Les aventures d'un paquet sur les routeurs Huawei - IP transfert Unicast

100 0 0 0

Les chapitres précédents décrivent comment un paquet est traité sur le plan de transfert. En effectuant cette action, le processus de transfert est le processus le plus important et varie selon le service. Les processus d’expédition de différents services seront détaillés dans les chapitres suivants. Ce chapitre décrit les processus de transfert Unicast IPv4 et IPv6.


1- IPv4 Transfert Unicast

Commencer avec IPv4 Transfert Unicast


Tout d’abord, examinons le processus de transfert unicast IP en prenant des exemples de trames Ethernet.


La figure suivante illustre un scénario de transfert IP simple. PC-A sur le LAN 1 envoie un paquet IP à PC-B sur le LAN 2 via un routeur, ce routeur 

est la passerelle de PC-A.

56fc8c882b6f6.png


L'adresse IP de destination du paquet est l'adresse IP de PC-B, l'adresse IP source est l'adresse IP de PC-A, l'adresse MAC de destination

est l'adresse MAC du port 1 du routeur et l'adresse MAC source est l'adresse MAC de PC-A.

56fc8c8f33109.png


Processus de transfert sur le routeur:


À la réception du paquet, le routeur l’analyse car l’adresse MAC de destination est l’adresse MAC du port 1. Si le MAC de destination n’est pas

une adresse MAC locale, le routeur effectue directement le transfert de couche 2 sans analyser le paquet.


Constatant que le protocole transporté dans le paquet est IPv4 (la valeur de eth_type étant 0x800), le routeur effectue le transfert IPv4 en conséquence.


Le routeur recherche dans la table de transfert IP (FIB). Sachant que le paquet n'est pas destiné à lui-même et que l'interface sortante est le port 2, le routeur n'analyse pas le contenu restant dans l'en-tête IP.


Le routeur remplace l'adresse MAC de destination par l'adresse MAC de PC-B et l'adresse MAC source par l'adresse MAC du port 2, puis transmet le paquet par le port 2.


Processus de transfert IPv4 sur un routeur


La figure suivante illustre l'ensemble du processus de transfert IPv4. Ce faisant, nous devrions prêter attention aux informations de transmission et d’encapsulation basées sur la FIB.


56fc8c96bec5b.png

Transfert basé sur FIB:


56fc8c9ddc93a.png


Vérifie si l'adresse MAC de destination est une adresse MAC locale. Sinon, le routeur effectue le transfert L2. Si tel est le cas, le routeur passe à l'étape suivante.

Vérifie si le type de protocole du paquet est IPv4.


Par exemple, dans le cas d'une trame Ethernet, le routeur vérifie si la valeur de eth_type est 0x800. Sinon, le routeur effectue le processus de

transfert correspondant. Si tel est le cas, le routeur passe à l'étape suivante.


Vérifie si la longueur du paquet, l'adresse IP et la somme de contrôle sont correctes. Sinon, le routeur supprime le paquet. Si tel est le cas, 

le routeur passe à l'étape suivante.


Vérifie si l'adresse IP de destination est une adresse IP unicast. Sinon, le routeur effectue le processus de transfert correspondant. Si tel est le cas, le routeur passe à l'étape suivante.


Recherche dans la FIB l'adresse IP du prochain saut et l'interface sortante correspondant à l'adresse IP de destination. Dans le cas d'un paquet public, le routeur cherche dans le FIB public. Dans le cas d'un paquet VPN, le routeur recherche la FIB du VPN correspondant.


FIB:

Destination/Mask  Nexthop    Flag  TimeStamp  Interface            TunnelID
10.2.5.0/24       10.2.5.5    U     t[5847]   GigabitEthernet1/0/0     0x0
10.2.5.5/32       127.0.0.1   HU    t[5847]   InLoop0                  0x0


Si des itinéraires à coûts égaux sont disponibles pour l'équilibrage de charge, ils sont tous affichés dans le FIB. Le routeur utilise l'algorithme de hachage d'équilibrage de charge pour en sélectionner un. Pour plus d'informations sur l'équilibrage de la charge, voir Sujet spécial - Équilibrage de la charge.


Si Fast reroute (FRR) est activée, le routeur sélectionne la route principale ou de secours en fonction de l'état de l'interface sortante. Si l'interface est Up, il sélectionne la route principale. Sinon, il sélectionne la route de sauvegarde.

Si l'interface sortante est une interface de ligne réseau, le routeur utilise l'algorithme de hachage d'équilibrage de la charge de la ligne réseau pour sélectionner une interface membre de la ligne réseau en tant qu'interface sortante.


Si la vérification URPF (Unicast Reverse Path Forwarding) est activée, le routeur recherche le FIB en fonction de l'adresse IP source. Dans le cas d'une vérification lâche d'URPF, un paquet réussit la vérification tant que l'interface sortante est une interface physique. Plus précisément, l'interface sortante ne peut pas être la CPU ou une interface de tunnel Null, TE ou IPv4. Dans le cas d'une vérification URPF stricte, le routeur recherche dans la FIB en fonction de l'interface entrante et de l'adresse IP source de chaque paquet. Si une route correspondante existe dans la FIB et que l'interface entrante du paquet est l'interface sortante de la route, le paquet passe le contrôle; sinon, le routeur supprime le paquet. Si l'interface entrante est une sub-interface de VLAN, l'interface sortante doit être l'interface entrante et les deux interfaces doivent avoir le même VLAN ID.


REMARQUE:


Dans la plupart des cas, lorsqu'un routeur reçoit un paquet, il recherche une route en fonction de l'adresse IP de destination du paquet. Si une route est disponible, le routeur transmet le paquet en conséquence. Si aucune route n'est disponible, le routeur rejette le paquet.


Si la vérification URPF est activée, le routeur obtient l'adresse source et l'interface entrante du paquet, recherche dans la FIB une route destinée à l'adresse IP source et vérifie si l'interface sortante de la route est l'interface entrante du paquet. Le contrôle URPF empêche les attaques utilisant des adresses IP source usurpées.


Toutefois, il peut exister plusieurs routes vers la même adresse IP de destination dans la FIB dans certains scénarios, notamment dans un scénario d'équilibrage de la charge. Les interfaces sortantes des routes sont différentes. Si URPF est configuré dans ce cas, une perte de paquet se produira. Pour éviter ce problème, utilisez le contrôle loose URPF. En mode loose URPF, un paquet peut passer le contrôle URPF tant qu’une route est destinée à l’adresse IP source du paquet, que l’interface sortante de la route corresponde ou non à l’interface entrante du paquet.


Si l'adresse IP de destination n'est pas une adresse IP locale, le routeur diminue de 1 la durée de vie dans l'en-tête du paquet, recalcule et modifie la valeur de la somme de contrôle et effectue les opérations suivantes, telles que CAR. Si l'adresse IP de destination est une adresse IP locale (l'adresse IP du saut suivant est 127.0.0.1), le routeur envoie le paquet au composant TM en amont.


Enfin, la SFU envoie le paquet à la LPU de liaison descendante (downlink LPU) en fonction des informations d'interface sortante (y compris la LPU de destination et l'interface sortante).


Obtention d'informations sur l'encapsulation

Sur la LPU de liaison descendante (downlink LPU), le PFE recherche une entrée ARP en fonction de l'adresse IP de saut suivant (next hop) ou de destination et de l'ID de VLAN pour obtenir l'adresse MAC de destination, puis recherche l'adresse MAC de l'interface sortante. Ensuite, le PFE remplace l'adresse MAC de destination par l'adresse MAC du saut suivant (next hop) et l'adresse MAC source par l'adresse MAC de l'interface sortante locale.


