1 00:00:08,140 --> 00:00:13,360 Dans les vidéos précédentes, nous avons vu comment AutoRP nous permet de mettre en place ce concept. 2 00:00:13,360 --> 00:00:18,340 des candidats RP qui annoncent leur candidature et l'agent de cartographie 3 00:00:18,340 --> 00:00:22,220 qui consiste à rassembler toutes ces candidatures et à n'en sélectionner qu'une seule pour chaque cas donné. 4 00:00:22,220 --> 00:00:27,100 regrouper puis diffuser ces informations via des messages de découverte. 5 00:00:27,100 --> 00:00:29,520 Et c'est ce que tous les autres routeurs écoutent, ces découvertes 6 00:00:29,520 --> 00:00:33,280 messages pour savoir quel RP a été élu. 7 00:00:33,280 --> 00:00:43,480 Mais l'inconvénient de ce processus est que nous savons que, par défaut, les candidats RP, 8 00:00:43,480 --> 00:00:46,300 si vous ne faites rien de particulier, si vous n'utilisez aucun accès à ceci 9 00:00:46,300 --> 00:00:49,460 ou quoi que ce soit d'autre, par défaut ils annonceront leur candidature pour l'ensemble du mandat 10 00:00:49,460 --> 00:00:53,800 portée de classe D. Mais que se passe-t-il si vous commencez à devenir plus subtil et que vous commencez à dire 11 00:00:53,800 --> 00:00:57,300 D'accord, eh bien, je veux seulement que tu sois un RP pour une certaine plage, comme dans mon 12 00:00:57,300 --> 00:01:02,200 Dans l'exemple de laboratoire précédent, j'ai dit que cela ne concernait que la plage 238, c'est tout. 13 00:01:02,200 --> 00:01:05,100 Aucune autre portée de multidiffusion ne disposera d'un RP. 14 00:01:05,100 --> 00:01:10,580 Que se passe-t-il alors si un flux multicast arrive dans l'un d'eux ? 15 00:01:10,580 --> 00:01:14,300 et de ces autres gammes pour lesquelles il n'existe pas de RP. 16 00:01:14,300 --> 00:01:18,620 Eh bien, dans ce cas précis, puisque toutes vos interfaces sont clairsemées 17 00:01:18,620 --> 00:01:22,840 Le mode dense, qui est indispensable au bon fonctionnement de ce système, et les autres… 18 00:01:22,840 --> 00:01:26,200 Les flux multicast seront saturés. 19 00:01:26,200 --> 00:01:32,140 Vous pourriez donc penser : « Voilà un cas d'utilisation idéal pour recréer un réseau. » 20 00:01:32,140 --> 00:01:38,460 Une attaque, c'est ça ? Il suffit d'ajouter un routeur au réseau et de le faire écouter. 21 00:01:38,460 --> 00:01:42,740 aux messages de découverte entrants, jetez un coup d'œil et dites : « Ah, d'accord, donc je… » 22 00:01:42,740 --> 00:01:46,320 On peut voir sur ce réseau en particulier qu'ils n'ont qu'un RP pour le 238 23 00:01:46,320 --> 00:01:49,700 portée. Alors voilà ce que je vais faire pour foutre le bordel à tout le monde. 24 00:01:49,700 --> 00:01:53,840 Je vais présenter un générateur de paquets qui envoie des tonnes de 25 00:01:53,840 --> 00:01:58,400 Le trafic se dirige vers, je ne sais pas, peut-être 227 point quelque chose. 26 00:01:58,400 --> 00:02:01,780 Parce que je sais que ça va être inondé via le mode dense. 27 00:02:01,780 --> 00:02:04,300 Tous les routeurs vont recevoir ça, ça va être inondé partout. 28 00:02:04,300 --> 00:02:06,260 Inondations sur chaque segment. 29 00:02:06,260 --> 00:02:09,720 Si je génère suffisamment de trafic, je commencerai peut-être à congestionner certains liens et peut-être 30 00:02:09,720 --> 00:02:12,900 Certains tampons et files d'attente de mémoire vont tellement se remplir que je vais commencer à les supprimer. 