WO2008001021A1 - Procede et dispositif de gestion de configuration d'equipements d'un reseau - Google Patents
Procede et dispositif de gestion de configuration d'equipements d'un reseau Download PDFInfo
- Publication number
- WO2008001021A1 WO2008001021A1 PCT/FR2007/051566 FR2007051566W WO2008001021A1 WO 2008001021 A1 WO2008001021 A1 WO 2008001021A1 FR 2007051566 W FR2007051566 W FR 2007051566W WO 2008001021 A1 WO2008001021 A1 WO 2008001021A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- data
- network
- configuration
- collected
- equipment
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/085—Retrieval of network configuration; Tracking network configuration history
- H04L41/0853—Retrieval of network configuration; Tracking network configuration history by actively collecting configuration information or by backing up configuration information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5046—Resolving address allocation conflicts; Testing of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0876—Aspects of the degree of configuration automation
- H04L41/0886—Fully automatic configuration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0889—Techniques to speed-up the configuration process
Definitions
- the present invention relates to a data collection method in a data transmission network, a device configuration management method of a network, a processing device, a collection device, a configuration configuration management system, a network and a computer program.
- the invention relates more particularly to the management of data transmission networks, using a protocol of the IP (Internet Protocol) family, for example of the IPv4 or IPv6 type, and of large dimensions, that is to say comprising a large number fixed or mobile equipment, connected with or wirelessly.
- IP Internet Protocol
- each connected equipment is configured by configuration data of its own, in particular by an IP (Internet Protocol) address which allows the routing of the IP packets that are intended for the equipment.
- IP Internet Protocol
- Such equipment may be in particular a terminal or a router. Subsequently, by way of example, the case of an IP terminal and the configuration of its IP address will be described more particularly.
- this IP address and other configuration data are dynamically assigned to the terminal when it connects to the data network. Assigning the IP addresses to the connected terminals is distributed among a plurality of configuration data assignment servers, for example of the Dynamic Host Configuration Protocol (DHCP) type.
- DHCP Dynamic Host Configuration Protocol
- IP addresses are not randomly assigned but meet predetermined attribution criteria.
- the assignment of an IP address to a terminal connected to the network depends for example on a subnet to which it is connected, that is to say the location of the terminal in the network.
- Each sub-network can for example be associated with a single DHCP server in charge of managing its addressing.
- Managing a large network requires managing information about the network topology, the types of equipment connected to the network, the services implemented in the network, the configuration parameters of the network equipment, and more. generally to the parameters necessary for the management of the connection and access to the equipment network.
- the addressing plan that is to say the description of a distribution in the network of addresses of the equipment connected to the network must be known by the servers assignment of configuration data.
- the network addressing plan can be defined by a higher authority sometimes called "configuration manager".
- This addressing plan is a reference data for network configuration management.
- most of the terminal addresses are dynamically assigned by the configuration data assignment servers, it is also possible that the address of a terminal connected to the data transmission network has been statically configured. that is, this address has not been assigned by a configuration data assignment server but by the user of the terminal itself.
- the arbitrary choice of an address by a user is not necessarily in accordance with the addressing plan defined by the configuration manager or by the configuration data assignment servers.
- the configuration manager and the configuration data assignment servers although aware of the configuration data assigned by the configuration data assignment servers, do not have information relating to the data of the configuration data. configuration attributed by other mechanisms, or those resulting from errors, duplication, non-use of assigned data, configuration data that are not used or hacking attempts, etc.
- a known method for comparing the real configuration of a network with reference configuration data and in particular for detecting duplicate addresses is to use an Internet Control Message Protocol (ICMP) request called "Echo” or "ping" before any dynamic assignment of an address to a terminal.
- ICMP Internet Control Message Protocol
- the configuration data assignment server issues a "ping" request to the new address to be allocated. If a terminal already connected to the network has this address, it should send a response to the configuration data assignment server which concludes that it can not assign that address to another terminal. In practice, however, a lack of response to this request does not mean provided that none of the terminals of the data transmission network has statically assigned this address. Indeed, some firewalls of the terminals are configured to block this type of request which is sometimes assimilated to an attack. In addition, the terminal can disable the ICMP response function to the "ping" request. This method of duplicate address detection is therefore not reliable. In addition, it does not allow the detection of unused addresses or for which the address assignment procedure has failed.
- IPv4 ", a contribution by authors Forte, Shin and Schulzrinne.
- This document proposes to use a method for collecting configuration data by means of traffic observation means and collection of addresses distributed over the network, able to transmit to a DHCP server at each instant the collected addresses. For this, the collection means observe the data packets transmitted on the network and extract the addresses.
- This document specifies that the observation means extract a particular MAC address packets. However, the source MAC address of an IP packet transmitted by a device is overwritten by the first IP router encountered. This document therefore recommends to have the means of observation and collection between each terminal and each first router to which the terminal is connected.
- Another known method uses the Netflow protocol to collect the characteristics of the IP flows exchanged between the devices.
- This method of collecting characteristic data of the flows exchanged by equipment connected to a data transmission network comprises steps during which means for observing the traffic of the routers extract the characteristics of the IP flows exchanged between equipment transmitting data on the network. data transmission network, the transmission means of the routers transmit these characteristics by means of collection; then the collection means transmit all the characteristics of configuration collected to at least one processing module.
- this collection method is also not suitable for use on a large network since, because of the extent of the network, the amount of observed addresses and addresses transmitted to the processing module is considerable. .
- each processing module receives from the collection means all the collected addresses which can cause saturation of the network.
- the invention thus proposes a method for managing equipment configuration of a network from collected data that can be used for a large data transmission network.
- the subject of the invention is a device configuration management method of a data transmission network, comprising the following steps:
- the management method according to the invention notably uses a data collection method comprising the following steps:
- collection means collect data characteristic of the flows exchanged by equipment through the data transmission network
- the collection means transmitting to the processing module the portion of the collected configuration data corresponding to the choice criterion transmitted.
- the collection means are informed of the data that wishes to receive the processing module.
- This method is therefore perfectly adapted to large networks and makes it possible to effectively detect anomalies in the management of the network, in particular by comparing theoretical information known to the server, relating to the assigned configuration data, with information on the network. actual use of configuration data within the network.
- this configuration management method is independent of the MAC addresses of the equipment connected to the network, unlike the method described in the document "Passive Duplicate Address Detection for the Dynamic Host Configuration Protocol for IPv4" mentioned above.
- the equipment connected to the network does not necessarily include a MAC address.
- the configuration management method according to the invention is independent of the Layer 2 protocol of the OSI model used by the equipment.
- the equipment address collection method used in the management method of the invention may further include one or more of the features below.
- the collection means comprise at least one router and at least one collector, the router transmitting to the collector information on a data stream that it has processed when the router has detected the end of the processed flow.
- This separation into two entities of the collection means makes it possible to process the data streams in a sequential manner. Indeed, the router only transmits the information to the collector once it has detected the end of the flow and not to each new packet received. This makes it possible to avoid network saturation and to distribute the processing between the routers and the collectors.
- the router of the collection means is advantageously a core router of the data transmission network. Since the router is close to the core of the data network and not close to each of the terminals, this makes it possible to reduce the number of routers of the network to be equipped, and thus to implement this method over a large network. dimensions.
- the collection means use information exported along the water by protocols such as NetFlowJPFix, syslog ....
- the use of an already existing protocol makes it possible to reduce the implementation costs of the method of the invention.
- the selection criterion comprises at least one of the elements of the set consisting of a range of addresses that can be assigned to network devices, a network domain, an address of a destination router, an interface number input into a router, a predetermined addressing plan.
- an administrative domain also called AS, of the English "Autonomous System ”
- AS of the English "Autonomous System ”
- a configuration management method according to the invention may further include one or more of the following features:
- the data collected by the collection means are configuration data network equipment, including addresses assigned equipment.
- the selection criterion comprises at least one of the elements of the set consisting of a range of addresses that can be assigned to network devices, an administrative domain of the network, an address of a destination router; , an interface number input into a router, a predetermined addressing plan.
- the processing module is part of a configuration data assignment server and the configuration data assignment server transmits to the collection means information defining at least one domain of the network for which the allocation server configuration data manages the assignment of configuration data, this information constituting a criterion for choosing the data to be transmitted. It is desirable that the comparison of the configuration data assigned by a configuration data assignment server with equipment configuration data extracted from the collected data is performed by the organ responsible for this configuration. that is, by the configuration or address data assignment server. On a large network, the assignment of configuration data to devices is distributed among multiple allocation servers. This allocation assumes that each assignment server has its own attribution domain. For example, in the case of assigning IP addresses, the allocation domain of each allocation server comprises a range of addresses that it is able to assign.
