Telindus Dynamic Routing Engine
Transcription
Telindus Dynamic Routing Engine
Telindus TDRE Telindus Dynamic Routing Engine (TDRE) Les caractéristiques et les avantages • • • • • Les caractéristiques sont uniformes pour toute la gamme des produits Telindus IP Uniforme ensemble des outils d'entretien et de gestion Toutes les caractéristiques sont inclues standard Fonctionnalités VPN et qualité de service Les nouvelles versions de logiciel sont gratuites Introduction Disponible sur la gamme complète des équipements Telindus broadband, le logiciel Telindus Dynamic Routing Engine (TDRE) est un système d'exploitation riche en caractéristiques qui fournit une fonctionnalité IP et une interface d'entretien commune à travers votre réseau. Le TDRE garantit des caractéristiques communes à travers les différents produit et un support uniforme pour l'entretien et les outils de gestion. Telindus a une politique de nouvelles versions de logiciel gratuites et inclut toutes les fonctionnalités dans un progiciel standard. Ce document décrit toutes les caractéristiques dans le TDRE révision 11.4. À la fin de ce document, on peut trouver la liste de nouvelles caractéristiques. Comme quelques caractéristiques dépendent du hardware, à la fin de ce document on peut trouver aussi une table avec ces caractéristiques. Les produits TDRE Les produits suivants sont basés sur le TDRE: • • • • • • • • • • 1021 Router 1030 Router Series 1061 Router 1221 ADSL Router 1421 SHDSL Router 1422 SHDSL Router 1423 SHDSL Router 1431 SHDSL CPE 2400 Access Concentrator Series Interface Crocus Router 10M modulaire The first choice for the l@st mile Version 11.4 - Mai 2005 1of 18 Telindus TDRE Les caractéristiques L’encapsulation PPP • • • • • • • • • • • • Encapsulation conforme RFC 1661, 1662 LCP (Link Control Protocol) IPCP (IP Control Protocol, RFC 1332) BCP (Bridge Control Protocol, RFC 2878) CCP (Compression Control Protocol, RFC 1962) avec support pour l'algorithme Prédictor (RFC 1978) CHAP authentification avec MD5 hashing (RFC 1994), authentification unidirectionnelle ou bidirectionnelle MS-CHAP1 (RFC 2433) et MS-CHAP2 (RFC 2759) extensions du protocole d’authentification CHAP PAP (PPP Authentication Protocol, RFC 1334), authentification unidirectionnelle ou bidirectionnelle Multilink PPP (RFC 1990) sur les équipements avec plus qu’une interface du même type PPP fragmentation (RFC 1990): fragmentation à taille fixée de 200 bytes ou non activé Multi-class PPP (RFC 2686) Bandwidth Allocation Protocol (BAP) (RFC 2125) pour les interface RNIS L’encapsulation Frame Relay • • • • • • • • Encapsulation conforme RFCs 1490, 2427 L’équipement supporte jusque 200 DLCIs sur un équipement CIR (Committed Information Rate) configurable par DLCI EIR (Excess Information Rate) configurable par DLCI Inverse ARP sur Frame-Relay pour configuration automatique du gateway Différents types de LMI (Local Management Interface): o révision 1 LMI o ANSI T1.617 D o ITU-T Q933 Annexe A o FRF 1.2 Fragmentation Frame-relay (FRF 12) Multi-link Frame-Relay (FRF 16.1) L’encapsulation ATM • • Les protocoles au couche supérieure: o Classical IP conforme RFC 1577 o Ethernet ou IP conforme RFC 2684 o PPPoA (PPP over ATM) conforme RFC 2364 o PPPoE (PPP over Ethernet) conforme RFC 2516, 2684 o auto PPP (en mode routage): une sélection automatique entre PPPoA et PPPoE Encapsulation multi-protocole: o LLC (Logical Link Control) The first choice for the l@st mile Version 11.4 - Mai 2005 2of 18 Telindus TDRE • • • • • • • • • o VC (Virtual Connection) multiplexing Reverse ARP pour une résolution automatique des adresses IP Configuration de PCR (Peak Cell Rate) par PVC ATM format des cells ITU-T I.311, I.321, I.361, I.432 ATM forum UNI 3.1/4.0 PVCs ATM forum ILMI 3.1/4.0 OAM F4 / F5 loop back réponse (ITU-T I.610) OAM F4 / F5 end-to-end loopback génération (ITU-T I.610) OAM F5 end-to-end réponse RDI OAM F4 /F5 segment et end-to-end CC (Continuity Check) (seulement sur Telindus 1431) Les autres encapsulations WAN • • Encapsulation HDLC en mode pontage (non interopérable avec encapsulation Cisco HDLC). Encapsulation Error test pour les tests d’erreurs extrémité à extrémité sur les réseaux TDM entre équipements Telindus Les caractéristiques des interfaces La définition d’une “interface” dépend entièrement de la configuration de l’équipement et peut correspondre au suivant: • • • • • Une interface physique, p.e. une interface