) Font principalement du LAN et du routage pour sortir vers Internet Ont le gros de leur expertise centre sur lexpertise dadministration systme. Ont une gamme de service qui va de: Housing (fourniture espace rackable et bande passante) Hosting (fourniture de serveur, et bande passante) Infogerance (fourniture de serveur, bande passante, administration de serveur) Facturent leurs clients: Lhbergement La bande passante consomme ou forfaitaire vers Internet Les fournisseurs de contenu ont un mtier nouveau: ils occupent le mme rle que les hbergeurs, mais nhbergent que leurs propres services. Les mtiers & acteurs dInternet Hbergeurs & fournisseurs de contenu 21. Les mtiers & acteurs dInternet Les fournisseurs de contenu deviennent fournisseurs dinfra Le cas Google Entre 800K et 1M de machines Ont invent le concept de Commodity Hardware / Utility Computing Cette anne, 6.4%de tout le traffic internet finit chez Google. Ont plusieurs Datacenters construis eux-mme, et en tout ont des serveurs dans 36 datacenters (en 2008) Aprs AMAZON, ils ont popularis le Cloud Computing (GFS, MapReduce) Developpent tout eux-mme: Chrome OS Android Une 50aine de webservers diffrents File systems Storage & Datastores 22. Les mtiers & acteurs dInternet Les fournisseurs de contenu deviennent fournisseurs dinfra LEssor du Cloud Computing Depuis 2005/6 chez certains fournisseurs de contenu Ces fournisseurs dploient leurs propres infrastructures: Datacenters, achats massifs de transmission et dIP partout dans le monde, font massivement appel la virtualisation (mort de certains Hbergeurs) Quelques chiffres significatifs: Amazon: 150,000 servers 4 datacenters en propre Google: >1,000,000 servers 40 datacenters, 50,000 servers (1 datacenter en propre qui est un modle cologique prs de Niagara Falls). 23. Anctres: MAE Metropolitan Area Exchanges (FDDI, FOIRL ATM) Synonyms: IX, IXP, eXchange, NAP (OLD!!!) Dfinition Wikipedia: An Internet exchange point (IX or IXP) is a physical infrastructure that allows different Internet service providers (ISPs) to exchange Internet traffic between their networks (autonomous systems) by means of mutual peering agreements, which allow traffic to be exchanged without cost. IXPs reduce the portion of an ISP's traffic which must be delivered via their upstream transit providers, thereby reducing the Average Per-Bit Delivery Cost of their service. Furthermore, the increased number of paths learned through the IXP improves routing efficiency and fault- tolerance. LANs mtropolitains (= switching = layer2 layer3 routing) Permettent aux diffrents acteurs Internet le souhaitant de venir se connecter pour venir changer du traffic (= peerer). Les membres choisissent un ou plusieurs couples (Port, Site) et sont facturs mensuellement fonction du type de port. Tous les membres sont se retrouvent sur le LAN du point dchange, qui est un seul segment ethernet, avec chacun une IP (ou plusieurs) appartenant au subnet de lIX Une fois tous sur le mme LAN, ils peuvent tablir des sessions de peering entre eux. Les mtiers & acteurs dInternet Points dchange 24. Les mtiers & acteurs dInternet Points dchange: exemple de lAMSIX (Amsterdam) 25. Les 3 points dchange les plus volumineux sont en Europe: AMSIX (Amsterdam) LINX (Londre) De-CIX (Frankfort) Les IX (les plus gros) suivent un modle associatif Les membres des IX souscrivent un certain nombre de