Opération et maintenance

Il y a toute une gamme de modèles possibles pour effectuer les fonctions O&M sur un routeur. À un extrême se trouve le modèle local seul, dans lequel les fonctions O&M ne peuvent être exécutées qu’en local (par exemple, à partir d’un terminal branché sur la machine routeur). À l’autre extrême, le modèle entièrement à distance ne permet qu’à un minimum absolu de fonctions d’être effectuées localement (par exemple, forcer une amorce) la plus grande partie de l’O&M étant faite à distance à partir du NOC. Il y a des modèles intermédiaires, comme celui dans lequel le personnel du NOC peut enregistrer dans le routeur comme si c’était un hôte, en utilisant le protocole Telnet, pour effectuer des fonctions qui peuvent aussi être invoquées en local. Le modèle local seul peut être adéquat dans quelques installations de routeurs, mais le fonctionnement à distance à partir d’un NOC est normalement exigé, et donc les dispositions d’O&M à distance sont exigées pour la plupart des routeurs.

Les fonctions O&M distantes peuvent être exercées à travers un agent de contrôle (programme). Dans l’approche directe, le routeur prendrait directement en charge les fonctions d’O&M distantes à partir du NOC en utilisant les protocoles Internet standard (par exemple, SNMP, UDP ou TCP) ; dans l’approche indirecte, l’agent de contrôle prendrait en charge ces protocoles et contrôleraient le routeur lui-même en utilisant des protocoles privés. L’approche directe est préférée, bien que les deux approches soient acceptables. L’utilisation de matériel et/ou logiciel d’hôte spécialisé exigeant un investissement supplémentaire significatif est déconseillée ; néanmoins, certains fabricants peuvent choisir de fournir l’agent de contrôle comme partie intégrante du réseau dans lequel sont les routeurs. Si c’est le cas, il est exigé qu’il y ait un moyen disponible pour faire fonctionner l’agent de contrôle à partir d’un site distant utilisant les protocoles et chemins de l’Internet et avec des fonctionnalités équivalentes par rapport à un terminal d’agent local.

Il est souhaitable qu’un agent de contrôle et tous les autres outils logiciels de NOC que fournit un fabricant fonctionnent comme des programmes d’utilisateur dans un système d’exploitation standard. L’utilisation des protocoles standard Internet UDP et TCP pour communiquer avec les routeurs devrait le faciliter.

La surveillance à distance du routeur et (en particulier) la commande de routeur à distance présente d’importants problèmes de contrôle d’accès qui doivent être examinés. Il faut veiller aussi à s’assurer du contrôle de l’utilisation des ressources du routeur pour ces fonctions. Il n’est par exemple pas souhaitable de laisser la surveillance du routeur prendre plus qu’une fraction limitée du temps CPU du routeur. D’un autre côté, les fonctions O&M doivent recevoir la priorité, de sorte qu’elles puissent être exercées lorsque le routeur est encombré, car souvent c’est alors que l’O&M est la plus nécessaire.

10.3.1 Accès hors bande

Les routeurs DOIVENT prendre en charge l’accès hors bande. L’accès hors bande DEVRAIT fournir la même fonctionnalité que l’accès dans la bande. Cet accès DEVRAIT mettre en œuvre des contrôles d’accès, pour empêcher l’accès non autorisé.

Discussion

Cet accès hors bande va permettre au NOC un moyen d’isoler l’accès des routeurs durant des périodes où l’accès au réseau n’est pas disponible. L’accès hors bande est un important outil de gestion pour l’administrateur de réseau. Il permet l’accès aux équipements indépendamment des connexions réseau. Cet accès peut être réalisé de nombreuses façons. Quelle que soit celle utilisée, il est important que l’accès soit indépendant de la connexion réseau. Un exemple d’accès hors bande serait celui d’un accès en série connecté à un modem qui fournit un accès par numérotage au routeur.

Il est important que l’accès hors bande fournisse la même fonctionnalité que dans l’accès dans la bande. L’accès dans la bande, ou l’accès aux équipements à travers la connexion réseau existante, est limitant, parce que la plupart du temps, les administrateurs ont besoin d’atteindre l’équipement pour comprendre pourquoi il est inaccessible. L’accès dans la bande est aussi très important pour configurer un routeur, et pour dépanner des problèmes plus subtils.

10.3.2 Fonctions O&M de routeur

10.3.2.1 Maintenance – Diagnostic de matériels

Chaque routeur DEVRAIT fonctionner comme un appareil autonome pour les besoins de la maintenance matérielle locale. Des moyens DEVRAIENT être disponibles pour faire tourner des programmes de diagnostic sur le site du routeur en utilisant uniquement des outils du site. Un routeur DEVRAIT être capable de faire des diagnostics en cas de faute. Voir au paragraphe 10.3.3 les diagnostics suggérés de matériel et logiciel.