- the allocation server transmits to the collection means information concerning the configuration data domain that it is able to allocate so that the collection means transmit only the configuration data to it. collected as part of its award area.
- the configuration data assignment server transmits a range of addresses to the collection means, the address range corresponding to a range of addresses which can be allocated by the configuration data assignment server, this address range constituting a selection criterion for the data to be transmitted.
- the invention also relates to a configuration data processing device comprising:
- the processing device is part of a configuration data assignment server to a network equipment.
- the invention also relates to a device for collecting data in a data transmission network, comprising
- data collection means characteristic of the flows exchanged by equipment through the data transmission network; means for transmitting at least part of the data collected to the processing device;
- the processing device means for interpreting a selection criterion transmitted by the processing device in order to transmit to the processing device only the portion of the collected data meeting the selection criterion.
- the collection device is part of a router of the data transmission network.
- the subject of the invention is also a system for managing the configuration of a data transmission network, comprising a processing device as defined above and a collection device, the latter comprising: means for collecting data characteristic of flows exchanged by equipment through the data transmission network,
- the subject of the invention is also a computer program intended to be integrated into configuration data collection means of a system as defined above, comprising instructions for interpreting a selection criterion transmitted by a processing module and instructions for selecting, from the collected configuration data, those meeting the selection criterion.
- the various steps of the method according to the invention are implemented by software or computer program, this software comprising software instructions intended to be executed by a data processor of a processing device and / or collection and designed to control the execution of the different steps of this process.
- the invention is also directed to a program that can be executed by a computer or a data processor, which program includes instructions for controlling the execution of the steps of a method as mentioned above.
- This program can use any programming language, and be in the form of source code, object code, or intermediate code between source code and object code, such as in a partially compiled form, or in any other form desirable shape.
- the invention also relates to a data carrier readable by a computer or data processor, and comprising instructions of a program as mentioned above.
- the information carrier may be any entity or device capable of storing the program.
- the medium may comprise storage means, such as a ROM, for example a CD ROM or a microelectronic circuit ROM, or a magnetic recording medium, for example a floppy disk or a disk. hard.
- the information medium may be a transmissible medium such as an electrical or optical signal, which may be conveyed via an electrical or optical cable, by radio or by other means.
- the program according to the invention can be downloaded in particular on an Internet type network.
- the information carrier may be an integrated circuit in which the program is incorporated, the circuit being adapted to execute or to be used in the execution of the method in question.
- FIG. 1 represents a data transmission network comprising a configuration control system according to the invention
- FIG. 2 is a diagram of the steps of a network configuration management method according to the invention.
- FIG. 1 shows a data transmission network designated by the general reference 10.
- This data transmission network 10 is an IP network, but the present invention also applies to any other type of network.
- the network 10 comprises two subnetworks 10a and 10b.
- a plurality of terminals 12 is connected to the network 10.
- a portion of the terminals 12 is connected to the sub-network 10a while another portion of the terminals 12 is connected to the sub-network 10b.
- the network 10 also comprises a plurality of routers 14 connected to each other so as to ensure the transmission of data packets through the network.
- the devices connected to the network 10, such as the terminals 12 and the routers 14, may be designated more generally under the term "equipment".
- equipment configuration data 12, 14, in particular their IP addresses, are dynamically allocated by configuration data assignment servers 16 and 18, which are DHCP servers in the example shown.
- the configuration data assigned to it may include both its IP address and a network address, i.e. an address space for terminals connecting to the router.
- IP address of the router and its network address are assigned dynamically during the movement of the vehicle.
- Network configuration management reference data including topology information, configuration management rules, usage rules, data assignment rules, information needed for network engineering or services, the information necessary to manage the connection to the equipment network and the addressing plan of the terminals 12 connected to the network 10 are determined by a configuration manager 20.
- the Reference data managed by this handler is stored in a reference file or database.
- the manager 20 includes a team of administrators and network engineers, which determines reference data taking into account the different equipment that is part of it.
- the manager 20 includes a network configuration management device, accessing the database, implementing an application program that facilitates or automates all or part of the management of the network for a person responsible for the administration of the network.
- the topology of the network is such that the DHCP server 16 deals more particularly with the allocation of the addresses of the terminals 12 connected to the subnet 10a of the network 10, while the DHCP server 18 takes care of the allocation of the addresses of the terminals 12 connected to the subnet 10b of the network 10.
- the sub-network 10a, respectively the sub-network 10b thus corresponds to the administrative domain of the server 16, respectively of the server 18.
- the distribution of the domains allocation is determined by the manager 20.
- the manager 20 defines a reference configuration of the network 10, including including reference configuration data that meet the needs of the network and are adapted to the desired use of the network.
- This reference configuration may however differ from the actual configuration of the network, that is to say the configuration of the network as it can be observed.
- the network 10 further comprises a system 22 for controlling the configuration of the network 10.
- the system 22 comprises means 24 for collecting configuration data and in particular the addresses of the terminals 12 transmitting data on the network 10 and modules 26 for processing the data collected.
- the modules 26 for processing the collected data are part of, for example, DHCP servers 16 and 18 or communicate with them. These processing modules 26 are for example constituted by a calculation software integrated with each of the DHCP servers.
- the means 24 for collecting addresses of the terminals 12 comprise the routers
- the means 24 for collecting addresses are means conventionally used for the implementation of the Netflow protocol. However any other type of protocol could be used.
- the collectors 28 may be equipment separate from the routers 14 or be hosted by these routers.
- Each router 14 provides the routing of IP packet flows. Each time a stream terminates, the router 14 transmits to one of the collectors 28 data flow information, for example the source and destination IP addresses of the stream, the source and destination ports of the stream. flows, the protocol used, the administrative domain numbers traversed by the stream or the interface number through which the flow is entered into the router.
- each router comprises data flow analysis means (not shown) and means for transmitting the flow information to the collectors 28 (not shown).
- the collector 28 also comprises means 30 for transmitting at least a portion of the addresses collected to the data processing modules 26.
- the means 24 for collecting addresses of the invention are distinguished from the means conventionally used for the implementation of the Netflow protocol in that the means
- the transmission means 24 for collecting data comprise means 32 for interpreting a criterion for selecting collected addresses to be transmitted to the data processing modules 26.
- the DHCP servers 16 and 18 comprise means of transmission to the means 24 for collecting at least one selection criterion of the collected addresses to be transmitted.
- the manager 20 determines reference data for managing the configuration of the network, in particular its topology and its addressing plan according to the needs of the network that it has been able to identify.
- the manager 20 transmits this addressing plan to the DHCP servers 16 and 18.
- the DHCP servers 16 and 18 receive in particular information concerning the sub-networks for which they are responsible or concerning the address ranges that they are allowed to assign to terminals 12 connecting to the network 10. This step 102 can be implemented punctually or periodically.
- each processing module 26 of the DHCP servers 16 and 18 In order for the processing modules 26 of the DHCP servers 16 and 18 to be able to check that if the actual configuration of the network corresponds to the reference configuration defined by the manager 20, these modules use information that can be transmitted by the collectors. However, to avoid calculation overhead, each DHCP server 16 and 18 wishes to receive only the part of the collected information that concerns it directly.
- each processing module 26 transmits to the collectors 28 of the collection means 24 at least one criterion for choosing the collected addresses to be transmitted to it.
- the choice criterion is specific to each processing module 26. This choice criterion may be in particular the range of IP addresses whose server
- DHCP is in charge of the assignment, a type of terminal or a particular type of service such as voice over IP. A combination of these criteria can also be used.
- the transmission of the choice criterion may be the subject of a specially adapted request or may result from the transmission of an already existing configuration file.
- the processing module 26 can transmit a configuration file of the DHCP server 16, 18 already existing to the collectors 28 which then extract the selection criterion.
- a configuration file is provided in the appendix.
- This configuration file includes information about subnets managed by the DHCP server (SubNet) and the range of addresses it is allowed to allocate (Range).
- the attached configuration file includes the range of addresses allocated to the terminals in the 10.194.120.24/29 subnet. This range includes the addresses between the two addresses 10.194.120.26 and 10.194.120.31.