conditions techniques pour tre admis. Les IX sont aujourdhui un point de passage quasi systmatique sur le trajet dun paquet dans Internet. Les IX proposent souvent lutilisation dun Route-Server qui permet aux membres de ne pas avoir a configurer une session par peering (pas beaucoup utillis). Organisent rgulirement des confrences techniques (qui finissent systmatiquement au pub ) Permettent aux membres de discuter entre eux via des mailing-list mises leur disposition: Annonces des maintenances et pannes Demandes de peering Le LINX sollicite tous les membres par mailing-list chaque nouveau membres, pour quils approuvent la candidature. Certains IX on des member fees (LINX) dautres non Les mtiers & acteurs dInternet Points dchange (suite) 26. La topologie dInternet 27. La topologie dInternet ? ??? www.dailymotion.com Explication par lexemple 28. La topologie dInternet ? AS ISP AS Carrier #1 AS HbergeurAS Carrier #2 DNS ISP BGP4 BGP4 DNS hbergeur 29. La topologie dInternet ? Tout rseau est dfini par le couple AS (objet aut-num , objet as-set ) Range dadresses IP (objet inet(6)num objet route) Les IRR (Internet Routing Registries) centralisent cette information et font en sorte quelle soit publique. Tout oprateur de rseau IP a pour obligation morale de maintenir ses objets dans la base de donne de lIRR dont il dpend. Sa politique de routage, ses plages dIPs, ses routes, ainsi que les rles (personnes physiques ou quipes) qui maintiennent ces objets figurent dans la base de donne. Ne pas les renseigner peut savrer dangereux (cf plus tard) Limportance des Routing Registries 30. La topologie dInternet ? Trouver lAS dans lequel se situe lhte Faire une requte DNS pour obtenir son IP: dig www.dailymotion.com ;; ANSWER SECTION: www.dailymotion.com. 7 IN A 195.8.215.137 www.dailymotion.com. 7 IN A 195.8.215.138 www.dailymotion.com. 7 IN A 195.8.215.136 Interroger le RIPE pour trouver lAS qui est origine de la plage IP: whois h whois.ripe.net 195.8.215.137 route: 195.8.214.0/23 descr: Dailymotion origin: AS41690 org: ORG-DM5-RIPE mnt-by: NEO-MNT source: RIPE # Filtered Consulter lobjet aut-num correspondant pour obtenir des infos sur la politique de routage de lAS en question whois h whois.ripe.net as41690 (ou via le portail du RIPE) Cf la suite sur les infos techniques quon tire de cet objet. Faire un traceroute (ou MTR) pour voir le chemin emprunt pour aller vers www.dailymotion.com Retour lexemple www.dailymotion.com 31. La topologie dInternet ? Traceroute fonctionne en envoyant des paquets UDP et en faisant croitre le TTL de ces paquets chaque nouvelle salve, jusqu destination. Permet de voir tous les Hops qui se trouvent sur le trajet aller du paquet. Par dfaut, traceroute affiche, pour chaque saut, lIP du saut, ou le reverse DNS si il xiste les reverses DNS donnent de bonnes ides sur les rseaux que traversent le paquet. traceroute www.clubic.com traceroute: Warning: www.clubic.com has multiple addresses; using 193.22.143.62 traceroute to www.clubic.com (193.22.143.62), 64 hops max, 40 byte packets 1 192.168.1.1 (192.168.1.1) 1.771 ms 1.270 ms 1.257 ms 2 vol75-2.dslam.club-internet.fr (195.36.231.20) 1040.208 ms 43.069 ms 27.070 ms 3 * * V106.core02-t2.club-internet.fr (195.36.231.61) 24.983 ms 4 cyrealis.panap.fr (62.35.254.21) 22.863 ms 22.008 ms 21.882 ms 5 php12.clubic.com (193.22.143.62) 21.925 ms 22.807 ms 23.236 ms Do limportance