Ethernet, une interface sérielle,.. un DLCI Frame-Relay Un PVC ATM Un tunnel L2TP Un VLAN Les interfaces logiques se comportent comme les interfaces physiques, sauf qu’elles n’envoient pas des alarmes d’interfaces. On peut définir jusqu’à 255 interfaces par équipement. Les caractéristiques des interfaces physiques incluent: • • • Longueur de la queue de sortie configurable MRU (Maximum Receive Unit) configurable pour interfaces avec encapsulation HDLC, PPP et Frame Relay jusqu’une valeur maximale de 1650 bytes MRU fixe de 2048 bytes pour les interfaces Ethernet Les interfaces du réseau commuté • • Pools d’interfaces téléphoniques si plusieurs interfaces sont disponibles Profiles pour les paramètres du réseau commuté: o Idle timeout et fast idle timeout o Nombre de paquets tamponnés pendant le branchement de ligne o Intervalle entre appels consécutifs o Timeout d’appel o Temps de communication sortante maximal sur une période de 24 heures o Restriction des heures pendant lesquelles des communications sortantes sont possibles The first choice for the l@st mile Version 11.4 - Mai 2005 3of 18 Telindus TDRE • • • • • • • o Nombre maximal des canaux RNIS simultanés pour Multilink PPP Nombre minimum de canaux RNIS libres pour les appels entrants configurable Encapsulation PPP et Multilink PPP pour le trafic routé IP Bandwidth Allocation Protocol (BAP) (RFC 2125) pour interfaces RNIS Filtrage des appels entrants / sortants et des numéros de téléphone locals et éloignés Les interfaces E1 ‘Channelised’ peuvent être utilisées comme interface RNIS PRI (jusqu’à 30 appels RNIS simultanés) Connexion par rappel ISDN conformément à l’extension en PPP LCP (RFC 1570). Les exploitations 0, 1 et 3 sont supportées. Opération ligne louée sur les interface RNIS BRI (Standard Festverbindung (SFV)) L’affectation automatique • • • • • • • • • • • • • • • • d’une adresse IP et l’approvisionnement Serveur BOOTP/DHCP (RFC 2131, RFC 2132) avec affectation d’adresses statiques ou dynamiques Les adresses IP dans le serveur DHCP sont configurables par interface S’il n’y a pas de gateway configuré dans le serveur DHCP, le routeur donne sa propre adresse. DHCP relay agent (RFC 2131, RFC 2132) DNS proxy Serveur DNS local Affectation d’une adresse IP statique Affectation d’une adresse IP automatique par client BootP (RFC 951) Affectation d’une adresse IP automatique par client DHCP (RFC 2131, RFC 2132) Affectation d’une adresse IP automatique par IPCP Possibilité de bloquer des demandes DHCP client sur les LAN et venant des bridge groups Affectation d’une adresse IP secondaire possible sur l’interface LAN Affectation du IP gateway par Inverse ARP (RFC 2390, en Frame-Relay et ATM) Modes numéroté et non-numéroté sur les interfaces WAN Télétransmission automatique du fichier de configuration par client DHCP Affectation automatique d’une route implicite sur adresse IP distante appris en PPP Le routage IP Le matériel se conforme aux besoins du routeur comme énoncé dans le RFC 1812 et supporte le routage des paquets IP standards (RFC 791) entre les interfaces sur un équipement d'après les protocoles du routage suivants: Le routage statique Le routage est basé sur une table de routes statiques. Des routes alternatives sont possible à travers l'usage de préférences différentes pour les routages différents à une même destination. The first choice for the l@st mile Version 11.4 - Mai 2005 4of 18 Telindus TDRE Le routage statique basé sur une police Le routage normal est basé sur l'adresse IP de la destination. Ce routage offre la possibilité de définir des entrées de routage basées sur l'information supplémentaire des couches supérieures. Le trafic est mis en déroute à une certaine interface ou gateway basé sur un ou plusieurs des paramètres suivants: • • • • • • Gamme d’adresses IP source Gamme d’adresses IP destination Type Of Service (TOS) gamme de valeurs (8 bits dans la tête IP, aussi connu comme bits DSCP) Protocole IP (par exemple any (0), ICMP (1), IGMP (2), TCP (6), UDP (17)) Gamme de port source pour paquets UDP / TCP Gamme de port destination pour paquets UDP / TCP RIP • • • • • • RIP1 conforme RFC 1058 RIP2 conforme RFC 2453 SplitHorizon et actualisation sélective des routes par interface Broadcast pour actualisation sélective RIP limitée à l’information sur des subnets spécifiques Support de l’authentification par MD5 hashing ou en claire texte Triggered (ou snapshot) RIP