- the collectors 28 analyze it and extract ranges of addresses allocated by this DHCP server. These ranges are a criterion for choosing the data collected to be transmitted and the collectors will transmit to the DHCP server only the collected addresses belonging to these ranges.
- the collectors 28 collect the terminal addresses 12 transmitting data on the network 10.
- the routers 14 transmit to the collectors 28, during a step 108, information relating to the data flows having passed through the routers 14.
- This information is for example: addresses or configuration data, administrative domain or subnet information, routing information, information on the data rate or the data rate. flow volume, time information (start or end of flow), etc.
- the interpretation means 32 of the collectors 28 select among the collected data those verifying the selection criterion defined by the DHCP server 16, 18.
- the transmission means 30 of the collectors 28 transmit to each of the processing modules 26, the portion of the collected data that verify the selection criterion associated with each processing module.
- each module processing only receives information about it.
- each processing module can specify the transmission mode it desires.
- each processing module 26 processes the information received from the collectors 28.
- the processing module 26 can compare the addresses or ranges of addresses defined in the predetermined addressing plan. it has received in step 102 with the addresses extracted from the collected data received in step 1 12. It can thus confront the knowledge of reference data relating to the configuration of the network with a practical knowledge.
- the processing module knows, or obtains from the address assignment server, the addresses that have been allocated to equipment of the network. With the collected data, he can verify, by comparison with the addresses extracted from the collected data, if other addresses, which he believes are free, are actually used by one of the equipment connected to the network.
- the processing module performs checks on the conformity of the configuration data extracted from the collected data with reference data as defined by the configuration manager 20, in particular as regards the management rules, usage rules or defined configuration data assignment rules.
- the processing module checks, for example, whether the type of application used by the equipment (via the UDP / TCP or other ports) complies with usage rules as defined by the configuration manager through the reference data. . For example, it is possible to determine whether the use of a given address by a terminal in a part of the network or in a geographical location zone of the network is in accordance with a usage rule defining the legitimacy of the use of the network. addresses relating to the parts or geographical areas of the network. It is still possible to detect the use of a service by a terminal and therefore the possible usurpation of the right to use this service.
- the set of comparisons and verifications carried out in step 1 14 enables the address assignment server to know, in particular, the active or inactive status of the terminals 12 whose address it has assigned, that is to say whether these terminals are sending or receiving data. It is in particular possible to determine whether an allocated address is actually used or if a DHCP lease allocated to a terminal for configuration data is actually used by this terminal, and if not, to interrogate this terminal for the purpose of terminating the terminal. lease and allowance to another terminal of the configuration data thus released. Even if some requests (of "ping" type) of the Internet Control Message Protocol (ICMP) allow to interrogate the terminals, they are likely to ignore these requests.
- the technique of collecting and using the data collected according to the invention therefore makes it possible to provide reliable and efficient information relating to the actual use in the network of the configuration data.
- step 1 16 the processing module 26 transmits to the configuration manager information relating to the comparison made: detection of duplicate or spoofed addresses, addresses that do not comply with management or usage rules, addresses configured statically.
- the configuration manager is a software or device allowing the automated processing of network configuration management, consideration of this information may be provided in this program or device: display of information on a terminal connected to the manager, sending a warning message to a network administrator, implementing an automated anomaly handling procedure, etc.
- pool ⁇ deny dynamic bootp clients allow members of "Hitachi”; deny members of “Leadtek”; range 192.168.1.10 192.168.1.50; ttoption specific to the 192.168.2.2 gatekeeper pool option;
- pool ⁇ deny dynamic bootp clients allow members of "Leadtek”; deny members of "Hitachi”; range 192.168.1.51 192.168.1.70; ttoption specific to the 192.168.3.2 gatekeeper pool option; ⁇ # Declaration of a machine group with static address on MAC address
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
Abstract
Procédé de gestion de configuration d'équipements d'un réseau (10) de transmission de données, le procédé comprenant les étapes suivantes : - transmission à des moyens de collecte (24) de données des informations constituant un critère de choix relatif à des données collectées par les moyens de collecte, en vue d'une transmission (112) à un module de traitement (26) de la partie desdites données collectées répondant au critère de choix, les données collectées étant des données caractéristiques de flux échangés par les équipements (12) à travers le réseau (10) de transmission de données, - comparaison par le module de traitement (26) des données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites de données collectées reçues du module de collecte (26).
Description
Procédé et dispositif de gestion de configuration d'équipements d'un réseau
La présente invention a pour objet un procédé de collecte de données dans réseau de transmission de données, un procédé de gestion de configuration d'équipements d'un réseau, un dispositif de traitement, un dispositif de collecte, un système de gestion de configuration d'un réseau et un programme d'ordinateur.
L'invention concerne plus particulièrement la gestion de réseaux de transmission de données, utilisant un protocole de la famille IP (Internet Protocol) par exemple de type IPv4 ou IPv6, et de grandes dimensions, c'est-à-dire comprenant un grand nombre d'équipements fixes ou mobiles, connectés avec ou sans fil.
Sur un tel réseau de transmission de données, chaque équipement connecté est configuré par des données de configuration qui lui sont propres, notamment par une adresse IP (Internet Protocol) qui permet le routage des paquets IP qui sont destinés à l'équipement. Un tel équipement peut être notamment un terminal ou un routeur. Par la suite, à titre d'exemple, on décrira plus particulièrement le cas d'un terminal IP et la configuration de son adresse IP.
Généralement, cette adresse IP ainsi que les autres données de configuration sont attribuées au terminal de manière dynamique lorsqu'il se connecte au réseau de transmission de données. L'attribution des adresses IP aux terminaux connectés est répartie entre une pluralité de serveurs d'attribution de données de configuration, par exemple de type DHCP (de l'anglais Dynamic Host Configuration Protocol).
Les adresses IP ne sont pas attribuées au hasard mais répondent à des critères d'attribution prédéterminés. L'attribution d'une adresse IP à un terminal connecté au réseau dépend par exemple d'un sous-réseau auquel il est connecté, c'est-à-dire l'emplacement du terminal dans le réseau. A chaque sous-réseau peut être par exemple associé un unique serveur DHCP en charge de la gestion de son adressage.
La gestion d'un réseau de grandes dimensions nécessite une gestion d'informations relatives à la topologie du réseau, aux types d'équipements connectés au réseau, aux services mis en œuvre dans le réseau, aux paramètres de configuration des équipements du réseau et plus généralement aux paramètres nécessaires pour la gestion de la connexion et de l'accès au réseau des équipements.
Il est en particulier nécessaire de définir au préalable un plan d'adressage du réseau et notamment la répartition des domaines de travail des serveurs d'attribution. Le plan d'adressage c'est-à-dire à la description d'une répartition dans le réseau des adresses des équipements connectés au réseau doit être connue des serveurs
d'attribution de données de configuration.
Le plan d'adressage du réseau peut être défini par une autorité supérieure appelée parfois « gestionnaire de configuration ». Ce plan d'adressage constitue une donnée de référence pour la gestion de configuration du réseau. Bien que la plupart des adresses des terminaux soient attribuées dynamiquement par les serveurs d'attribution de données de configuration, il se peut également que l'adresse d'un terminal connecté au réseau de transmission de données ait été configurée de manière statique, c'est-à-dire que cette adresse n'ait pas été attribuée par un serveur d'attribution de données de configuration mais par l'utilisateur du terminal lui-même. Le choix arbitraire d'une adresse par un utilisateur n'est pas nécessairement conforme au plan d'adressage défini par le gestionnaire de configuration ou par les serveurs d'attribution de données de configuration.
Or les serveurs d'attribution de données de configuration ne sont pas au courant que cette adresse est utilisée sur le réseau. Il existe donc un risque que l'un des serveurs d'attribution d'adresses attribue cette adresse configurée statiquement à un terminal nouvellement connecté. La présence, sur le réseau, de plusieurs terminaux possédant la même adresse peut être à l'origine de dysfonctionnements dans la fourniture des services. On parle généralement d'adresses dupliquées.
On constate donc que le gestionnaire de configuration et les serveurs d'attribution de données de configuration, bien qu'ayant connaissance des données de configuration attribuées par les serveurs d'attribution de données de configuration, ne disposent pas d'informations relatives aux données de configuration attribuées par d'autres mécanismes, ni celles résultant d'erreurs, de duplication, de non utilisation de données attribuées, de données de configuration qui ne sont utilisées ou encore de tentatives de piratages, etc.