de toujours renseigner les reverses de toute interface IP sur une machine qui route ! Les infos que donne le traceroute 32. La topologie dInternet ? traceroute www.clubic.com traceroute: Warning: www.clubic.com has multiple addresses; using 193.22.143.62 traceroute to www.clubic.com (193.22.143.62), 64 hops max, 40 byte packets 1 192.168.1.1 (192.168.1.1) 1.771 ms 1.270 ms 1.257 ms 2 vol75-2.dslam.club-internet.fr (195.36.231.20) 1040.208 ms 43.069 ms 27.070 ms 3 * * V106.core02-t2.club-internet.fr (195.36.231.61) 24.983 ms 4 cyrealis.panap.fr (62.35.254.21) 22.863 ms 22.008 ms 21.882 ms 5 php12.clubic.com (193.22.143.62) 21.925 ms 22.807 ms 23.236 ms traceroute to www.facebook.com (69.63.184.28), 30 hops max, 40 byte packets 1 217.70.191.252 (217.70.191.252) [AS29169] 0.408 ms 0.483 ms 0.565 ms 2 vl9.core1-v.gandi.net (217.70.176.97) [AS29169] 0.632 ms 0.692 ms 0.741 ms 3 171.ge3-0.er1a.cdg2.fr.above.net (62.4.73.58) [AS6461] 1.397 ms 1.461 ms 1.522 ms 4 te2-4.mpr2.cdg2.fr.above.net (64.125.23.82) [*] 161.310 ms 161.362 ms 161.421 ms 5 (84.207.21.10) [AS6461] 1.341 ms * * 6 ae-32-54.ebr2.Paris1.Level3.net (4.68.109.126) [AS3356] 71.848 ms 1.381 ms 1.555 ms 7 ae-41.ebr2.Washington1.Level3.net (4.69.137.50) [AS3356] 92.222 ms ae-42.ebr2.Washington1.Level3.net (4.69.137.54) [AS3356] 92.793 ms ae-43.ebr2.Washington1.Level3.net (4.69.137.58) [AS3356] 92.012 ms 8 ae-82-82.csw3.Washington1.Level3.net (4.69.134.154) [AS3356] 95.015 ms ae-92-92.csw4.Washington1.Level3.net (4.69.134.158) [AS3356] 83.497 ms ae-62-62.csw1.Washington1.Level3.net (4.69.134.146) [AS3356] 90.533 ms 9 ae-21-79.car1.Washington1.Level3.net (4.68.17.67) [AS3356] 82.870 ms ae-31-89.car1.Washington1.Level3.net (4.68.17.131) [AS3356] 84.131 ms ae-11-69.car1.Washington1.Level3.net (4.68.17.3) [AS3356] 83.018 ms 10 FACEBOOK-IN.car1.Washington1.Level3.net (4.79.20.10) [AS3356] 84.252 ms 84.578 ms 84.277 ms 11 te-9-2.csw01a.ash1.tfbnw.net (204.15.21.214) [AS32934] 84.688 ms 84.003 ms te-9-2.csw01b.ash1.tfbnw.net (204.15.21.218) [AS32934] 90.487 ms 12 www-2.01.ash1.facebook.com (69.63.184.28) [AS32934] 103.959 ms 105.875 ms 105.338 ms Donne une ide sur: - le type dquipement travers - le PoP dans lequel se trouve le routeur - le VLAN emprunt - les interconnexions entre rseaux (cf slides suivants sur la manire dont on procde). - les sauts limitants - les dbits des interfaces traverses - les points dchange traverss Les infos que donne le traceroute (suite) 33. La topologie dInternet ? - Internet est asymtrique ! Pour aller de chez vous votre destination, un packet emprunte srement 2 chemins diffrents !!! - Il vous faut soit un traceroute partir du rseau de Facebook, soit une vue BGP de sa table pour chercher le rseau dans lequel est votre IP WAN - On utilise les Looking Glass et Traceroute servers dans les rseaux les uns des autres pour avoir une ide de la vue partir dautres rseaux. http://www.traceroute.org Les infos que donne le traceroute (suite) ATTENTION! 