pour interfaces RNIS OSPF • • • • Conforme RFC 2328 (OSPF version 2) Importation de routes statiques Résumé des routes et suppression de routes par configuration par région Encryptage par simple mot de passe ou encryptage chaîné MD5 VRRP • • Virtual Router Redundancy Protocol conforme RFC 3768 Liste des interfaces critiques: quand au moins une interface critique n’est pas disponible, le routeur se manifeste comme indisponible pour VRRP ICMP Les messages ICMP (RFC 792) sont utilisés pour informer l'initiateur des paquets d'anomalies: • • Messages “TTL exceeded” Messages “destination unreachable“ Les multicasts et les broadcasts Le matériel Telindus prend en charge les paquets broadcast et multicast et inclut les fonctionnalités suivantes: • • • IGMPv2 (Internet Group Management protocol, RFC 2236), étant le standard pour multicast IP Fonction IGMP proxy l'émission oui ou non des directed broadcasts sur une interface The first choice for the l@st mile Version 11.4 - Mai 2005 5of 18 Telindus TDRE • La possibilité des adresses ‘helper’ pour remplacer l’adresse broadcast par une adresse spécifique du réseau Le IP MTU • Le MTU IP peut être configuré sur les interfaces WAN et LAN (entre 500 et 1650 bytes) Le filtrage IP et le coupe-feu • • • • • • • • • • • Filtrage du trafic sortant sur toute interface basée sur une liste d’accès étendue Filtrage du trafic entrant sur toute interface basée sur une liste d’accès étendue Filtrage du trafic entrant sur la pile du protocole IP basée sur une liste d’accès étendue Une liste d’accès étendue filtre sur les paramètres suivants: o Gamme d’adresses IP source et destination o Type Of Service (TOS) gamme de valeurs (8 bits dans la tête IP, aussi connu comme bits DSCP) o Protocole IP (par exemple any (0), ICMP (1), IGMP (2), TCP (6), UDP (17)) o Gamme de port source et destination pour paquets UDP / TCP Coupe-feu avec 3 zones (Internet, Corporate, DMZ) et Self (pile du protocole IP) Règles sortantes et entrantes basées sur o Gamme d’adresses IP source et destination o Application (protocole IP et gamme de ports) PAT peut être appliqué sur les règles sortantes et entrantes Règles sortantes et entrantes pour la pile du protocole IP Protection contre attaques: inondation SYN, Routage source, winNuke, rebond FTP, timestamp IP non aligné, MIME flood, prédiction du nombre séquentiel, nombre séquentiel hors capacité, filtrage URL, messages d’erreur ICMP Paramètres sur l’état du coupe-feu et valeurs de performance Enregistrement du coupe-feu avec des priorités différentes o Configurable par règle o Seuil par type d’attaque Le pontage et les VLANs Le pontage • • • • • • • Le protocole Spanning tree (IEEE 802.1D). Ce protocole permet d’avoir plusieurs trajectoires entre deux sites, ce qui crée une redondance dans la connexion. Le pontage peut être active ou désactivé par interface. Il peut être combiné avec le routage IP sur la même interface. Filtrage des paquets sur adresse MAC source sur trafic sortant Un cache de 10.000 adresses MAC le pont auto-apprenant peut être mis hors fonction pour l'opérer comme un répéteur Support VLAN (802.1Q) De multiples 'bridge groups' : un bridge group est une collection d'interfaces qui sont branchées par le pontage. La figure montre un routeur avec 3 bridge groups. Au cas où un The first choice for the l@st mile Version 11.4 - Mai 2005 6of 18 Telindus TDRE • • • • • • • • bridge group est branché à une interface virtuel Ethernet VLAN, c'est possible d'avancer ou de démonter l'identification VLAN (untagging) avant d'envoyer les paquets Ethernet aux autres interfaces du bridge group. Dans un bridge group, on peut définir une adresse IP pour la gestion. aussi des adresses secondaires peuvent être utilisées. Adresse MAC configurable par bridge group On peut activer le routage entre plusieurs bridge-groups Multiple VLANs peuvent être défini dans l'interface dans un bridge group vers le routeur IP. Affectation IP TOS vers 802.1P COS et vice versa sont disponibles sur l’interface LAN pour maintenir l’information de priorité quand on change de format IP vers VLAN ou vice versa. Affectation IP TOS vers 802.1P COS et vice versa sont disponibles sur les données envoyées entre un bridge group et le routeur IP pour maintenir l’information de priorité quand on change de format IP vers VLAN ou vice versa. Jusque 25 VLANs par interface Sur les interfaces LAN et dans les bridge groups, les compteurs