Un procédé connu pour confronter la configuration réelle d'un réseau à des données de configuration de référence et notamment détecter les adresses dupliquées consiste à utiliser une requête du protocole ICMP (Internet Control Message Protocol) appelée "Echo" ou « Ping » préalablement à toute attribution dynamique d'une adresse à un terminal.
Pour cela, lorsqu'il souhaite attribuer une nouvelle adresse à un terminal, le serveur d'attribution de données de configuration émet une requête "Ping" à destination de la nouvelle adresse à attribuer. Si un terminal déjà connecté au réseau possède cette adresse, il devrait envoyer une réponse au serveur d'attribution de données de configuration qui en déduira qu'il ne peut pas attribuer cette adresse à un autre terminal. En pratique cependant, une absence de réponse à cette requête ne signifie pas
pour autant qu'aucun des terminaux du réseau de transmission de données ne s'est attribué de manière statique cette adresse. En effet, certains pare-feu des terminaux sont configurés pour bloquer ce type de requête qui est parfois assimilée à une attaque. De plus, le terminal peut désactiver la fonction ICMP de réponse à la requête "Ping". Cette méthode de détection d'adresses dupliquées n'est donc pas fiable. En outre, elle ne permet pas la détection des adresses non utilisées ou pour lesquelles la procédure d'attribution d'adresse a échoué.
Une solution pour répondre à ce problème et pour tenter d'obtenir une connaissance précise de la configuration réelle d'un réseau de transmission de données est décrite dans le document de NETF (Internet Engineering Task Force) intitulé
« Passive Duplicate Address Détection for the Dynamic Host Configuration Protocol for
IPv4 », constituant une contribution des auteurs Forte, Shin et Schulzrinne.
Ce document propose d'utiliser un procédé de collecte de données de configuration à l'aide de moyens d'observation du trafic et de collecte d'adresses répartis sur le réseau, aptes à transmettre à un serveur DHCP à chaque instant les adresses collectées. Pour cela, les moyens de collecte observent les paquets de données transmis sur le réseau et en extraient les adresses.
Ce document précise que les moyens d'observation extraient notamment une adresse MAC des paquets. Or, l'adresse MAC source d'un paquet IP émis par un équipement est écrasée par le premier routeur IP rencontré. Ce document préconise donc de disposer des moyens d'observation et de collecte entre chaque terminal et chaque premier routeur auquel est connecté le terminal.
Cette solution serait extrêmement lourde et coûteuse à mettre en place sur un réseau de grandes dimensions puisqu'elle nécessiterait l'installation d'un très grand nombre de moyens d'observation et de collecte. Le document n'envisage d'ailleurs sa mise en place que sur des réseaux sans-fil de petites dimensions.
Ainsi, le procédé de collecte de données de configuration qui est décrit dans le document de I' IETF n'est pas adapté à des réseaux de grandes dimensions.
Un autre procédé connu utilise le protocole Netflow pour collecter les caractéristiques des flux IP échangés entre les équipements. Ce procédé de collecte des données caractéristiques des flux échangés par des équipements connectés à un réseau de transmission de données comprend des étapes au cours desquelles des moyens d'observation du trafic des routeurs extraient les caractéristiques des flux IP échangés entre équipements transmettant des données sur le réseau de transmission de données, les moyens de transmission des routeurs transmettent ces caractéristiques au moyen de collecte; puis les moyens de collecte transmettent toutes les caractéristiques de
configuration collectées à au moins un module de traitement.
Cependant, ce procédé de collecte n'est pas non plus adapté à une utilisation sur un réseau de grandes dimensions puisque, du fait de l'étendue du réseau, la quantité d'adresses observées et d'adresses transmises au module de traitement est considérable.
De plus, dans un réseau de grande étendue comprenant plusieurs modules de traitement, chaque module de traitement reçoit de la part des moyens de collecte la totalité des adresses collectées ce qui peut provoquer une saturation du réseau.
L'invention propose donc un procédé de gestion de configuration d'équipements d'un réseau à partir de données collectées qui est utilisable pour un réseau de transmission de données de grandes dimensions.
A cet effet, l'invention a pour objet un procédé de gestion de configuration d'équipements d'un réseau de transmission de données, comprenant les étapes suivantes :
- transmission à des moyens de collecte de données des informations constituant un critère de choix relatif à des données collectées par les moyens de collecte, en vue d'une transmission à un module de traitement de la partie desdites données collectées répondant au critère de choix, les données collectées étant des données caractéristiques de flux échangés par les équipements à travers le réseau de transmission de données,
- comparaison par le module de traitement des données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites de données collectées reçues du module de collecte. En d'autres termes, le procédé de gestion selon l'invention utilise notamment un procédé de collecte de données comprenant les étapes suivantes :
- des moyens de collecte collectent des données caractéristiques des flux échangés par des équipements à travers le réseau de transmission de données,
- les moyens de collecte transmettant au module de traitement la partie des données de configuration collectées répondant au critère de choix transmis.
Grâce à l'invention, les moyens de collecte sont informés des données que désire recevoir le module de traitement.
Par conséquent, il n'est plus nécessaire, comme dans l'état de la technique, de transmettre la totalité des données collectées à chacun des modules de traitement, ce qui avait pour inconvénient, d'une part, de saturer le réseau de transmission de données, et d'autre part, de ralentir le traitement des données du fait de la grande quantité
d'informations à traiter.
Ce procédé est donc parfaitement adapté aux réseaux de grandes dimensions et permet de détecter de manière efficace des anomalies dans la gestion du réseau, notamment par comparaison d'informations théoriques connues du serveur, relatives aux données de configuration attribuées, avec des informations sur l'utilisation réelle des données de configuration au sein du réseau.
On notera que ce procédé de gestion de configuration est indépendant des adresses MAC des équipements connectés au réseau contrairement au procédé décrit dans le document « Passive Duplicate Address Détection for the Dynamic Host Configuration Protocol for IPv4 » mentionné plus haut. En effet, l'équipement connecté au réseau ne comprend pas nécessairement d'adresse MAC. Ainsi, le procédé de gestion de configuration selon l'invention est indépendant du protocole de la couche 2 du modèle OSI utilisé par l'équipement.
Le procédé de collecte d'adresses d'équipements utilisé dans le procédé de gestion de l'invention peut en outre comporter l'une ou plusieurs des caractéristiques ci-dessous.
- Les moyens de collecte comprennent au moins un routeur et au moins un collecteur, le routeur transmettant au collecteur des informations sur un flux de données qu'il a traité lorsque le routeur a détecté la fin du flux traité. Cette séparation en deux entités des moyens de collecte permet de traiter les flux de données de manière séquentielle. En effet, le routeur ne transmet les informations au collecteur qu'une fois qu'il a détecté la fin du flux et non pas à chaque nouveau paquet reçu. Cela permet d'éviter une saturation du réseau et de répartir les traitements entre les routeurs et les collecteurs.
- Le routeur des moyens de collecte est avantageusement un routeur de cœur du réseau de transmission de données. Du fait que le routeur est à proximité du cœur du réseau de données et non pas à proximité de chacun des terminaux, cela permet de réduire le nombre de routeurs du réseau à équiper, et ainsi de mettre en œuvre ce procédé sur un réseau de grandes dimensions.
- Les moyens de collecte utilisent les informations exportées au fil de l'eau par des protocoles tels que NetFlowJPFix, syslog... . L'utilisation d'un protocole déjà existant permet de réduire les coûts d'implantation du procédé de l'invention.
- Le critère de choix comprend au moins l'un quelconque des éléments de l'ensemble constitué par une plage d'adresses susceptibles d'être attribuées à des équipements du réseau, un domaine du réseau, une adresse d'un routeur de destination, un numéro d'interface d'entrée dans un routeur, un plan d'adressage prédéterminé. On rappelle qu'un domaine administratif (également appelé AS, de l'anglais « Autonomous
System ») est un réseau autonome comme par exemple l'ensemble des équipements constituant le réseau d'un même fournisseur d'accès Internet.
Un procédé de gestion de configuration selon l'invention peut en outre comprendre l'une ou plusieurs des caractéristiques ci-dessous :
- Les données collectées par les moyens de collecte sont des données de configuration des équipements du réseau, notamment des adresses attribuées aux équipements.