34. La topologie dInternet ? aut-num : est lobjet AS dans le RIPE (et consors), il peut, pour un transitaire, tre contenu dans un objet as-set Cet objet rfrence toutes les sessions BGP que maintient un AS. Il peut galement contenir les prfrences affectes ces sessions, afin de reflter votre politique de routage. (accepte les defaults ou pas ? IP du peering) Les transitaires rigoureux sen servent pour constituer leurs filtres clients BGP. (Pakistan Telekom vs PCCW vs Youtube ) Il contient souvent en remarque (et de toute faon dans les objets administratifs admin-c et tech-c): Les contacts de lquipe de peering Les IPs sur les diffrents points dchange Les diffrentes communauts employes par le transitaire Deux principaux types dentres: import et export (voir exemple concrt qui suit). Retour au RIPE: les objets aut-num 35. La topologie dInternet ? Les objets route reprsentent les prfixes routs par un AS. pour toute route, voir le champ origin Exemple, dterminer tous les prfixes routs par un ISP (pour constituer un filtre en entre par exemple): whois h whois.ripe.net i origin AS12322 Tout de suite, un exemple en couleurs ! AS41690/AS-DAILYMOTION (un exemple dobjet bien rempli) Retour au RIPE: les objets aut-num 36. Petits rappels sur BGP, le protocole dinterconnexion 37. BGP = Border Gateway Protocol version actuelle: V4 BGP est un EGP (Exterior Gateway Protocol) cest le seul EGP en place dans Internet. Ce protocole est le protocole implment par les routeurs de bordure dAutonomous System pour schanger des routes. BGP est une machine a tats finis rudimentaire qui suit un arbre dcisionnel bien identifi, public, que tout ingnieur backbone doit connatre sur le bout des doigts, cet arbre dcisionnel conduit linstallation ou non dun prfixe dans la table de routage de lquipement. BGP permet de router IP et seulement IP. BGP xiste en 2 dclinaisons: eBGP et iBGP, les deux vont systmatiquement de pair ds quon a au moins 2 routeurs de bordure. BGP est toujours implment en parallle dun IGP: OSPF, IS-IS ou EIGRP pour ceux qui aiment les standards propritaires. BGP permet dannoncer des routes origins ou non par un AS, i.e. donner le prochain saut vers un certain prfixe (tranche dIP) BGP fait correspondre, chaque annonce de prfixe, un certain nombre dattributs bien identifis (weight, local-pref, metric ou MED, next-hop, as-path, communauts, atomic aggregate ) BGP ne ncessite pas que deux voisins soient dirctement connects pour etablir une session, du moment quil existe une route vers lIP du voisin, la session stablit. Tout interlocuteur BGP dun rseau doit maintenir une session iBGP avec chacun des autres interlocuteurs iBGP (Full Mesh iBGP) Petits rappels sur BGP 38. Pass un certain nombre de routeurs BGP, il est judicieux denvisager: Lutilisation de route-reflectors (pour limiter le nombre de sessions BGP a tendre lajout de chaque voisin) Faire appel aux Confdrations, i.e. systme hirarchis dAS privs (AS# > 65535) Les IX proposent aux membres dutiliser des route-servers (sortes de route- reflectors) pour limiter le nombre de sessions sur un point dchange. Il y a toujours un Tie-Breaker, lIP partir de laquelle est monte la session Petits rappels sur BGP 39. Petits rappels sur BGP lIGP transporte ladressage de linfrastructure les sessions iBGP sont tablies sur les loopbacks, transportes par lIGP Une loopback ne tombe jamais elle est toujours annonce dans lIGP Les sessions iBGP ne tombent jamais AS (systme autonome) LoopbackLoopback Loopback Loopback iBGP iBGP iBGP iBGP eBGP eBGP eBGP eBGP Mais il est plus intelligent de la monter sur une LB La session BGP peut tre monte sur cette interface physique 40. Ne surtout pas confondre protocole de routage et protocole rout. BGP est un protocole de routage (utilise TCP:179), IP est le protocole rout. IS-IS est