10.3.2.2 Contrôle – Décharge et réamorçage

Un routeur DOIT inclure des mécanismes à la fois dans la bande et hors bande pour permettre au gestionnaire de réseau de recharger, arrêter, et redémarrer le routeur. Un routeur DEVRAIT aussi contenir un mécanisme (comme un temporisateur de garde) qui va réamorcer automatiquement le routeur si il s’arrête suite à une faute logicielle ou matérielle.

Un routeur DEVRAIT METTRE EN ŒUVRE un mécanisme pour décharger le contenu de la mémoire d’un routeur (et/ou d’autres états utiles pour nettoyer des défauts de fabrication après une défaillance), et le sauvegarder sur un appareil local de mémorisation stable sur le routeur ou le sauvegarder sur un autre hôte via un mécanisme de déchargement en ligne tel que TFTP (voir [RFC1350], [RFC1123]).

10.3.2.3 Contrôle – Configurer le routeur

Chaque routeur a des paramètres de configuration qui peuvent devoir être réglés. Il DEVRAIT être possible de mettre à jour les paramètres sans réamorcer le routeur ; au pire, un redémarrage PEUT être nécessaire. Il peut y avoir des cas où il n’est pas possible de changer les paramètres sans réamorcer le routeur (par exemple, changer l’adresse IP d’une interface). Dans ces cas, il faut veiller à minimiser l’interruption entre le routeur et le réseau environnant.

Il DEVRAIT y avoir un moyen de configurer le routeur sur le réseau, soit manuel, soit automatique. Un routeur DEVRAIT être capable de télécharger ses paramètres à partir d’un hôte ou d’un autre routeur. Un moyen DEVRAIT être fourni, comme un programme d’application ou une fonction de routeur, pour faire la conversion entre le format du paramètre et un format lisible par l’homme. Un routeur DEVRAIT avoir une ressource de mémoire stable pour sa configuration. Un routeur NE DEVRAIT PAS croire des protocoles tels que RARP, Réponse de gabarit d'adresse ICMP, et PEUT ne pas croire BOOTP.

Discussion

Il est nécessaire de noter ici qu’à l’avenir, RARP, Réponse de gabarit d'adresse ICMP, BOOTP et d’autres mécanismes pourront être nécessaires pour permettre à un routeur de s’auto-configurer. Bien que les routeurs puissent à l’avenir être capables de configuration automatique, l’intention ici est de déconseiller cette pratique dans un environnement de production jusqu’à ce que l’auto configuration ait été testée plus en détail. L’intention N’EST PAS de déconseiller l’auto configuration dans l’absolu. Si un routeur est prévu pour une configuration automatique, il peut être avisé de lui permettre de croire ces programmes lors du démarrage puis de les ignorer une fois qu’il a sa configuration.

10.3.2.4 Amorçage réseau de logiciel système

Un routeur DEVRAIT conserver son image système dans une mémoire locale non volatile comme un PROM, NVRAM, ou un disque. Il PEUT aussi être capable de charger son logiciel système sur le réseau à partir d’un hôte ou autre routeur.

Un routeur qui conserve son image système dans une mémoire locale non volatile PEUT être configurable pour amorcer son image système sur le réseau. Un routeur qui offre cette option DEVRAIT être configurable pour amorcer l’image système dans sa mémoire locale non volatile s’il n’est pas capable d’amorcer son image système sur le réseau.

Discussion :

Il est important que le routeur soit capable de démarrer et fonctionner de façon autonome. NVRAM peut être une solution particulière pour les routeurs utilisés dans de grands réseaux, car changer les PROM peut prendre du temps à un gestionnaire de réseau responsable de nombreux routeurs peut-être géographiquement dispersés. Il est important d’être capable d’amorcer à partir du réseau l’image système parce qu’il devrait être facile à un routeur de réparer une erreur de programme ou installer un nouveau dispositif plus rapidement que d’installer les PROM. Aussi si le routeur a NVRAM à la place des PROM, il va amorcer l’image à partir du réseau et la mettra ensuite en NVRAM.

Les routeurs DEVRAIENT effectuer des vérifications de cohérence de base sut toute image chargée, pour détecter et peut-être prévenir des images incorrectes.

Un routeur PEUT aussi être capable de distinguer entre différentes configurations sur la base du logiciel qui fonctionne.

Si les commandes de configuration changent d’une version de logiciel à l’autre, il serait utile que le routeur puisse utiliser la configuration qui est compatible avec le logiciel.