de performance MIB2 sont disponibles par VLAN La commutation des VLANs • • • • • Un bridge group peut aussi être configuré comme un "VLAN switch". Dans ce cas une projection est faite entre une identification VLAN sur une interface et une identification VLAN sur une autre interface. Pour ce but, une table 'VLAN switch' est utilisé. Cette table peut aussi être utilisée pour mettre ou enlever les étiquettes VLAN et pour changer la priorité 802.1P. En mode commutation de VLANs Q in Q comme défini en IEEE 802.1ad est disponible Pas de limite pratique sur la quantité de VLANs en mode commutation de VLANs Valeurs de performance Le mode commutation de VLANs peut être combiné avec le pontage pour les paquets d’une seule interface Le filtrage • • • Filtrage sur le trafic sortant sur toute interface basée sur une liste d’accès Une liste d’accès pont filtre sur l’adresse de source MAC Limitation sélective par interface de broadcasts dans un bridge group. Un cache proxy ARP prévient de perdre des requêtes ARP. La traduction des adresses (NAT et PAT) • • • • • • Conforme RFC 3022 NAT mode pour traduction ‘une à une’ des adresses IP privées vers publics PAT mode pour traduction ‘beaucoup à une’ des adresses IP privées vers public (cela s’appelle aussi ‘port mapping’ ou NAPT) NAT/PAT configurable sur chaque interface (l’interface avec l’adresse publique Jusque 5 interfaces NAT/PAT Liste des numéros UDP/TCP qui ne peuvent être traduits The first choice for the l@st mile Version 11.4 - Mai 2005 7of 18 Telindus TDRE • • • Reverse NAT ou ‘port forwarding’ (liste des ports UDP/TCP entrants destines pour un serveur) Easy NAT: le CPE apprend son adresse IP officielle par PPP Application Layer Gateway (ALG) Support inclusif: o Général: FTP, ICMP (Echo, Echo réponse, Destination unreachable, time exceed & source quench), SQLNet o Microsoft Games o Applications Video / Streaming: RTSP, QuickTime, Real Player (Real Audio / Real Video), H.323 (ASN1 PER encodage et decodage inclus), NetMeeting , Intel Video Phone, CuseeMe 5.0, SIP Audio o Communication: Internet Chat, IRC – MIRC, AOL Instant Messenger, AOL enhanced chat, ICQ2000b, Net2Phone, Microsoft Messenger o En rapport avec la sécurité: PPTP, IPSec ESP (Client IPSec du réseau interne), IKE, L2TP Les tunnels et les VPNs PPPoE • Un serveur PPPoE est disponible sur les interfaces LAN et dans les bridge groups. Jusqu’à 100 sessions PPPoE peuvent être terminées. Les tunnels L2TP Le protocole Layer 2 Tunneling (L2TP) imite une connexion de point à point sur un réseau IP. • • • • • • • • • • • Conforme RFC 2661 Sur les interfaces WAN et LAN Authentification du tunnel Disponible pour paquets IP et pontés Tunnels statiques et dynamiques. Les tunnels dynamiques sont crées seulement si du trafic est présent. Un tunnel L2TP tunnel entre une paire d’adresses IP Une session PPP par tunnel L2TP On peut créer des tunnels L2TP sur une interface NAT/PAT Jusque 10 tunnels L2TP Tunnels L2TP de secours Routage snapshot RIP sur les tunnels L2TP La protection IPSec • • • • • • Conforme RFCs 2401 et suivants L2TP mode transport (RFC 3193) ESP (Encapsulation Security Payload), permettant authentification de l’expéditeur et l’encryptage des données (RFC 2406) Support des encryptages DES (56 bits; RFC 2405), 3DES (3 * 56 bits; RFC 2451) et NULL (RFC 2410) Support d’authentification et intégrité HMAC (Keyed-Hashing for Message Authentication) basée sur MD5 (RFC 2403) et SHA-1 (RFC 2404) Support de SA manuels (Security Association) The first choice for the l@st mile Version 11.4 - Mai 2005 8of 18 Telindus TDRE • • Jusque 10 tunnels IPSec (indépendamment de la quantité de tunnels L2TP) Protocole de gestion des clés conforme avec o RFC 2408 “Internet Security Association and Key Management Protocol” o RFC 2407 “IP Security Domain of Interpretation for ISAKMP” o RFC 2409 “Internet Key Exchange” (IKE) Note: Sur le matériel standard, le logiciel manie le cryptage IPSEC. Comme ceci est une tâche consommatrice pour le processeur, la performance de l'expédition des paquets baisse. Par conséquent, il y a des versions disponibles avec un chip de cryptage (HWA). Ce chip prend soin du cryptage / décryptage, en soulageant le logiciel de cette tâche. La qualité de service (QoS) Les polices de priorité Le mécanisme de Qualité du Service est basée sur un total de 7 queues d'expédition par interface. Les queues sont numérotés de 1 à 7 avec 1 la plus basse