un protocole de routage qui permet de router nimporte quel protocole de niveau 3 (pas que IP !!!). Ne pas confondre table BGP et table de routage chaque protocole de routage participe a la constitution de la table de routage globale dun quipement, en suivant une chelle dadministrative distance: Connected interface Static route Enhanced Interior Gateway Routing Protocol (EIGRP) summary route External Border Gateway Protocol (BGP) Internal EIGRP OSPF Intermediate System-to-Intermediate System (IS-IS) Internal BGP Pour connatre le next-hop dune route, on fait dans lordre show ip route Lentre dans la table de routage contient le protocole par lequel la route est apprise Enfin on fait un sh ip bgp si la route installe dans la table de routage a t apprise en BGP. Internet est le monde du Routage Asymtrique. Petits rappels sur BGP Confusions frquentes, piges noobs ! 41. Deux voisins BGP sannoncent des routes Une route plus spcifique prime sur une route moins spcifique: 1.2.3.0/24 prime sur 1.2.2.0/23 (cf Prefix Hijacking) On lui applique ou non des filtres en entre (on peut statiquement configurer des blacklist de routes ou mme das- path) On applique ou non un traitement automatique la route qui modifie ses attributs On la compare aux routes quivalentes fonction de ses attributs: (Prefer the path with the highest weight) Prefer the path with the highest local preference (Prefer locally originated routes (Next Hop = 0.0.0.0)) Prefer the path with the shortest AS path (Prefer the path with the lowest origin type: IGP is lower than EGP, and EGP is lower than INCOMPLETE) Prefer the path with the lowest metric or MED Prefer EBGP routes over IBGP routes Prefer the lowest IGP metric to the next hop Prefer the path from the router with the lowest router ID On la marque ou non comme BEST dans la table BGP, si elle est BEST, elle est ligible la table de routage Petits rappels sur BGP Mcanisme de dcision BGP 42. Petits rappels sur BGP Confusions frquentes, piges noobs ! Table BGP Table eBGP Table iBGP Table OSPF Table IS-IS Table EIGRP Statics Directly Connected Session 1 Session 2 Session N Voisin 1 Voisin 2 Voisin N Source des routes Best routes Intra protocole Table de routage Administrative Distance Attributs BGP du prfixe 43. Un AS nannonce, un autre AS, via BGP, que les prfixes dont il est lorigine. SAUF cas particulier, il peut annoncer en totalit ou partie les routes de ses peers, dans ce cas, il sert dAS de transit vers les AS dont il annonce les prfixes. Un peer qui annonce toutes les routes dInternet (250K routes en 2006 330K routes en 2010) est un fournisseur de Transit. Les fournisseurs de transit font payer le trafic au volume: ils vendent un port et font payer au 95%ile du volume entrant ou sortant maximum coul par ce port. La facture mensuelle est dduite en multipliant le 95%ile consomm, multipli par un prix au mga. On peut contracter un transitaire en achetant un port flat ou en fonctionnant en mode commit/burst. Le transit est la sortie par dfaut pour rejoindre tout autre AS. Quand on dispose dun peering avec dautres AS, on configure les local-pref plus haut sur les peerings pour viter de sortir par le Transit. La notion de peering saccompagne dun accord mutuel, gratuit ou pas. Petits rappels sur BGP Transit & Peering 44. Petits rappels sur BGP Exemple 1/3 AS100 laisse BGP agir naturellement AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 