Table ARP:

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE   INTERFACE  VPN-INSTANCE
------------------------------------------------------------------------100.2.150.51    0018-8201-4daa            I -    GE0/0/0
100.2.200.7     0013-d326-a32f  1         D-0    GE0/0/0
192.1.23.1      00e0-fcd5-c877            I -    GE1/0/2
37.1.3.1        00e0-fcd5-c863            I -    GE1/0/3


Si aucune entrée ARP correspondante n'existe, la fonction d'apprentissage ARP est déclenchée, avec les étapes détaillées comme suit:


Le routeur envoie un paquet de requête ARP. L'adresse MAC de destination du paquet est une adresse de diffusion, l'adresse IP de destination 

est l'adresse IP du saut suivant et l'adresse IP source est une adresse IP locale.

Étant donné que l'adresse MAC de destination du paquet est une adresse de diffusion, tous les périphériques ou hôtes 

(y compris le périphérique du saut suivant) du réseau local peuvent recevoir le paquet. À la réception du paquet, le périphérique du saut suivant

l'analyse et découvre que l'adresse IP de destination est sa propre adresse IP. Il répond avec un paquet de réponse ARP portant sa propre 

adresse MAC.

Une fois que le routeur a reçu le paquet de réponse, il obtient et ajoute l'adresse MAC du saut suivant à la table d'entrées ARP.


Contrôle sortant et encapsulation


Si l'adresse IP de destination du paquet est une adresse IP locale, le module de traitement d'interface sortante envoie le paquet à la CPU de la LPU. Enfin, le paquet est envoyé à la CPU du MPU.

Si l'adresse IP de destination du paquet n'est pas une adresse IP locale, le module de traitement de l'interface sortante vérifie si la longueur du paquet est supérieure à la MTU. Si la longueur du paquet est inférieure à la MTU, le module envoie le paquet au PIC. Le PIC calcule la séquence de contrôle de trame (FCS) en fonction du contenu de la trame de données à envoyer et encapsule l'espace intertrame, le préambule, le délimiteur de début de trame (SFD) et le FCS dans la trame. Ensuite, le PIC convertit la trame de données en signaux optiques ou électriques et envoie les signaux à l'interface sortante.

Si la longueur du paquet dépasse la MTU, le routeur vérifie le bit DF dans l'en-tête du paquet. Si le bit DF est à 0, le routeur fragmente le paquet, puis envoie les fragments au PIC. Si le bit DF est à 1, l'extrémité source du paquet n'autorise pas la fragmentation. Dans ce cas, le routeur effectue une vérification CP-CAR et envoie le paquet à la CPU de la LPU, puis à la CPU de la MPU. Enfin, le routeur répond à la source par un message ICMP Too-Big.


2- IPv6 Transfert Unicast


Les processus de transfert IPv4 et IPv6 sont similaires, avec les différences suivantes:


Dans le processus de transfert IPv4, le routeur recherche les entrées FIBv4 et ARP. Dans le processus de transfert IPv6, le routeur cherche dans 

la table FIBv6 et la table voisine.

Dans le processus de transfert IPv6, si la longueur d'un paquet dépasse l'interface MTU IPv6, le routeur ne fragmente pas le paquet. Au lieu de 

cela, il l'envoie à la CPU et répond à la source par un message ICMP Too-Big.


Table de voisinage IPv6:


[Router] display ipv6 neighbors 
----------------------------------------------------------------
IPv6 Address : 2012::2
Link-layer   : 00e0-fcc2-13b6                             State : STALE
Interface    : GE0/0/0                                    Age   : 0
VLAN         : -                                          CEVLAN: -
VPN name     :                                         Is Router: TRUE
Secure FLAG  : UN-SECURE

IPv6 Address : FE80::2E0:FCFF:FEC2:13B6
Link-layer   : 00e0-fcc2-13b6                             State : STALE
Interface    : GE0/0/0                                    Age   : 0
VLAN         : -                                          CEVLAN: -
VPN name     :                                         Is Router: TRUE
Secure FLAG  : UN-SECURE
----------------------------------------------------------------





  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.

Connectez-vous pour participer à la communication et au partage

S'identifier
Réponse rapide Accéder au haut de page