31 00:02:12,900 --> 00:02:16,120 Du trafic, et hé hé hé, je peux vraiment faire du sale boulot ici. 32 00:02:16,120 --> 00:02:19,700 Nous voulons donc éviter que ce genre de chose se produise, n'est-ce pas ? 33 00:02:19,700 --> 00:02:24,780 C’est là que nous utiliserions ce qu’on appelle un RP de dernier recours pour éviter 34 00:02:24,780 --> 00:02:28,360 empêcher cette personne malfaisante de faire cela. 35 00:02:28,360 --> 00:02:35,160 Voilà donc le problème potentiel dont on a parlé. 36 00:02:35,160 --> 00:02:38,380 Un RP de dernier recours est donc appelé RP de synchronisation. 37 00:02:38,380 --> 00:02:45,880 En gros, c'est un jeu de rôle qui dit : « OK, on va… » 38 00:02:45,880 --> 00:02:48,580 J'ai ce R valide, j'ai ces RP ici. 39 00:02:48,580 --> 00:02:50,060 Ce type roule à 238. 40 00:02:50,060 --> 00:02:52,060 Ce type roule à 239. 41 00:02:52,060 --> 00:02:53,700 Et le reste ? 42 00:02:53,700 --> 00:02:59,260 Bon, en attendant ce troisième RP, nous l'appellerons le RP de synchronisation et il 43 00:02:59,260 --> 00:03:03,020 Pour tout autre flux multicast entrant, il devra l'enregistrer. 44 00:03:03,020 --> 00:03:07,720 avec lui. Et vraisemblablement, personne ne l'écoute. 45 00:03:07,720 --> 00:03:11,880 Personne n'est, vous savez, c'est-à-dire, si 226 arrive, eh bien, hé, dans notre 46 00:03:11,880 --> 00:03:15,260 Au sein de notre réseau et de notre entreprise, nous n'utilisons pas le 236. 47 00:03:15,260 --> 00:03:17,980 Tous nos multicasts sont en 238 ou 239. 48 00:03:17,980 --> 00:03:19,860 C'est pourquoi nous avons mis ces RP en ligne. 49 00:03:19,860 --> 00:03:24,940 Donc, si quelque chose arrive en direction de 225, 226 ou 227, il n'y a pas de route. 50 00:03:24,940 --> 00:03:26,520 être les destinataires de cela. 51 00:03:26,520 --> 00:03:31,040 Alors pourquoi ne pas simplement envoyer des paquets d'enregistrement à un RP et ils seront juste 52 00:03:31,040 --> 00:03:33,020 Je suis tombé là, tout simplement. 53 00:03:33,020 --> 00:03:34,000 Ils n'iront nulle part. 54 00:03:34,000 --> 00:03:35,740 Ils ne seront pas inondés. 55 00:03:35,740 --> 00:03:38,160 Ou vous pourriez penser : attendez une seconde. 56 00:03:38,160 --> 00:03:40,220 Ça va être mauvais pour ce routeur, n'est-ce pas ? 57 00:03:40,220 --> 00:03:43,820 Parce que si une attaque se produit réellement et provoque une explosion du trafic, des tonnes de 58 00:03:43,820 --> 00:03:48,340 des centaines, voire des milliers, de messages d'inscription commencent à lui parvenir. 59 00:03:48,340 --> 00:03:51,600 Les groupes multicast, ça ne va pas le tuer ? 60 00:03:51,600 --> 00:03:54,080 Et alors, que comptons-nous faire ? 61 00:03:54,080 --> 00:03:55,280 Eh bien, devinez quoi ? 62 00:03:55,280 --> 00:03:56,840 Regardez ce dernier point. 63 00:03:56,840 --> 00:03:59,160 Il pourrait s'agir d'un trou noir. 64 00:03:59,160 --> 00:04:03,140 En d'autres termes, vous pourriez vous adresser à ces routeurs et dire : « OK, votre RP ». 65 00:04:03,140 --> 00:04:09,180 La note est de 9,9,9,9 pour tout ce que vous n'apprenez pas via le RP automatique. 66 00:04:09,180 --> 00:04:14,060 Mais en réalité, 9.9.9.9 n'existe pas. 67 00:04:14,060 --> 00:04:15,920 Cela n'existe nulle part. 68 00:04:15,920 --> 00:04:19,820 Donc même s'il existe un itinéraire pour cela dans la table de routage, finalement ces 69 00:04:19,820 --> 00:04:24,720 Les paquets d'enregistrement seront déversés sur un réseau local puis supprimés. 70 00:04:24,720 --> 00:04:26,220 Ou peut-être n'avez-vous tout simplement pas d'itinéraire. 71 00:04:26,220 --> 00:04:29,740 Et peut-être que vous créez votre RP de synchronisation et que vous dites : OK, voyons voir, dans mon réseau, 72 00:04:29,740 --> 00:04:32,860 J'utilise le réseau 90 pour tout. 73 00:04:32,860 --> 00:04:36,900 L'ensemble de mon entreprise est constitué de différents sous-réseaux de 90.quelque chose. 74 00:04:36,900 --> 00:04:43,240 Je vais donc configurer ma synchronisation RP sur 7.7.7.7. 75 00:04:43,240 --> 00:04:45,900 Il n'y a même pas d'itinéraire prévu. 76 00:04:45,900 --> 00:04:49,420 Donc maintenant, si l'un de mes routeurs commence à être la cible de ces attaques non autorisées 77 00:04:49,420 --> 00:04:52,580 Pour le trafic multicast, ils se diront : « Oh, il faut que je l'enregistre. » 78 00:04:52,580 --> 00:04:55,800 Oups. Je n'ai pas trouvé comment accéder à ce RP. 79 00:04:55,800 --> 00:04:59,660 Je suis censé l'enregistrer aussi, je suppose que je vais simplement réduire le trafic. 80 00:04:59,660 --> 00:05:00,780 Et ça va tout simplement mourir. 81 00:05:00,780 --> 00:05:02,100 Il ne sera pas inondé. 82 00:05:02,100 --> 00:05:05,460 Et c'est toute l'idée derrière tout ça, cette idée d'un RP de dernier recours. 83 00:05:05,460 --> 00:05:10,420 ou un RP synchronisé. Alors, comment allons-nous procéder ? 84 00:05:10,420 --> 00:05:15,640 C'est très simple. Il suffit de revenir à la configuration de la commande d'adresse RP statique. 85 00:05:15,640 --> 00:05:17,960 Vous vous dites peut-être : attendez une seconde. 86 00:05:17,960 --> 00:05:19,640 Je sais comment fonctionne le routage. 87 00:05:19,640 --> 00:05:23,900 Les itinéraires statiques sont toujours privilégiés par rapport aux itinéraires dynamiques. 88 00:05:23,900 --> 00:05:27,300 Cela ne va-t-il pas complètement annuler le RP automatique ? 89 00:05:27,300 --> 00:05:31,280 Non, car dans ce cas précis, c'est tout le contraire. 90 00:05:31,280 --> 00:05:36,640 Lorsque les routeurs exécutent le protocole RP automatique, tout protocole RP qu'ils apprennent via une découverte RP est détecté. 91 00:05:36,640 --> 00:05:47,340 Le paquet provenant de l'agent de mappage est prioritaire sur celui-ci. 92 00:05:47,340 --> 00:05:50,900 Oui. Donc, ce que nous sommes en train de faire ici, permettez-moi de revenir sur ce point, 93 00:05:50,900 --> 00:05:57,260 Cela signifie : « D'accord, je vais configurer 1.1.1.1 comme mon RP. » 94 00:05:57,260 --> 00:05:58,540 Ça n'existe même plus. 95 00:05:58,540 --> 00:06:01,640 Cette adresse IP ne figure même pas dans les tables de routage, nulle part. 96 00:06:01,640 --> 00:06:03,760 C'est juste un trou noir. 97 00:06:03,760 --> 00:06:05,860 Et je vais le dire, et je vais configurer cela sur chaque appareil. 98 00:06:05,860 --> 00:06:06,980 routeur dans mon réseau. 99 00:06:06,980 --> 00:06:11,200 Parce que je ne sais jamais d'où pourrait venir cette attaque surprise. 100 00:06:11,200 --> 00:06:14,840 Ainsi, chaque routeur qui effectue un RP automatique est informé de mon identité légitime. 101 00:06:14,840 --> 00:06:23,280 Les RP, et chaque routeur possède cette commande, qui dit, ok, ce type 1.1 102 00:06:23,280 --> 00:06:25,680 .1.1. Ne vous inscrivez pas auprès de lui. 103 00:06:25,680 --> 00:06:28,940 Ne lui parlez pas à ces deux adresses, car elles sont utilisées pour des communications automatiques. 104 00:06:28,940 --> 00:06:32,040 RP. Il est donc exclu de ces plages de valeurs. 