- Le critère de choix comprend au moins l'un quelconque des éléments de l'ensemble constitué par une plage d'adresses susceptibles d'être attribuées à des équipements du réseau, un domaine administratif du réseau, une adresse d'un routeur de destination, un numéro d'interface d'entrée dans un routeur, un plan d'adressage prédéterminé.
- Le module de traitement fait partie d'un serveur d'attribution de données de configuration et le serveur d'attribution de données de configuration transmet aux moyens de collecte des informations définissant au moins un domaine du réseau pour lequel le serveur d'attribution de données de configuration gère l'attribution de données de configuration, ces informations constituant un critère de choix des données à transmettre. Il est souhaitable que la comparaison des données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites des données collectées soit effectuée par l'organe à l'origine de cette configuration, c'est-à-dire par le serveur d'attribution de données de configuration ou d'adresses. Sur un grand réseau, l'attribution des données de configuration à des équipements est répartie entre plusieurs serveurs d'attribution. Cette répartition suppose que chaque serveur d'attribution ait son propre domaine d'attribution. Par exemple, dans le cas de l'attribution d'adresses IP, le domaine d'attribution de chaque serveur d'attribution comprend une plage d'adresses qu'il est apte à attribuer. Si le réseau comprend une pluralité de serveurs d'attribution de données de configuration, chacun de ces serveurs d'attribution de données de configuration ne s'intéresse qu'aux données de configuration qu'il peut attribuer aux équipements sous sa dépendance. C'est la raison pour laquelle le serveur d'attribution transmet aux moyens de collecte des informations concernant le domaine de données de configuration qu'il est apte à attribuer de manière à ce que les moyens de collecte ne lui transmettent que les données de configuration collectées faisant partie de son domaine d'attribution. - le serveur d'attribution de données de configuration transmet aux moyens de collecte une plage d'adresses, la plage d'adresse correspondant à une plage d'adresses
susceptibles d'être attribuées par le serveur d'attribution de données de configuration, cette plage d'adresse constituant un critère de choix des données à transmettre.
L'invention a également pour objet un dispositif de traitement de données de configuration comprenant :
- des moyens de transmission aux moyens de collecte d'au moins un critère de choix relatif à des données collectées par les moyens de collecte, en vue d'une transmission au dispositif de traitement de la partie desdites données collectées répondant au critère de choix, les données collectées étant des données caractéristiques de flux échangés par les équipements à travers le réseau de transmission de données,
- des moyens de comparaison de données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites de données collectées reçues des moyens de collecte.
De préférence, le dispositif de traitement fait partie d'un serveur d'attribution de données de configuration à un équipement du réseau.
L'invention a également pour objet un dispositif de collecte de données dans un réseau de transmission de données, comportant
- des moyens de collecte de données caractéristiques des flux échangés par des équipements à travers le réseau de transmission de données, - des moyens de transmission d'au moins une partie des données collectées au dispositif de traitement,
- des moyens d'interprétation d'un critère de choix transmis par le dispositif de traitement pour ne transmettre au dispositif de traitement que la partie des données collectées répondant au critère de choix. De préférence, le dispositif de collecte fait partie d'un routeur du réseau de transmission de données.
L'invention a également pour objet un système de gestion de configuration d'un réseau de transmission de données, comprenant un dispositif de traitement tel que précédemment défini et un dispositif de collecte, ce dernier comprenant : - des moyens de collecte de données caractéristiques des flux échangés par des équipements à travers le réseau de transmission de données,
- des moyens de transmission d'au moins une partie des données collectées au dispositif de traitement,
- des moyens d'interprétation d'un critère de choix transmis par le dispositif de traitement pour ne transmettre au dispositif de traitement que la partie des données collectées répondant au critère de choix.
L'invention a également pour objet un programme d'ordinateur destiné à être intégré dans des moyens de collecte de données de configuration d'un système tel que précédemment défini, comprenant des instructions pour interpréter un critère de choix transmis par un module de traitement et des instructions pour sélectionner, parmi les données de configuration collectées, celles répondant au critère de choix.
Selon une implémentation préférée, les différentes étapes du procédé selon l'invention sont mises en œuvre par un logiciel ou programme d'ordinateur, ce logiciel comprenant des instructions logicielles destinées à être exécutées par un processeur de données d'un dispositif de traitement et/ou de collecte et conçu pour commander l'exécution des différentes étapes de ce procédé.
En conséquence, l'invention vise aussi un programme, susceptible d'être exécuté par un ordinateur ou par un processeur de données, ce programme comportant des instructions pour commander l'exécution des étapes d'un procédé tel que mentionné ci- dessus.
Ce programme peut utiliser n'importe quel langage de programmation, et être sous la forme de code source, code objet, ou de code intermédiaire entre code source et code objet, tel que dans une forme partiellement compilée, ou dans n'importe quelle autre forme souhaitable. L'invention vise aussi un support d'informations lisible par un ordinateur ou processeur de données, et comportant des instructions d'un programme tel que mentionné ci-dessus.
Le support d'informations peut être n'importe quelle entité ou dispositif capable de stocker le programme. Par exemple, le support peut comporter un moyen de stockage, tel qu'une ROM, par exemple un CD ROM ou une ROM de circuit microélectronique, ou encore un moyen d'enregistrement magnétique, par exemple une disquette (floppy dise) ou un disque dur.
D'autre part, le support d'informations peut être un support transmissible tel qu'un signal électrique ou optique, qui peut être acheminé via un câble électrique ou optique, par radio ou par d'autres moyens. Le programme selon l'invention peut être en particulier téléchargé sur un réseau de type Internet.
Alternativement, le support d'informations peut être un circuit intégré dans lequel le programme est incorporé, le circuit étant adapté pour exécuter ou pour être utilisé dans l'exécution du procédé en question.
L'invention sera mieux décrite à la lecture de la description qui va suivre, donnée
uniquement à titre d'exemple et faite en se référant aux dessins annexés dans lesquels :
- la figure 1 représente un réseau de transmission de données comprenant un système de contrôle de configuration selon l'invention,
- la figure 2 est un diagramme des étapes d'un procédé de gestion de configuration de réseau selon l'invention.
On a représenté sur la figure 1 un réseau de transmission de données, désigné par la référence générale 10. Ce réseau 10 de transmission de données est un réseau IP mais la présente invention s'applique également à tout autre type de réseau.
Le réseau 10 comprend deux sous-réseaux 10a et 10b. Une pluralité de terminaux 12 est connectée au réseau 10. Une partie des terminaux 12 est connectée au sous-réseau 10a tandis qu'une autre partie des terminaux 12 est connectée au sous-réseau 10b.
Le réseau 10 comprend également une pluralité de routeurs 14 connectés entre eux de manière à assurer la transmission de paquets de données au travers du réseau. Les dispositifs connectés au réseau 10, tels que les terminaux 12 et les routeurs 14, peuvent être désigné plus généralement sous le terme « équipements ».
Dans ce réseau 10, des données de configuration des équipements 12, 14, notamment leurs adresses IP, sont attribuées dynamiquement par des serveurs 16 et 18 d'attribution de données de configuration, qui sont des serveurs DHCP dans l'exemple représenté.
Par exemple, dans le cas d'un routeur 14, les données de configuration qui lui sont attribuées peuvent comprendre à la fois son adresse IP et une adresse de réseau, c'est-à- dire un espace d'adresses destinées à des terminaux se connectant au routeur.
Cela peut être utile par exemple dans le cas d'un terminal IP mobile assurant une fonction de routeur au sein d'un véhicule automobile pour la connexion d'autres terminaux du véhicule. L'adresse IP du routeur et son adresse réseau sont attribuées dynamiquement au cours des déplacements du véhicule.
Par la suite, pour simplifier la description, on s'intéressera plus particulièrement à l'attribution d'adresses IP aux terminaux 12 en tant que données de configuration. Pour cela, on parlera de serveurs 16 et 18 d'attribution d'adresses.
Les données de référence relatives à la gestion de configuration du réseau, notamment les informations sur sa topologie, les règles de gestion de configuration, les règles d'usage, les règles d'attribution de données, les informations nécessaires à l'ingénierie du réseau ou des services, les informations nécessaires à la gestion de la connexion au réseau des équipements et le plan d'adressage des terminaux 12 connectés au réseau 10 sont déterminées par un gestionnaire 20 de configuration. Les
données de référence gérées par ce gestionnaire sont enregistrées dans un fichier ou une base de données de référence.