10.3.2.5 Détection et réplique aux mauvaises configurations

Il DOIT y avoir un mécanisme de détection et de réplique aux mauvaises configurations. Si une commande est exécutée de façon incorrecte, le routeur DEVRAIT donner un message d’erreur. Le routeur NE DEVRAIT PAS accepter une commande mal tournée comme si elle était correcte.

Discussion

Il y a des cas où il n’est pas possible de détecter les erreurs : la commande est correctement formée, mais incorrecte par rapport au réseau. Ceci peut être détecté par le routeur, mais peut n’être pas possible.

Une autre forme de mauvaise configuration est celle du réseau auquel le routeur est rattaché. Un routeur PEUT détecter les mauvaises configurations dans le réseau. Le routeur PEUT enregistrer ces découvertes dans un fichier, sur le routeur ou sur un hôte, de sorte que le gestionnaire de réseau puisse voir qu’il pourrait y avoir des problèmes sur le réseau.

Discussion

Des exemples de telles mauvaises configurations pourraient être un routeur avec la même adresse que celui en question ou un routeur avec le mauvais gabarit d’adresse. Si un routeur détecte de tels problèmes, il n’est probablement pas le mieux placé pour essayer de régler la situation. Cela pourrait causer plus de mal que de bien.

10.3.2.6 Minimiser l’interruption

Changer la configuration d’un routeur DEVRAIT avoir un effet minimal sur le réseau. Les tableaux d’acheminement NE DEVRAIENT PAS bouger sans nécessité lorsqu’un simple changement est fait au routeur. Si un routeur fait tourner plusieurs protocoles d’acheminement, arrêter un protocole d’acheminement NE DEVRAIT PAS interrompre les autres protocoles d’acheminement, excepté dans le cas où un réseau est en acquisition par plus d’un protocole d’acheminement.

Discussion

C’est l’objectif d’un gestionnaire de réseau de faire fonctionner un réseau de telle sorte que les usagers du réseau obtiennent la meilleure connectivité possible. Recharger un routeur pour de simples changements de configuration peut causer des interruptions dans l’acheminement et finalement causer des interruptions au réseau et à ses usagers. Si les tableaux d’acheminement sont modifiés sans nécessité, par exemple, le chemin par défaut sera perdu aussi bien que les chemins spécifiques vers les sites au sein du réseau. Cette sorte d’interruption causera des pertes de temps significatives aux usagers. L’objectif de ce paragraphe est de souligner que chaque fois que possible, ces interruptions devraient être évitées.

10.3.2.7 Contrôle – Résolution des problèmes

(1) Un routeur DOIT fournir l’accès réseau dans la bande, mais (excepté quand c’est exigé par le paragraphe 8.2) pour des considérations de sécurité, cet accès DEVRAIT être désactivé par défaut. Les fabricants DOIVENT documenter l’état par défaut dans tout accès dans la bande. Cet accès DEVRAIT mettre en œuvre des contrôles d’accès, pour empêcher les accès non autorisés.

Discussion

L’accès dans la bande se réfère principalement à l’accès par des protocoles réseau normaux qui peuvent affecter ou non l’état de fonctionnement permanent du routeur. Cela inclut, sans s’y limiter, l’accès par console Telnet/RLOGIN et le fonctionnement de SNMP.

Ceci était un point de dispute entre les partisans de la "sortie de boîte opérationnelle" et ceux de la "sortie de boîte sécurisée". Tout accès automatique au routeur peut introduire de l’insécurité, mais il peut être plus important pour le consommateur d’avoir un routeur qui soit accessible sur le réseau aussitôt qu’il est banché. Au moins un fabricant fournit des routeurs sans accès par console externe qui dépendent de la capacité à accéder au routeur à travers le réseau pour achever sa configuration.

Il appartient au fabricant de dire si l’accès dans la bande est activé par défaut ; mais il est aussi de la responsabilité du fabricant d’avertir le consommateur d’une possible insécurité.

(2) Un routeur DOIT fournir la capacité à initier un écho ICMP.

Les options suivantes DEVRAIENT être mises en œuvre : Choix des gabarits de données

Choix de la taille de paquet

Les options Record route et les options supplémentaires suivantes PEUVENT être mises en œuvre : Route de source lâche

Route de source stricte Horodatage

(3) Un routeur DEVRAIT fournir la capacité à initier un traceroute. Si traceroute est fourni, le traceroute de tiers DEVRAIT être mis en œuvre.

Chacune des trois facilités ci-dessus (si elles sont mises en œuvre) DEVRAIT avoir des restrictions d’accès pour empêcher leur abus par des personnes non autorisées.

10.4 Considérations sur la sécurité