105 00:06:32,040 --> 00:06:37,800 Mais il est inclus pour tout le reste, toute la gamme de classe D. 106 00:06:37,800 --> 00:06:49,340 Et donc maintenant, si, par exemple, nous recevons dans un paquet de découverte RP 107 00:06:49,340 --> 00:06:53,200 de l'agent de cartographie. 108 00:06:53,200 --> 00:07:01,620 Et il est indiqué : « Hé, le RP élu est 90.0.0.1. » 109 00:07:01,620 --> 00:07:04,880 Car après tout, nous utilisons le réseau 90 dans notre entreprise. 110 00:07:04,880 --> 00:07:14,660 Et il est le RP pour 224 000 / 4. 111 00:07:14,660 --> 00:07:21,200 Ce que nous dirons, c'est que ceci est en conflit avec cela. 112 00:07:21,200 --> 00:07:28,240 Mais la découverte RP est prioritaire sur cela. 113 00:07:28,240 --> 00:07:32,400 Ou si on le réduit un peu, disons quelque chose comme 114 00:07:32,400 --> 00:07:46,860 Voilà. Notre RP Discover indique que 90,001 sera le RP pour 238,000. 115 00:07:46,860 --> 00:07:55,200 8. D'accord, donc maintenant mon routeur sait que s'il obtient un jour une adhésion IGMP 116 00:07:55,200 --> 00:08:00,880 rapport, qu'il devrait envoyer son étoile, rejoindre, s'il obtient une adhésion à l'IGMP 117 00:08:00,880 --> 00:08:09,480 rapport pour 238.anything, il devrait envoyer son PIM join à 90.001. 118 00:08:09,480 --> 00:08:15,360 S'il reçoit un jour un véritable paquet multicast destiné à 238.n'importe quoi, 119 00:08:15,360 --> 00:08:19,120 Il devrait l'enregistrer auprès de 90.001. 120 00:08:19,120 --> 00:08:26,560 S'il reçoit un paquet multicast destiné à autre chose, comme 237.225, peu importe, 121 00:08:26,560 --> 00:08:33,600 Il dira alors : « D'accord, je dois enregistrer ce paquet auprès de 1.1.1.1. » 122 00:08:33,600 --> 00:08:38,400 Et si 1.1.1.1 n'existe pas réellement, alors ce n'est pas réel. 123 00:08:38,400 --> 00:08:41,260 Et il n'a même pas de moyen d'y parvenir. 124 00:08:41,260 --> 00:08:44,040 Il va simplement abandonner ce paquet multicast. 125 00:08:44,040 --> 00:08:47,340 Et cela empêche qu'il soit inondé en mode dense. 126 00:08:47,340 --> 00:08:50,920 C'est ce que nous voulions dès le départ. 127 00:08:50,920 --> 00:08:54,960 Voilà comment configurer ce qu'on appelle un RP de dernier recours ou un 128 00:08:54,960 --> 00:09:01,060 RP synchronisé. On pourrait envisager une autre permutation ou option. 129 00:09:01,060 --> 00:09:06,300 Vous pourriez dire : et si je voulais réellement configurer statiquement ? 130 00:09:06,300 --> 00:09:08,700 Un RP pour un groupe ? 131 00:09:08,700 --> 00:09:11,420 Et je veux m'assurer que cela reste toujours la priorité. 132 00:09:11,420 --> 00:09:18,040 Donc même si j'apprends l'existence d'un RP organisé par ce même groupe via le RP automatique, je ne 133 00:09:18,040 --> 00:09:20,920 Je souhaite que le RP automatique soit prioritaire. 134 00:09:20,920 --> 00:09:23,920 Je souhaite que ma configuration statique soit prioritaire. 135 00:09:23,920 --> 00:09:25,840 Eh bien, vous pouvez faire ça. 136 00:09:25,840 --> 00:09:29,860 Et c'est là que vous utiliseriez le mot-clé override. 137 00:09:29,860 --> 00:09:34,140 Donc, comme dans ce cas précis, nous disons : d'accord, je configure statiquement 138 00:09:34,140 --> 00:09:36,800 2222. C'est un vrai RP. 139 00:09:36,800 --> 00:09:40,540 Il est autorisé à être le RP pour ce groupe en particulier. 140 00:09:40,540 --> 00:09:45,220 Et même si j'apprends l'existence de ce groupe grâce au RP automatique, je vais l'ignorer. 141 00:09:45,220 --> 00:09:48,580 Cela remplace le RP automatique.