Le gestionnaire 20 comprend une équipe d'administrateur et d'ingénieurs de réseaux, qui détermine des données de référence prenant en compte les différents équipements qui en font partie. En complément, le gestionnaire 20 comprend un dispositif de gestion de configuration réseau, accédant à la base de données, mettant en œuvre un programme applicatif facilitant ou automatisant tout ou partie de la gestion du réseau pour une personne responsable de l'administration du réseau.
Dans l'exemple décrit, la topologie du réseau est telle que le serveur DHCP 16 s'occupe plus particulièrement de l'attribution des adresses des terminaux 12 connectés au sous-réseau 10a du réseau 10, tandis que le serveur DHCP 18 s'occupe de l'attribution des adresses des terminaux 12 connectés au sous-réseau 10b du réseau 10. Le sous-réseau 10a, respectivement le sous-réseau 10b, correspond ainsi au domaine administratif du serveur 16, respectivement du serveur 18. La répartition des domaines d'attribution est déterminée par le gestionnaire 20.
Ainsi, le gestionnaire 20 définit une configuration de référence du réseau 10, comprenant notamment des données de configuration de référence qui répondent aux besoins du réseau et qui sont adaptées à l'utilisation désirée du réseau. Cette configuration de référence peut cependant différer de la configuration réelle du réseau, c'est-à-dire de la configuration du réseau telle qu'on peut l'observer.
Pour connaître la configuration réelle en place sur le réseau 10, le réseau 10 comprend en outre un système 22 de contrôle de la configuration du réseau 10.
Le système 22 comprend des moyens 24 de collecte de données de configuration et notamment d'adresses des terminaux 12 transmettant des données sur le réseau 10 et des modules 26 de traitement des données collectées.
Les modules 26 de traitement des données collectées font partie par exemple des serveurs DHCP 16 et 18 ou communiquent avec ceux-ci. Ces modules de traitement 26 sont par exemple constitués par un logiciel de calcul intégré à chacun des serveurs DHCP. Les moyens 24 de collecte d'adresses des terminaux 12 comprennent les routeurs
14 et des collecteurs 28 chargés de collecter des informations transmises par les routeurs 14. Les moyens 24 de collecte d'adresses sont des moyens classiquement utilisés pour la mise en œuvre du protocole Netflow. Cependant tout autre type de protocole pourrait être utilisé. Les collecteurs 28 peuvent être des équipements distincts des routeurs 14 ou être hébergés par ces routeurs.
Chaque routeur 14 assure le routage de flux de paquets IP. A chaque fois qu'un flux se termine, le routeur 14 transmet à l'un des collecteurs 28 des informations concernant le flux de données, par exemple les adresses IP de provenance et de destination du flux, les ports de provenance et de destination du flux, le protocole utilisé, les numéros des domaines administratifs traversés par le flux ou le numéro de l'interface par laquelle le flux est entré dans le routeur. A cet effet, chaque routeur comprend des moyens d'analyse de flux de données (non-représentés) et des moyens de transmission des informations de flux aux collecteurs 28 (non-représentés). Le collecteur 28 comprend également des moyens 30 de transmission d'au moins une partie des adresses collectées vers les modules 26 de traitement de données.
Les moyens 24 de collecte d'adresses de l'invention se distinguent des moyens classiquement utilisés pour la mise en œuvre du protocole Netflow en ce que les moyens
30 de transmission des moyens 24 de collecte comprennent des moyens 32 d'interprétation d'un critère de choix d'adresses collectées à transmettre aux modules 26 de traitement de données.
Par ailleurs, les serveurs DHCP 16 et 18 comprennent des moyens de transmission aux moyens 24 de collecte d'au moins un critère de choix des adresses collectées à transmettre.
On va décrire par la suite le procédé selon l'invention de gestion de configuration et notamment de son plan d'adressage en référence à la figure 2.
Au cours d'une première étape 100, le gestionnaire 20 détermine des données de référence pour la gestion de la configuration du réseau, notamment sa topologie et son plan d'adressage en fonction des besoins du réseau qu'il a pu identifier. Au cours d'une étape suivante 102, le gestionnaire 20 transmet ce plan d'adressage aux serveurs DHCP 16 et 18. Ainsi, les serveurs DHCP 16 et 18 reçoivent notamment des informations concernant les sous-réseaux dont ils sont en charge ou concernant les plages d'adresses qu'ils sont autorisés à attribuer à des terminaux 12 se connectant au réseau 10. Cette étape 102 peut être mise en œuvre ponctuellement ou périodiquement.
Pour que les modules de traitement 26 des serveurs DHCP 16 et 18 puissent contrôler que si configuration réelle du réseau correspond à la configuration de référence qui a été définie par le gestionnaire 20, ces modules utilisent des informations susceptibles d'être transmises par les collecteurs 28. Cependant, pour éviter une surcharge de calcul, chaque serveur DHCP 16 et 18 ne souhaite recevoir que la partie des informations collectées qui le concerne directement.
Ainsi, au cours d'une étape suivante 104, chaque module de traitement 26 transmet aux collecteurs 28 des moyens de collecte 24 au moins un critère de choix des adresses collectées à lui transmettre. Le critère de choix est propre à chaque module de traitement 26. Ce critère de choix peut être notamment la plage d'adresses IP dont le serveur
DHCP est en charge de l'attribution, un type de terminal ou bien un type de service particulier comme la voix sur IP. Une combinaison de ces critères peut également être utilisée.
La transmission du critère de choix peut faire l'objet d'une requête spécialement adaptée ou peut résulter de la transmission d'un fichier de configuration déjà existant.
Par exemple, le module de traitement 26 peut transmettre un fichier de configuration du serveur DHCP 16, 18 déjà existant aux collecteurs 28 qui en extraient alors le critère de choix. Un exemple d'un tel fichier de configuration est fourni en annexe. Ce fichier de configuration comprend des informations sur les sous-réseaux gérés par le serveur DHCP (SubNet) et sur la plage d'adresses qu'il est autorisé à allouer (Range).
Par exemple, le fichier de configuration annexé comprend la plage des adresses allouées aux terminaux dans le sous-réseau 10.194.120.24/29. Cette plage comprend les adresses comprises entre les deux adresses 10.194.120.26 et 10.194.120.31 . A la réception de ce fichier de configuration, les collecteurs 28 l'analysent et en extraient des plages d'adresses allouées par ce serveur DHCP. Ces plages constituent un critère de choix des données collectées à transmettre et les collecteurs ne transmettront au serveur DHCP que les adresses collectées appartenant à ces plages.
Au cours d'une étape suivante 106, les collecteurs 28 collectent les adresses de terminaux 12 transmettant des données sur le réseau 10. Pour cela, grâce au protocole NetFlow, les routeurs 14 transmettent aux collecteurs 28, au cours d'une étape 108, des informations concernant les flux de données ayant transités par les routeurs 14. Ces informations sont par exemple: des adresses ou données de configuration, des informations de domaine administratif ou de sous-réseau, des informations de routage, des informations sur le débit ou le volume du flux, des informations temporelles (début ou fin de flux), etc.
Lors d'une étape 1 10 suivante, pour chaque serveur DHCP, les moyens d'interprétation 32 des collecteurs 28 sélectionnent parmi les données collectées celles vérifiant le critère de choix défini par le serveur DHCP 16, 18.
Ensuite, lors d'une étape 1 12, les moyens de transmission 30 des collecteurs 28 transmettent à chacun des modules de traitement 26, la partie des données collectées qui vérifient le critère de choix associé à chaque module de traitement. Ainsi, chaque module
de traitement ne reçoit que les informations le concernant.
Cette transmission des adresses collectées peut être réalisée en mode temps réel, au fil de l'eau ou périodiquement. Chaque module de traitement peut spécifier le mode de transmission qu'il désire. Lors d'une dernière étape 1 14, chaque module de traitement 26 traite les informations reçues de la part des collecteurs 28. En particulier, le module de traitement 26 peut comparer les adresses ou plages d'adresses définies dans le plan d'adressage prédéterminé qu'il a reçu lors de l'étape 102 avec les adresses extraites des données collectées reçues lors de l'étape 1 12. Il peut ainsi confronter la connaissance de données de référence relatives à la configuration du réseau avec une connaissance pratique.
Par exemple, le module de traitement connaît, ou obtient du serveur d'attribution d'adresses, les adresses qui ont été allouées à des équipements du réseau. Grâce aux données collectées, il peut vérifier, par comparaison avec les adresses extraites des données collectées, si d'autres adresses, qu'il croit libres, sont en réalité utilisées par l'un des équipements connectés au réseau.
Par ailleurs le module de traitement effectue des vérifications sur la conformité des données de configurations extraites des données collectées avec des données de référence telles que définies par le gestionnaire de configuration 20, notamment en ce qui concerne les règles de gestion, règles d'usage ou règles d'attribution de données de configuration définies.
Le module de traitement vérifie par exemple si le type d'application utilisé par l'équipement (via les ports UDP/TCP ou autres) est conforme à des règles d'usage tel que définies par le gestionnaire de configuration à travers les données de référence. Il est par exemple possible de déterminer si l'usage d'une adresse donnée par un terminal dans une partie du réseau ou dans une zone de localisation géographique du réseau est conforme à une règle d'usage définissant la légitimité de l'utilisation d'adresses relativement aux parties ou zones géographiques du réseau. Il est encore possible de détecter l'usage d'un service par un terminal et donc l'éventuelle usurpation de droit d'usage de ce service. L'ensemble des comparaisons et vérifications effectuées à l'étape 1 14 permet au serveur d'attribution d'adresses de connaître notamment le statut actif ou inactif des terminaux 12 dont il a attribué l'adresse, c'est-à-dire de savoir si ces terminaux émettent ou reçoivent des données. Il est notamment possible de déterminer si une adresse allouée est effectivement utilisée ou si un bail DHCP alloué à un terminal pour des données de configuration est effectivement utilisé par ce terminal, et dans le cas contraire, d'interroger ce terminal en vue la résiliation du bail et de l'allocation à un autre
terminal des données de configuration ainsi libérées. Même si certaines requêtes (de type "ping") du protocole ICMP (Internet Control Message Protocol) permettent d'interroger les terminaux, ceux-ci sont susceptibles d'ignorer ces requêtes. La technique de collecte et d'exploitation des données collectées selon l'invention permet donc de fournir de manière fiable et efficace les informations relatives à l'usage réel dans le réseau des données de configuration.
Ces comparaisons et vérifications permettent également de connaître les adresses encore attribuables, de détecter la présence sur le réseau de terminaux 12 dont l'adresse a été configurée de manière statique et de détecter des usurpations ou des duplications d'adresse, etc.
A l'étape 1 16, le module de traitement 26 transmet au gestionnaire de configuration des informations relatives à la comparaison effectuée: détection d'adresses dupliquées ou usurpées, adresses non-conforme aux règles de gestion ou d'usage, adresses configurée statiquement. Lorsque le gestionnaire de configuration est un logiciel ou dispositif permettant le traitement automatisé de la gestion de configuration du réseau, une prise en compte de ces informations peut être prévue dans ce programme ou dispositif: affichage d'information sur un terminal relié au gestionnaire, envoi d'un message d'avertissement à un administrateur réseau, mise en œuvre d'une procédure automatisée de traitement des anomalies, etc.
ANNEXE : fichier de configuration d'un serveur DHCP
#Paramètres globaux ################### ddns-update-style none ; authoritative; log-facility Iocal5; option time-offset 7200 ;
#Déclaration des options spécifiques aux terminaux utilisés ############################ option tftp-server-name code 66 = ip-address ; option gatekeeper code 120 = ip-address ; option agent . srb code 9 = ip-address ; #Déclaration des classes de terminaux ################################# class "Hitachi" { match if (( substring (hardware, 1, 3)) = 00:03:2a); } class "Leadtek" { match if (( substring (hardware, 1, 3)) = 00:30:04); } class "Alcatel" { match if (( substring (hardware, 1, 3)) = 00:0e:50); } class "ACT-TeI" { match if (( substring (hardware, 1, 3)) = 00:d0:e9); } class "Subnetl" { match if (option agent . srb = 0a: c2 : 78 : 19 ) ; } class "Subnet2" { match if (option agent . srb = 0a: c2 : 74 : 31 ) ; }
# Définition d'un ensemble de sous-réseaux géré via un relais DHCP commun (donc pas de contrôle de GIADDR pour allouer une adresse) avec segmentation selon les classes subnetl et subnet2
####################################################################### shared-network CIR { subnet 10.194.0.0 netmask 255.255.0.0 {
#Options génériques communes à tous les clients du subnet ############################################## default-lease-time 86400; option dhcp-renewal-time 43200; option dhcp-rebinding-time 75600; }
#Déclaration du pool des adresses allouées aux terminaux dans le subnet 10.194.120.24/29
################### pool { deny dynamic bootp clients; allow members of "Subnetl"; deny members of "Subnet2"; range 10.194.120.26 10.194.120.31; ttoptions spécifiques au pool #############################" option routers 10.194.120.25; option gatekeeper 10.194.120.25; option subnet-mask 255.255.255.248; }
#Déclaration du pool des adresses allouées aux terminaux dans le subnet 10.194.116.48/29
################### pool { deny dynamic bootp clients; allow members of "Subnet2"; deny members of "Subnetl"; range 10.194.116.50 10.194.116.55; ttoptions spécifiques au pool ######################### option routers 10.194.116.49; option gatekeeper 10.194.120.25; option tftp-server-name 10.193.113.68; option subnet-mask 255.255.255.248; }
}
#Declaration d'un subnet seul pour terminaux VoIP subnet 192.168.1.0 netmask 255.255.24.0 { #Options génériques communes à tous les clients default-lease-time 86400; option dhcp-renewal-time 43200; option dhcp-rebinding-time 75600; option subnet-mask 255.255.255.248; option routers 192.168.1.1; }
#Déclaration des pools des adresses allouées aux téléphones IP Hitachi ou Leadtek
################### pool { deny dynamic bootp clients; allow members of "Hitachi"; deny members of "Leadtek"; range 192.168.1.10 192.168.1.50; ttoption spécifiques au pool option gatekeeper 192.168.2.2; } pool { deny dynamic bootp clients; allow members of "Leadtek"; deny members of "Hitachi"; range 192.168.1.51 192.168.1.70; ttoption spécifiques au pool option gatekeeper 192.168.3.2; }
#Déclaration d'un groupe de machine avec adresse statique sur MAC address
################### group {
#group-specific pararaeters... option routers 10.194.116.49; option gatekeeper 10.194.120.25; host ]oe { hardware ethernet 08 : 00 : 2b: 4c : 29 : 32 ; fixed-address 10.194.116.65; } host beppo.test.isc.org {
#host-specific parameters... option tftp-server-name 10.193.113.68; hardware ethernet 08 : 00 : 2b: 4c : 29 : 33 ; fixed-address 10.194.116.70; } host harpo.test.isc.org { hardware ethernet 08 : 00 : 2b: 4c : 29 : 34; fixed-address 10.194.120.32; }
}
Claims
1. Procédé de gestion de configuration d'équipements d'un réseau (10) de transmission de données, comprenant les étapes suivantes : - transmission à des moyens de collecte (24) de données des informations constituant un critère de choix relatif à des données collectées par les moyens de collecte, en vue d'une transmission (1 12) à un module de traitement (26) de la partie desdites données collectées répondant au critère de choix, les données collectées étant des données caractéristiques de flux échangés par les équipements (12) à travers le réseau (10) de transmission de données,
- comparaison par le module de traitement (26) des données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites de données collectées reçues du module de collecte (26).
2. Procédé selon la revendication 1 , dans lequel ladite comparaison est effectuée en vue de la détection d'adresse allouée de manière statique.
3. Procédé selon la revendication 1 ou 2, dans lequel ladite comparaison est effectuée en vue de la détection d'adresse usurpée ou dupliquée.
4. Procédé selon l'une quelconque des revendications 1 à 3, dans lequel ladite comparaison est effectuée en vue de la détection d'adresse n'ayant pas été attribuée par ledit serveur.
5. Procédé selon l'une quelconque des revendications 1 à 4, comprenant une étape de vérification de conformité des données collectées reçues avec des règles d'attribution de données de configuration.
6. Procédé selon l'une quelconque des revendications 1 à 5, dans lequel le critère de choix comprend au moins l'un quelconque des éléments de l'ensemble constitué par une zone de présence, une période de présence, une plage d'adresses susceptibles d'être attribuées à des équipements du réseau, un domaine administratif du réseau, une adresse d'un routeur de destination, un numéro d'interface d'entrée dans un routeur, un plan d'adressage prédéterminé, une condition propre à la nature d'une donnée collectée..