AS300 40.50.60.0/24 10.20.30.0/24 AS200 40.50.60.0/24 AS200 AS300 10.20.30.0/24 AS200 1.2.3.0/24 AS100 AS100 40.50.60.0/24 AS300 Annonce eBGP Annonce iBGP 40.50.60.0/24 AS300 Table BGP: 40.50.60.0/24 AS300 iBGP best 40.50.60.0/24 AS200 AS300 eBGP not_best 45. Petits rappels sur BGP Exemple 2/3 AS100 souhaite faire passer le prefix de AS300 par AS200 AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 AS300 40.50.60.0/24 10.20.30.0/24 AS200 40.50.60.0/24 AS200 AS300 10.20.30.0/24 AS200 1.2.3.0/24 AS100 AS100 40.50.60.0/24 AS300 Annonce eBGP Annonce iBGP 40.50.60.0/24 AS300 Table BGP: 40.50.60.0/24 AS300 iBGP LP=100 not_best 40.50.60.0/24 AS200 AS300 eBGP LP=120 best Set Local_Pref = 100 Set Local_Pref = 120 46. Petits rappels sur BGP Exemple 3/3 AS300 ne veut pas quAS100 le joigne en direct AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 AS300 40.50.60.0/24 10.20.30.0/24 AS200 40.50.60.0/24 AS200 AS300 10.20.30.0/24 AS200 1.2.3.0/24 AS100 AS100 Annonce prepend 40.50.60.0/24 AS300 AS300 AS300 Annonce eBGP Annonce iBGP 40.50.60.0/24 AS300 Table BGP: 40.50.60.0/24 AS300 AS300 AS300 iBGP not_best 40.50.60.0/24 AS200 AS300 eBGP best 47. Petits rappels sur BGP Interconnexions multiples vers un mme AS: exercice pratique eBGP Port-Channel ETHERNET (L2) AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 IP_Interco#1/3 0 IP_Interco#2/3 0 IP_Interco#3/3 0 eBGP IP_LB#A /32 IP_LB#B /32 Static routes: IP_LB#A/32 IP_Interco#1/30 IP_LB#A/32 IP_Interco#2/30 IP_LB#A/32 IP_Interco#3/30 AS100 1.2.3.0/24 AS200 (TRANSIT) 10.20.30.0/24 48. Petits rappels sur BGP Quelques dangers du peering lis a BGP Toute annonce plus spcifique lemporte li aux mcanismes de routage plus qu BGP Si on ne filtre pas les prfixes reus, a priori on les accepte tous BGP est bas sur un modle de confiance: on suppose systmatiquement quon va configurer son seul aut-num et ses seules routes sur ses quipements. BGP, comme DNS, intgre tous les voisins BGP dInternet comme participant un seul systme logique. toute erreur non filtre se propage (vite) GooTube VS Pakistan Telekom_LOL ! Ne pas renseigner assidment son objet aut-num (AS) dans son IRR empche la gnration automatique des filtres chez peers consciencieux. Renseignez rigoureusement votre routing policy ! BGP ne tient pas compte de ltat de remplissage des liens ! Si une route est la meilleure par un lien donn et quil est rempli, le trafic est discard ! 49. Le mtier darchitecte rseau 50. Inscrire le rseau dont on soccupe dans Internet, cest linterconnecter le mieux possible aux autres rseaux qui forment Internet. Dans toute la suite, Rseau IP AS, interco IP session de peering BGP4 Cela sous entend: de la manire la plus diverse/redondante possible 7J/7, 24J/24 sans contention quil faut connatre au mieux la cible des utilisateurs de notre rseau afin de choisir avec soin ses PoPs ses peers Ses points dchange Que veulent dire les idimes suivants (Peering Manager Slang), entendus dans des conversations techno-mondaines ? Mon AS/rseau fait $VOLUME_TRAFIC de trafic OU Mon AS/rseau pousse $VOLUME_TRAFIC vers Internet OU Mon AS/rseau prend $VOLUME_TRAFIC dInternet Ces termes dsignent le dbit cumul, en pointe, qui rentre ou sort du rseau dont on parle (voir les schmas de typologie en fin de chapitre). Le metier dArchitecte de Rseaux Avant-propos 51. Le metier dArchitecte de Rseaux Micro hbergeur: