Présentation

Article

1 - D’UN ROUTAGE AU MIEUX À L’INGÉNIERIE DE TRAFIC

2 - INGÉNIERIE DE TRAFIC DISTRIBUÉE

3 - LE PCE POUR UNE INGÉNIERIE DE TRAFIC CENTRALISÉE

4 - BASES DU PROTOCOLE PCEP

5 - ACQUISITION TOPOLOGIQUE

6 - GESTION DU MULTI-DOMAINES OU MULTI-AIRES

7 - BESOIN D’UN PCE À GESTION D’ÉTAT

8 - GESTION DE LA REDONDANCE

9 - PCE DANS LES RÉSEAUX DE TRANSMISSION

  • 9.1 - GMPLS et PCE dans les réseaux de transmission
  • 9.2 - Dialogue IP – transmission : PCE multicouches ou multiples PCE

10 - EXEMPLE DE CONFIGURATION D’UN PCC

  • 10.1 - Configuration sur routeur Juniper
  • 10.2 - Configuration sur routeur Cisco IOS

11 - PILOTAGE DU TRAFIC

12 - APPROCHE SDN AVEC LE PCE

13 - PASSAGE À L’ÉCHELLE DE L’ARCHITECTURE PCE

14 - SÉCURITÉ DU PCE

  • 14.1 - Sécurité protocolaire
  • 14.2 - Sécurité vis-à-vis des PCC
  • 14.3 - Sécurité vis-à-vis des utilisateurs
  • 14.4 - Sécurité vis-à-vis des applications externes

15 - MISE EN ŒUVRE D’UN PCE

16 - PRODUITS DU MARCHÉ

  • 16.1 - Juniper Northstar
  • 16.2 - Nokia NSP
  • 16.3 - Cisco WAE
  • 16.4 - Cisco XTC
  • 16.5 - Opendaylight

17 - CONCLUSION

18 - GLOSSAIRE

Article de référence | Réf : TE7615 v1

Sécurité du PCE
Path Computation Element - Rendre le réseau IP WAN programmable

Auteur(s) : Stéphane LITKOWSKI

Date de publication : 10 nov. 2018

Pour explorer cet article
Télécharger l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !

Sommaire

Présentation

Version en anglais En anglais

RÉSUMÉ

Historiquement basé sur un routage best-effort, les réseaux IPs ont dû évoluer pour supporter les contraintes de plus en plus importantes des applications. L’ingénierie de trafic distribuée est un outil fréquemment utilisé pour mettre en place un routage contraint. Cependant celle-ci ne permet pas de résoudre tous les problèmes d’optimisation. Une ingénierie de trafic centralisée utilisant un PCE (Path Computation Element) est alors nécessaire pour surmonter ces limitations et rendre le réseau programmable.

Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.

Lire l’article

ABSTRACT

Path Computation Element – Bringing the WAN to the SDN era

Originally, IP networks provided best-effort routing. The emergence of critical applications carried over IP networks has led to the deployment of a distributed traffic engineering architecture to meet the constraints introduced by these applications. However, this architecture cannot solve all the network optimization cases, and so a centralized traffic engineering architecture based on a PCE becomes necessary to overcome these limitations and create a programmable network.

Auteur(s)

INTRODUCTION

La mouvance vers le tout IP entraîne un portage d’applications de plus en plus critiques sur les réseaux IP. Les contraintes de ces applications en termes de bande passante, latence, gigue, etc. peuvent nécessiter la mise en œuvre d’une politique de routage différenciée dans le réseau là où le réseau IP utilise par défaut une politique unique de « plus court » chemin. La mise en œuvre de technique d’ingénierie de trafic à base de MPLS (Multi Protocol Label Switching) est souvent nécessaire afin d’ouvrir la possibilité de calcul de chemins contraints.

L’ingénierie de trafic n’est pas un nouveau concept en soit et était déjà utilisée dans des réseaux comme les réseaux ATM (Asynchronous Transfer Mode). Elle est également déployée de manière plus ou moins large au sein de réseaux IP afin d’adresser ce besoin de différentiation de routage pour différents types de trafic.

Dans cet article, nous allons rappeler dans un premier temps les concepts de base de l’ingénierie de trafic dans un réseau IP/MPLS, pour nous attarder ensuite sur les limitations de l’approche distribuée qui est actuellement déployée. Dans un second temps, cet article introduit l’architecture d’ingénierie de trafic centralisée utilisant un PCE (Path Computation Element) permettant de pallier ces limitations. Le fonctionnement du protocole de communication utilisé par le PCE est détaillé, ainsi que la mise en œuvre d’une architecture de routage utilisant un PCE. Cet article présente également l’analyse de plusieurs cas d’usage du PCE.

Nous abordons enfin les aspects sécurité liés à l’introduction du PCE et nous terminons par une vue non exhaustive du marché actuel.

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

KEYWORDS

SDN   |   traffic engineering   |   PCE   |   PCP   |   PCEP   |   CSPF

DOI (Digital Object Identifier)

https://doi.org/10.51257/a-v1-te7615


Cet article fait partie de l’offre

Réseaux Télécommunications

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Présentation
Version en anglais En anglais

14. Sécurité du PCE

Le PCE est un élément central du réseau. Le fait que le PCE puisse influer sur l’ensemble du routage du réseau rend nécessaire d’analyser sa sécurité.

En effet, si une personne malveillante accède au PCE, celle-ci pourra prendre le contrôle de tout ou partie du routage du réseau.

14.1 Sécurité protocolaire

Il est impératif de contrôler quel PCC se connecte au PCE. Des mécanismes de filtrage type liste d’accès ou pare-feu sont nécessaires afin d’identifier les plans d’adressage autorisés à se connecter au PCE.

Il est également impératif de s’assurer qu’un intrus ne se fasse pas passer pour un PCC existant. Des mécanismes d’authentification comme les fonctions de hashage peuvent être mis en place sur la session PCEP avec un secret partagé (SHA256, etc.), l’utilisation de TLS (Transport Layer Security défini dans la RFC 5246) est également possible via la RFC 8253 (on parle alors de PCEPS).

HAUT DE PAGE

14.2 Sécurité vis-à-vis des PCC

Même si, d’un point de vue protocolaire, les échanges entre le PCC et le PCE sont sécurisés, il se peut qu’un PCC soit corrompu et puisse nuire à la santé du PCE. Ainsi, il peut exister dans les PCE des mécanismes permettant de limiter le nombre d’état (de LSP) qu’un PCC peut envoyer ou déléguer. Il peut être aussi envisagé de limiter le nombre de requêtes de calcul sur une période donnée afin de garantir une bonne santé au PCE. Ces mécanismes de protection du PCE sont souvent dépendants de l’implémentation de l’industriel.

HAUT DE PAGE

14.3 Sécurité vis-à-vis des utilisateurs

Le PCE dispose d’une interface homme-machine. Il est important de limiter les droits des utilisateurs afin que seuls les personnes habilitées puissent effectuer des modifications. L’établissement de profils et groupes d’utilisateurs peut s’avérer nécessaire pour laisser la possibilité de certains...

Cet article est réservé aux abonnés.
Il vous reste 94% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS

Lecture en cours
Sécurité du PCE
Sommaire
Sommaire

BIBLIOGRAPHIE

  • (1) - IETF – PCEP -   Extension for Distribution of Link-State and TE Information.  -  https://datatracker.ietf.org/doc/draft-dhodylee-pce-pcep-ls/ (2018).

  • (2) - IETF – PCEP -   Extensions for GMPLS.  -  https://datatracker.ietf.org/doc/draft-ietf-pce-gmpls-pcep-extensions/ (2017).

  • (3) - IETF -   Path Computation Element communication Protocol extension for associating Policies and LSPs.  -  https://datatracker.ietf.org/doc/draft-ietf-pce-association-policy/ (2018).

  • (4) - IETF -   Path Computation Element communication Protocol extension for signaling LSP diversity constraint.  -  https://datatracker.ietf.org/doc/draft-ietf-pce-association-diversity/ (2018).

  • (5) - IETF – PCEP -   Extensions for Establishing Relationships Between Sets of LSPs.  -  https://datatracker.ietf.org/doc/draft-ietf-pce-association-group/ (2018).

NORMES

  • RSVP-TE : Extensions to RSVP for LSP Tunnels. - RFC 3209 - 2001

  • Traffic Engineering (TE) Extensions to OSPF Version 2. - RFC 3630 - 2003

  • The Transport Layer Security Protocol Version 1.2. - RFC 5246 - 2008

  • IS-IS Extensions for Traffic Engineering. - RFC 5305 - 2008

  • Traffic Engineering Extensions to OSPF Version 3. - RFC 5329 - 2008

  • Path Computation Element Communication Protocol. - RFC 5440 - 2009

  • A Backward-Recursive PCE-Based Computation Procedure to Compute Shortest Constrained Inter-Domain Traffic Engineering Label Switched Paths. - RFC 5441 - 2009

  • The Application of the Path Computation Element Architecture to the Determination of a Sequence of Domains in MPLS and GMPLS. - RFC 6805 - 2012

  • ...

Cet article est réservé aux abonnés.
Il vous reste 95% à découvrir.

Pour explorer cet article
Téléchargez l'extrait gratuit

Vous êtes déjà abonné ?Connectez-vous !


L'expertise technique et scientifique de référence

La plus importante ressource documentaire technique et scientifique en langue française, avec + de 1 200 auteurs et 100 conseillers scientifiques.
+ de 10 000 articles et 1 000 fiches pratiques opérationnelles, + de 800 articles nouveaux ou mis à jours chaque année.
De la conception au prototypage, jusqu'à l'industrialisation, la référence pour sécuriser le développement de vos projets industriels.

Cet article fait partie de l’offre

Réseaux Télécommunications

(139 articles en ce moment)

Cette offre vous donne accès à :

Une base complète d’articles

Actualisée et enrichie d’articles validés par nos comités scientifiques

Des services

Un ensemble d'outils exclusifs en complément des ressources

Un Parcours Pratique

Opérationnel et didactique, pour garantir l'acquisition des compétences transverses

Doc & Quiz

Des articles interactifs avec des quiz, pour une lecture constructive

ABONNEZ-VOUS