7. Procédé selon l'une quelconque des revendications précédentes, dans lequel lesdites informations comprennent des données définissant au moins un domaine du réseau pour lequel un serveur d'attribution de données de configuration gère l'attribution de données de configuration.
8. Procédé selon la revendication 7, dans lequel lesdites informations comprennent des données définissant une plage d'adresses, la plage d'adresse correspondant à une plage d'adresses susceptibles d'être attribuées par le serveur d'attribution de données de configuration.
9. Procédé de gestion de configuration d'équipements d'un réseau (10) de transmission de données, selon l'une quelconque des revendications précédentes comprenant en outre les étapes suivantes :
- des moyens de collecte (24) collectent (106) des données caractéristiques des flux échangés par les équipements (12) à travers le réseau (10) de transmission de données,
- les moyens de collecte (24) transmettent (1 12) à au moins un module de traitement (26) la partie des données collectées répondant à un critère de choix préalablement transmis par le module de traitement.
10. Dispositif de traitement (26) de données de configuration, comprenant,
- des moyens de transmission aux moyens de collecte (24) d'au moins un critère de choix relatif à des données collectées par les moyens de collecte, en vue d'une transmission (1 12) au dispositif de traitement (26) de la partie desdites données collectées répondant au critère de choix, les données collectées étant des données caractéristiques de flux échangés par les équipements (12) à travers le réseau (10) de transmission de données,
- des moyens de comparaison de données de configuration attribuées par un serveur d'attribution de données de configuration avec des données de configuration d'équipements extraites de données collectées reçues des moyens de collecte (24).
1 1 . Dispositif de traitement selon la revendication 10, faisant partie d'un serveur d'attribution de données de configuration (16) à un équipement du réseau.
12. Système (22) de gestion de configuration d'un réseau de transmission de données, comprenant un dispositif de traitement selon l'une quelconque des revendications 10 à 1 1 et un dispositif de collecte comprenant :
- des moyens de collecte (24) de données caractéristiques des flux échangés par des équipements (12) à travers le réseau (10) de transmission de données,
- des moyens de transmission (30) d'au moins une partie des données collectées au dispositif de traitement (26),
- des moyens d'interprétation (32) d'un critère de choix transmis par le dispositif de traitement (26) pour ne transmettre au dispositif de traitement (26) que la partie des données collectées répondant au critère de choix.
13. Programme informatique comprenant des instructions de code de programme pour l'exécution des étapes du procédé selon l'une quelconque des revendications précédentes 1 à 9 lorsque ledit programme est exécuté par un processeur de données.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0652755 | 2006-06-30 | ||
| FR0652755 | 2006-06-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2008001021A1 true WO2008001021A1 (fr) | 2008-01-03 |
Family
ID=37726718
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/FR2007/051566 WO2008001021A1 (fr) | 2006-06-30 | 2007-06-29 | Procede et dispositif de gestion de configuration d'equipements d'un reseau |
Country Status (1)
| Country | Link |
|---|---|
| WO (1) | WO2008001021A1 (fr) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105530327A (zh) * | 2014-10-27 | 2016-04-27 | 任子行网络技术股份有限公司 | 一种dns关键信息处理方法和系统 |
| US10324375B2 (en) | 2012-12-27 | 2019-06-18 | Hitachi Chemical Company, Ltd. | Photosensitive resin composition, photosensitive film, and method for forming resist pattern |
| CN112055316A (zh) * | 2020-07-28 | 2020-12-08 | 四川虹美智能科技有限公司 | 智能模块的生产检测系统及方法、电子设备 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1367771A2 (fr) * | 2002-05-17 | 2003-12-03 | Alcatel | Système passif de surveillance de réseau |
| EP1672834A1 (fr) * | 2004-12-20 | 2006-06-21 | Alcatel | Gestion de sessions d'application pour statistiques à base de flux |
-
2007
- 2007-06-29 WO PCT/FR2007/051566 patent/WO2008001021A1/fr active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1367771A2 (fr) * | 2002-05-17 | 2003-12-03 | Alcatel | Système passif de surveillance de réseau |
| EP1672834A1 (fr) * | 2004-12-20 | 2006-06-21 | Alcatel | Gestion de sessions d'application pour statistiques à base de flux |
Non-Patent Citations (1)
| Title |
|---|
| "NetFlow Services and Applications", CISCO WHITE PAPER, March 1999 (1999-03-01), pages 1 - 27, XP002258359 * |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10324375B2 (en) | 2012-12-27 | 2019-06-18 | Hitachi Chemical Company, Ltd. | Photosensitive resin composition, photosensitive film, and method for forming resist pattern |
| CN105530327A (zh) * | 2014-10-27 | 2016-04-27 | 任子行网络技术股份有限公司 | 一种dns关键信息处理方法和系统 |
| CN105530327B (zh) * | 2014-10-27 | 2018-12-11 | 任子行网络技术股份有限公司 | 一种dns关键信息处理方法和系统 |
| CN112055316A (zh) * | 2020-07-28 | 2020-12-08 | 四川虹美智能科技有限公司 | 智能模块的生产检测系统及方法、电子设备 |
| CN112055316B (zh) * | 2020-07-28 | 2022-03-29 | 四川虹美智能科技有限公司 | 智能模块的生产检测系统及方法、电子设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528226B2 (en) | Network validation with dynamic tunneling | |
| US10911368B2 (en) | Gateway address spoofing for alternate network utilization | |
| US7380025B1 (en) | Method and apparatus providing role-based configuration of a port of a network element | |
| EP3787344B1 (fr) | Procédé de configuration d'un système d'extension de couverture de communication sans-fil et un système d'extension de couverture de communication sans-fil mettant en oeuvre ledit procédé | |
| FR2857187A1 (fr) | Procede de configuration automatique d'un routier d'acces, compatible avec le protocole dhcp, pour effectuer un traitement automatique specifique des flux ip d'un terminal client | |
| FR2801754A1 (fr) | Methode pour assigner une double adresse ip a un poste de travail relie a un reseau de transmission de donnees ip | |
| FR3072527B1 (fr) | Gestion de la connexion avec d'autres passerelles residentielles d'une passerelle residentielle mettant en œuvre l'agregation de liens | |
| WO2008001021A1 (fr) | Procede et dispositif de gestion de configuration d'equipements d'un reseau | |
| EP3891935A1 (fr) | Procédé de configuration d'un noeud d'un réseau | |
| EP4066461B1 (fr) | Procédé de coordination de la mitigation d'une attaque informatique, dispositif et système associés | |
| US20100250737A1 (en) | Detecting and controlling peer-to-peer traffic | |
| FR3011424A1 (fr) | Procedes de configuration et de gestion d'un reseau ip, dispositifs et programmes d'ordinateur correspondants. | |
| EP3357220B1 (fr) | Technique de gestion d'une adresse dans un reseau local | |
| WO2015197978A1 (fr) | Procede de protection d'un routeur contre des attaques | |
| EP3526956B1 (fr) | Procédé de négociation d'une qualité de service offerte par une passerelle à des terminaux | |
| EP4037289A1 (fr) | Procede de determination si une adresse ip est attribuee a un terminal dans un reseau de communication | |
| WO2023242314A1 (fr) | Procédés de surveillance et de gestion d'objets communicants, équipement de confiance, serveur et objets communicants | |
| EP4268426A1 (fr) | Procedes pour la redirection de trafic, terminal, controleur, serveur d'autorisation, serveurs de resolution de noms, et programme d'ordinateur correspondants | |
| EP4256753A1 (fr) | Procédé de détection d'un équipement malveillant dans un réseau de communication, équipement de communication et programme d'ordinateur correspondants | |
| FR3110802A1 (fr) | Procédé de contrôle de l’attribution d’une adresse IP à un équipement client dans un réseau de communication local, procédé de traitement d’une requête d’attribution d’une adresse IP à un équipement client dans un réseau de communication local, dispositifs, équipement d’accès, équipement serveur et programmes d’ordinateur correspondants. | |
| CA3182798A1 (fr) | Procede de configuration d'un reseau de communication et noeud implementant ledit procede de configuration |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application |
Ref document number: 07803973 Country of ref document: EP Kind code of ref document: A1 |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| NENP | Non-entry into the national phase |
Ref country code: RU |
|
| 122 | Ep: pct application non-entry in european phase |
Ref document number: 07803973 Country of ref document: EP Kind code of ref document: A1 |