priorité et 7 la plus haute. Six d'entre eux sont pour le trafic utilisateur, pendant que la dernière est une queue du système: Queue Type de queue Description 1–5 6 queue configurable queue bas délais 7 queue système Queues standards Cette queue est toujours adressée entre chaque queue utilisateur configurable et devrait être utilisée par le trafic qui est sensible au délais. Cette queue est remplie avec des messages de surveillance du lien etc. Elle a une priorité absolue sur toutes les autres queues. La façon que les queues configurables transmettent la données peut être sélectionnée d'après de différents algorithmes. Chaque queue a un quotum et un paramètre de poids. Le quotum définit combien de données sont prises de la queue chaque temps. Le quotum est exprimé en bytes ou en paquets. Le paramètre de poids définit le nombre relatif de fois que cette queue est vidée. Les algorithmes suivants sont implémentés: • • • • • FIFO (first in first out): il n’y a pas de queues séparées utilisées Round Robin: les queues configurables ont un poids identique Absolute Priority: les queues n’ont pas de poids ni de quotum. Une queue à priorité plus basse est vidée seulement si toutes les queues à priorité plus élevées ont été vidées. Weighted Fair Queuing: les poids sont configurables par queue configurable Low delay Weighted Fair Queuing: les poids sont configurables par queue configurable. Le trafic dans la queue de bas délais est vidé toujours avant le trafic dans une des queues configurables. Par queue, une committed information rate (cir) est configurable. Par queue la largeur de bande est mesurée pendant un certain temps. Le trafic qui dépasse la valeur du cir n'est plus entretenu conforme la politique de priorité sélectionnée mais reste dans la queue jusqu'à il n'y a plus d'autres queues avec du trafic au-dessous de leur valeur cir. Si la longueur de la queue maximale est atteinte pendant ce temps, on laisse tomber les paquets supplémentaires. The first choice for the l@st mile Version 11.4 - Mai 2005 9of 18 Telindus TDRE La classification du trafic IP La classification du trafic entre les différentes queues est appelée une ‘IP Traffic Policy’. Il y a plusieurs classifications définies: Trafficshaping Basée sur la variété des paramètres TCP/IP, une politique complètement adaptée peut être établie. Les éléments qui définissent comment le trafic est expédié vers une certaine queue de priorité sont: • • • • • • Gamme d’adresses IP source Gamme d’adresses IP destination Type Of Service (TOS) gamme de valeurs (8 bits dans la tête IP, aussi connu comme bits DSCP) Protocole IP (par exemple any (0), ICMP (1), IGMP (2), TCP (6), UDP (17)) Gamme de port source pour paquets UDP / TCP Gamme de port destination pour paquets UDP / TCP Pendant la classification, la valeur TOS peut être adaptée également. La longueur maximale de chaque queue en paquets (avant qu’on laisse tomber les paquets) est configurable. Information de performance sur le trafic classifié: quantité de discards et usage de chaque ligne dans la table du traffic-shaping TosDiffServ Le trafic est expédié vers les queues basé sur DiffServ (RFCs 2474, 2475) concernant la classe et la précédence pour laisser tomber. Cela veut dire que, selon leur champ Type De Service (TOS), les paquets sont placés dans les queues et/ou on le laisse tomber plus bientôt au cas où la queue est pleine. Les 3 premiers bits du champ TOS définissent la queue: Valeur des bits correspond à 000 jusque 100 101 et plus queues 1 jusque 5, respectivement la queue à bas délais Les prochains 2 bits définissent la précédence pour laisser tomber les paquets: Valeurs des bits on laisse tomber les paquets si 00 et 01 10 11 la longueur de la queue dépasse une valeur configurable maxLength1 la longueur de la queue dépasse une valeur configurable maxLength2 la longueur de la queue dépasse une valeur configurable maxLength3 TosMapped Cette politique simple et flexible autorise de classifier le trafic basé sur des séries de valeurs TOS configurables dans une des queues. La longueur de la queue maximale dans les paquets (avant que les paquets soient tombés) est configurable. The first choice for the l@st mile Version 11.4 - Mai 2005 10of 18 Telindus TDRE La police de trafic pontage En cas de trafic VLAN, on peut utiliser l’étiquette 802.1P pour mettre le trafic dans une des queues décrites avant. La sécurité d’accès Le matériel est protégé