Locator/ID Separation Protocol, 'LISP'
Avant tout, LISP n'est pas une fonctionnalité, mais est plutôt une architecture de routage de nouvelle génération. Il a été développé pour améliorer la scalabilité du routage sur Internet. Il sépare en quelque sorte les deux fonctions des adresses IP : l’identification d’un appareil et sa localisation au sein de la topologie du réseau. En dissociant ces rôles, LISP vise à améliorer l'efficacité et la gestion du routage et de l’adressage IP.
La croissance d'Internet a entraîné des défis significatifs en termes de scalabilité du routage. Le schéma d’adressage IP actuel confond les notions de "qui" (l'identifiant) et de "où" (le localisateur), conduisant à des tables de routage volumineuses et en constante augmentation. LISP répond à ces problèmes en introduisant un niveau d'indirection, permettant un routage plus flexible et efficace.
Concepts clés
EID: Endpoint Identifier
Les EIDs sont des adresses utilisées pour identifier les points d’extrémité du réseau (appareils ou hôtes). Elles sont similaires aux adresses IP traditionnelles en ce qu'elles identifient de manière unique les appareils au sein du réseau, mais ne sont pas utilisées pour le routage.
RLOC: Routing Locator
Les RLOCs sont des adresses qui indiquent l'emplacement d'un EID dans la topologie du réseau. Elles sont attribuées aux interfaces des routeurs et sont utilisées pour le routage des paquets à travers le réseau.
ETR: Egress Tunnel Router
L'ETR est responsable de la réception et de la décapsulation des paquets qui arrivent dans un site LISP.
ITR: Ingress Tunnel Router
L'ITR est responsable de l'encapsulation des paquets qui quittent un site LISP. Lorsqu'un paquet est destiné à un EID situé en dehors du site LISP source.
=> Un xTR regroupe les deux ITR/ETR.
On retrouve également des PITR et PETR qui sont des Proxy ITR ou ETR. Ingress ou Egress depuis/vers un site NON LISP. Le PxTR est un routeur qui associe ces deux fonctionnalités.
LISP repose sur un système de mappage distribué pour associer les EIDs à leurs RLOCs correspondants. Ce système permet aux routeurs de déterminer le RLOC approprié pour un EID donné, facilitant ainsi la livraison efficace des paquets.
Map Server (MS) : ce périphérique réseau (généralement un routeur) apprend le mappage EID-préfixe d'un ETR et les stocke dans une base de données locale de mappage EID-à-RLOC.
Map Resolver (MR) : ce périphérique réseau (généralement un routeur) reçoit la map-request d'un ITR et trouve l'ETR approprié pour répondre à celles-ci en consultant la base de données.
Ces deux rôles peuvent êtres portés par un même équipement, MS/MR Server.
--
Ce fonctionnement est similaire au système DNS. Un ITR et ETR utilisent tous deux un mécanisme de mappage pour convertir un identifiant en une adresse de routage. L'ITR utilise le système de mappage pour traduire un EID en un RLOC et encapsule le paquet avec ce RLOC pour le routage, tandis que l'ETR décapsule le paquet à son arrivée. De même, le DNS résout un nom de domaine en une adresse IP.
Principe de fonctionnement
.1. Encapsulation des Paquets : Lorsqu'un paquet est envoyé d'un EID source à un EID destination, il est d'abord encapsulé par un routeur tunnel d'entrée (ITR). L'ITR recherche l'EID de destination dans le système de mappage pour trouver le RLOC correspondant. Le paquet est ensuite encapsulé avec un en-tête IP externe contenant le RLOC.
SRC/DST IP = RLOC SRC IP and RLOC DST IP
SRC/DST UDP= SRC PORT >1024 and DST PORT = 4341
SRC/DST IP = EID SRC IP and EID DST IP
.2. Routage: Le paquet encapsulé est routé à travers le réseau en utilisant les RLOCs. Les routeurs le long du chemin utilisent le routage IP traditionnel pour transférer le paquet en se basant sur l'en-tête IP externe.
.3. Décapsulation : Lorsqu'il atteint le routeur tunnel de sortie (ETR) associé au RLOC de destination, l'en-tête IP externe est retiré et le paquet original est transmis à l’EID de destination.
Exemple de configuration
- Routeur R1, rôle xTR1, donc rôles ITR et ETR sur ce même équipement:
router lisp
locator-set siteA // Nom de ce site //
10.10.14.1 priority 1 weight 4 // RLOC de ce site //
exit
!
// Mapping des EID attachés ou routés par ce routeur côté LAN //
database-mapping 5.5.5.0/24 10.10.14.1 priority 1 weight 100
database-mapping 55.55.55.55/32 10.10.14.1 priority 1 weight 100
database-mapping 192.168.15.0/24 10.10.14.1 priority 1 weight 100
ipv4 itr map-resolver 10.10.34.3 // IP du MR //
ipv4 itr // Activation rôle ITR //
ipv4 etr map-server 10.10.34.3 key SITEAKEY // IP du MS -- même IP car rôles MS et MR sur même équipement //
ipv4 etr // Activation rôle ETR //
exit
- Routeur 'MS/MR', rôle MS/MR, donc rôles MS et MR sur ce même équipement:
router lisp
site siteA // Nom du site A //
authentication-key SITEAKEY // Auth site A //
// Liste EID //
eid-prefix 5.5.5.0/24
eid-prefix 55.55.55.55/32
eid-prefix 192.168.15.0/24
exit
!
site siteB // Nom du site B //
authentication-key SITEBKEY // Auth site B //
// Liste EID //
eid-prefix 6.6.6.0/24
eid-prefix 66.66.66.66/32
eid-prefix 192.168.26.0/24
exit
!
ipv4 map-server // Activation rôle de MAP-SERVER //
ipv4 map-resolver // Activation rôle de MAP-RESOLVER//
exit
-Test icmp depuis R5 (site A) entre EID 5.5.5.5 (loopback sur R5) siteA vers EID 6.6.6.6 (loopback sur R6) siteB
Les IP source et destination du paquet IP sont bien les IP des RLOC, 10.10.14.1 (RLOC siteA) et 10.10.24.2 (RLOC site B).
Ainsi, le protocole LISP utilise l'encapsulation IP-in-IP/UDP pour transporter les paquets à travers le réseau, en maintenant la séparation entre les EIDs et les RLOCs. Dans l'encapsulation IP-in-IP, un paquet IP original, contenant les EIDs source et destination, est encapsulé avec un en-tête IP externe contenant les RLOCs source et destination. Cela permet de router les paquets en fonction des RLOCs tout en préservant les EIDs d'origine. L'encapsulation UDP, quant à elle, encapsule le paquet IP original dans un paquet UDP, offrant des avantages pour la traversée des pare-feu et la compatibilité avec les réseaux NAT.
Avantages de LISP
En séparant les EIDs et les RLOCs, LISP réduit la taille des tables de routage et améliore la scalabilité d'Internet. LISP supporte une mobilité transparente, car les EIDs restent constants même lorsque les RLOCs sous-jacents changent en raison du déplacement des appareils ou de la reconfiguration du réseau. LISP facilite le multihoming en permettant à plusieurs RLOCs d'être associés à un seul EID, offrant ainsi redondance et équilibrage de charge. Enfin, LISP peut améliorer la sécurité en empêchant certains types d'attaques de routage et en permettant une ingénierie du trafic plus efficace.
Cas d'usage
Cisco Software-Defined Access (SD-Access) est un exemple d'implémentation de LISP en tant que control-plane couplé à VxLAN en Data Plane.
Cisco SD-Access est une solution de réseau d'entreprise qui vise à simplifier et à automatiser la gestion du réseau en utilisant des principes de segmentation, de virtualisation et d'automatisation. L'une des technologies clés sous-jacentes à SD-Access est l'utilisation de LISP et VxLAN. Dans l'architecture SD-Access, LISP gère la table de mappage des EIDs aux RLOCs et supervise la découverte et la mise à jour des localisations des appareils dans le réseau. VxLAN transporte les paquets encapsulés à travers le réseau, utilisant les informations fournies par LISP pour diriger le trafic vers les destinations correctes. Cette combinaison permet de bénéficier des avantages de la virtualisation réseau tout en assurant une gestion dynamique et scalable des adresses IP.
Sources:
https://www.cisco.com/c/dam/en/us/td/docs/ios/lisp/app/note/LISP_lab_test_app_note.pdf
CCNP ENCOR 350-401: Chapitre-16: Overlay Tunnels
https://fr.wikipedia.org/wiki/Locator/Identifier_Separation_Protocol