par des mots de passe pour accès avec les différents outils d'entretien et de gestion. Pour chaque routeur on peut définir une variété d'utilisateurs où chaque utilisateur peut avoir des droits d'accès personnalisés. Les droits d'accès sont basés sur une combinaison des éléments suivants: • • • • Read-access: lire tous les paramètres sauf les paramètres de sécurité Write-access: écrire tous les paramètres sauf les paramètres de sécurité Security-access: lire et écrire tous les paramètres de sécurité Filesystem-access: accès au fichiers dans la mémoire (configuration, logiciel…) L'unité a aussi un client RADIUS (RFC 2865), qui peut être utilisé pour l'authentification, l'autorisation et la comptabilité (AAA) des sessions d'entretien du réseau ou pour les sessions PPP initialisées par des équipements éloignés. Par interface on peut permettre ou interdire tout accès à l'appareil pour le trafic qui vient de cette interface. L'accès peut aussi être interdit pour des protocoles spécifiques (telnet - HTTP, SNMP, TFTP, FTP). Les outils de maintenance et de gestion Le matériel est supporté par un large ensemble d'outils de maintenance locale et de télémaintenance. Ces outils incluent: • • • • • • • • • • • • • TMA (Telindus Maintenance Application): Une application graphique d'entretien gratuite qui est délivré avec le matériel. Elle peut être utilisée pour accéder à l'appareil à travers une communication sérielle locale ou à travers une communication IP (UDP port 1728). TMA CLI: logiciel autonome pour les command de ligne TMA for HP OpenView: intégration de gestion en HP Openview NNM TMA Element Management: Gestion des éléments de réseau autonome Local console: une connexion standard VT100 avec une interface utilisateur ‘command line’ ou interface interactive TELNET avec une interface utilisateur ‘command line’ ou interface interactive (RFC 854) HTTP interface utilisateur web interactive (RFC 2616) Interface HTTP disponible sur les ports 80 et 8080 Interface web personnalisable basée sur JAVA PING (RFC 792) demande et réponse TFTP configuration et téléchargement du logiciel (RFC 1350) FTP configuration et téléchargement du logiciel (RFC 414) TML: Telindus Memory Loader pour le chargement de la configuration ou du logiciel par l’interface sérielle console The first choice for the l@st mile Version 11.4 - Mai 2005 11of 18 Telindus TDRE • • • • • • SNMP (RFC 1157) SNMP MIB2 (RFC 1213), MIB privé SNMP traps (RFC 1215) SYSLOG génération des alarmes (RFC 3164) Simple Network Time Protocol (SNTP) (RFC 2030) IP loop back adresse L’historique des caractéristiques Les caractéristiques nouvelles en TDRE 11.0 L’encapsulation PPP • • • MS-CHAP1 (RFC 2433) et MS-CHAP2 (RFC 2759) extensions du protocole d’authentification CHAP Multi-class PPP (RFC 2686) Bandwidth Allocation Protocol (BAP) (RFC 2125) pour les interface RNIS L’encapsulation Frame Relay • • • • Fragmentation Frame-relay (FRF 12) Multi-link Frame-Relay (FRF 16.1) Algorithme amélioré pour le calcul du CIR/EIR La quantité totale des DLCIs a augmenté de 40 à 200 L’encapsulation ATM • OAM F4 /F5 segment et end-to-end CC (Continuity Cells) (Telindus 1431 seulement) Les autres encapsulations WAN • Encapsulation Error test pour les tests d’erreurs extrémité à extrémité sur les réseaux TDM entre équipements Telindus Les caractéristiques des interfaces • MRU (Maximum Receive Unit) configurable pour interfaces avec encapsulation HDLC, PPP et Frame Relay jusqu’une valeur maximale de 1650 bytes Les interfaces réseau commuté • Opération ligne louée sur les interface RNIS BRI (Standard Festverbindung (SFV)) Le routage • • • • Le routage basé sur un police peut être utilisé aussi sur les interfaces NAT/PAT Triggered RIP pour interfaces RNIS Protocole de routage OSPF Le IP MTU peut être configuré sur les interfaces WAN et LAN (valeurs entre 500 et 1650 bytes) The first choice for the l@st mile Version 11.4 - Mai 2005 12of 18 Telindus TDRE Le filtrage IP et firewall • • Filtrage du trafic entrant d’une interface basé sur une extended access list Filtrage du trafic entrant sur le IP protocol stack basé sur une extended access list Le pontage et les VLANs • • • • Adresse MAC configurable par bridge group Affectation IP TOS vers 802.1P COS et vice versa sont disponibles sur l’interface LAN pour maintenir l’information de priorité quand on change de format IP vers VLAN ou vice versa. En mode VLAN switching, Q in Q comme défini en IEEE 802.1ad est disponible Limitation sélective par interface de broadcasts dans un bridge group. Un cache proxy ARP prévient de perdre des requêtes ARP. La traduction des adresses (NAT et PAT) • Jusque 5 interfaces NAT/PAT Les tunnels et les VPNs • On peut créer des tunnels L2TP sur une interface NAT/PAT La qualité de Service • Par queue, une committed information rate (cir) est configurable. Par queue la largeur de bande est mesurée pendant un certain temps. Le trafic qui dépasse la valeur du cir n'est plus entretenu conforme la politique de priorité sélectionnée mais reste dans la queue jusqu'il n'y a plus d'autres queues avec du trafic au-dessous de leur valeur cir. Si la longueur de la queue maximale est atteinte pendant ce temps, on laisse tomber les paquets supplémentaires. Les caractéristiques nouvelles en TDRE 11.1 L’encapsulation ATM • En mode routage, auto PPP est disponible: une sélection automatique entre PPPoA et PPPoE. L’affectation d’une adresse IP et approvisionnement automatique • • DNS proxy: o Si le routeur a une adresse statique serveur DNS configurée ou il a reçu une adresse serveur DNS par une requête DHCP (comme client DHCP), le routeur utilise cette adresse dans ces réponses DHCP (comme serveur DHCP). o Si le routeur n’a pas encore d’adresse serveur DNS, il utilise sa propre adresse comme adresse serveur DNS dans les réponses DHCP avec un court temps de lease. Possibilité de bloquer des demandes DHCP client sur les LAN et venant des bridge groups Le pontage et les VLANs • • Multiple VLANs peuvent être défini dans l'interface dans un bridge group vers le routeur IP. Affectation IP TOS vers 802.1P COS et vice versa sont disponibles sur les données envoyées entre un bridge group et le routeur IP pour maintenir l’information de priorité quand on change de format IP vers VLAN ou vice versa. The first choice for the l@st mile Version 11.4 - Mai 2005 13of 18 Telindus TDRE Les tunnels et les VPNs • Un serveur PPPoE est disponible sur les interfaces LAN et dans les bridge groups. Jusqu’à 100 sessions PPPoE peuvent être terminées. Ceci n’est disponible que sur les produits Telindus 1061 Router et Telindus 2400 Series. La qualité de Service • Information de performance est disponible sur le trafic classifié: quantité de discards et usage de chaque ligne dans la table du traffic-shaping Les outils de maintenance et de gestion • Interface web personnalisable basée sur JAVA Les caractéristiques nouvelles en TDRE 11.2 Le routage • • • • • L’information statut en OSPF inclût aussi o La masque reçue dans la table LSA réseau, la table LSA résumée et la table LSA externe o Le type importé dans la table des routes externes La métrique par défaut peut être configurée pour importer les routes RIP et statiques en OSPF. L'importation de routages externes dans OSPF peut être filtrée. Virtual Router Redundancy Protocol conforme RFC 3768 Liste des interfaces critiques: quand au moins une interface critique n’est pas disponible, le routeur se manifeste comme indisponible pour VRRP Le pontage et les VLANs • • Des adresses secondaires IP peuvent être configurées dans le bridge group. Sur les interfaces LAN et dans les bridge groups, les compteurs de performance MIB2 sont disponibles par VLAN Les caractéristiques nouvelles en TDRE 11.3 Les interfaces réseau commuté • • Les interfaces E1 ‘Channelised’ peuvent être utilisées comme interface RNIS PRI (jusqu’à 30 appels RNIS simultanés) Connexion par rappel ISDN conformément à l’extension en PPP LCP (RFC 1570). Les exploitations 0, 1 et 3 sont supportées. L’affectation d’une adresse IP et approvisionnement automatique • • Les adresses IP dans le serveur DHCP sont configurables par interface Le serveur DHCP rassemble les noms du DNS de tous les clients DHCP et acte comme un serveur DNS local pour ces noms Le pontage et VLANs • Table de performance pour le VLAN switching The first choice for the l@st mile Version 11.4 - Mai 2005 14of 18 Telindus TDRE • • La quantité de VLANs dans le tableau VLAN n’est plus restreinte à 25. La quantité totale d’interfaces reste limitée à 255. Le mode VLAN switching mode peut être combiné avec le mode pontage pour les paquets d’une seule interface Les outils de maintenance et de gestion • M’interface web est aussi disponible sur le port 8080. Les tunnels et les VPNs • • Discard sur les tunnels L2TP: autorise la remise à l'état initial et la fermeture des routes du tunnel principal quand le tunnel n’est plus disponible. Routage RIP snapshot disponible sur les tunnels L2TP Les caractéristiques nouvelles en TDRE 11.4 Le filtrage IP et firewall • • • • • • • Firewall avec 3 zones (Internet, Corporate, DMZ) et Self (pile du protocole IP) Règles sortantes et entrantes basées sur o Gamme d’adresses IP source et destination o Application (protocole IP et gamme de ports) PAT peut être appliqué sur les règles sortantes et entrantes Règles sortantes et entrantes pour la pile du protocole IP Protection contre attaques: inondation SYN, Routage source, winNuke, rebond FTP, timestamp IP non aligné, MIME flood, prédiction du nombre séquentiel, nombre séquentiel hors capacité, filtrage URL, messages d’erreur ICMP Paramètres sur l’état du Firewall et valeurs de performance Enregistrement du Firewall avec des priorités différentes o Configurable par règle o Seuil par type d’attaque La traduction des adresses (NAT et PAT) • Application Layer Gateway (ALG) Support inclusif: o Général: FTP, ICMP (Echo, Echo réponse, Destination unreachable, time exceed & source quench), SQLNet o Microsoft Games o Applications Video / Streaming: RTSP, QuickTime, Real Player (Real Audio / Real Video), H.323 (ASN1 PER encodage et decodage inclus), NetMeeting , Intel Video Phone, CuseeMe 5.0, SIP Audio o Communication: Internet Chat, IRC – MIRC, AOL Instant Messenger, AOL enhanced chat, ICQ2000b, Net2Phone, Microsoft Messenger o En rapport avec la sécurité: PPTP, IPSec ESP (Client IPSec du réseau interne), IKE, L2TP Les tunnels et les VPNs • Protocole de gestion des clés conforme avec o RFC 2408 “Internet Security Association and Key Management Protocol” The first choice for the l@st mile Version 11.4 - Mai 2005 15of 18 Telindus TDRE o o RFC 2407 “IP Security Domain of Interpretation for ISAKMP” RFC 2409 “Internet Key Exchange” (IKE) The first choice for the l@st mile Version 11.4 - Mai 2005 16of 18 Telindus TDRE Caractéristiques reliées au hardware Les versions TDRE par produit La table en dessous désigne par produit et par version TDRE si ces caractéristiques TDRE sont disponibles dans le micrologiciel le plus tardif. Caractéristique 1021 Router 1030 Series 1061 1221 1421 1422 1423 1431 2400 Series Crocus Router 10M Interface TDRE 11.0 √ √ √ √ √ √ √ √ √ √ TDRE 11.1 √ √ √ √ √ √ √ √ √ √ TDRE 11.2 √ √ √ √ √ √ √ √ √ TDRE 11.3 √ √ √ √ √ √ √ √ √ TDRE 11.4 √ √ √ Les encapsulations WAN Caractéristique 1021 ISDN 1030 G703 1030 RS530 1030 ISDN 1030 ISDN LL PPP Multilink PPP Multi-class PPP Frame Relay Multilink Frame Relay HDLC Test d’erreur ATM ATM IMA √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ √ 1. 2. 3. 4. √ √ √ √ 1221 1421 14233 1422 14234 1431 2400 Series DSL intf √ √ √ TIM E31 TIM STM11 √2 √2 √ √2 √2 √ √ √ √ TIM 6E11 Cr Rtr 10M Intf √ √ √ √ √ √ √ √ √ √ Les interfaces TIM sont disponibles pour le Telindus 1061 et le Telindus 2400 Series En modes PPP et Frame Relay, les interfaces E1 fonctionnent en mode tramé, éventuellement en E1 fractionnel Les versions Telindus 1423 avec un accélérateur d’encryptage (HWA) Les versions Telindus 1423 sans accélérateur d’encryptage (HWA) The first choice for the l@st mile Version 11.4 - Mai 2005 17of 18 Telindus TDRE Autres caractéristiques Caractéristique 1021 Router 1030 Series Accélérateur d’encryptage (HWA) √2 √1 Performance routage (pps) 85000 45000 Performance routage avec IPSec en utilisant le HWA (pps) TBD 4200 Performance pontage (pps) 110000 36000 # Bridge groups 13 13 1061 1221 1421 √2 √1 60000 850003 40000 TBD 4000 150000 75000 1100003 30000 30000 25 13 13 13 150000 1422 1423 1431 2400 Series Crocus Router 10M Interface 40000 150000 45000 75000 1100003 30000 150000 36000 13 13 25 13 √2 40000 60000 850003 TBD 4 # ATM PVCs - 31 200 31 31 31 31 30 200 Mémoire Flash (M Byte) 8 16 64 8 8 8 8 8 16 8 128 16 8 8 16 8 32 8 Mémoire RAM (MByte) 16 Interface web JAVA personnalisable √ 5 16 √ √ 1. 2. 3. 4. Disponible sur les versions avec indication 3DES Disponible plus tard sur les versions avec une indication HWA; comprend aussi l’encryptage AES La valeur la plus élevée est pour les versions avec indication un accélérateur d’encryptage (HWA) Ceci comprend jusque 12 PVCs routés/pontés et soit (18 FRF.5/FRF.8 PVCs) ou (18 ATM over E1 PVCs) ou (5 CES PVCs + 1 PVC de basse vitesse pour la gestion) 5. 64MByte sur le Telindus 1035 The first choice for the l@st mile Version 11.4 - Mai 2005 18of 18