REP – Resilient Ethernet Protocol
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Confidential. Page 1 of 9
White Paper
REP – Resilient Ethernet Protocol
L’adoption de Carrier Ethernet entraîne la création de grands domaines de niveau 2
qui nécessitent des temps de réponse stables et prédictifs, en particulier lorsque des
services de voix et de vidéo sont transportés. Aussi, la convergence en cas d’incident
doit être rapide et ne pas dépendre d’une éventuelle complexité de la topologie, de la
taille du réseau, et du nombre de VLANs et d’adresses MAC sur ce dernier. Pour
répondre à ces besoins CISCO a développé le protocole REP : Resilient Ethernet
Protocol
Vue d’ensemble
Cisco Resilient Ethernet Protocol est une technologie initialement mise en œuvre sur les commutateurs de type
« carrier ethernet » et les routeurs d’accès de l’opérateur (MPLS PE). Cette technologie permet le plus souvent de
converger dans des temps proches de 50 ms (250 ms dans certains scénarios) sur les réseaux NGN (Next-
Generation Networks) qui reposent sur Ethernet. REP se configure sur des segments du réseau et s’intègre dans
la plupart des topologies Ethernet. Sur chaque segment, REP s’assure qu’un port reste bloqué (« alternate port »),
permettant au trafic de s’écouler aux extrémités sans créer de boucle.
REP se configure et s’opère facilement : il repose sur une architecture distribuée et sécurisée. Chaque
commutateur détecte localement les pannes soit sur perte du signal au niveau de l’interface, soit suite à une perte
d’adjacence entre 2 voisins REP. Chaque port sur le segment REP peut initier un switchover s’il est configuré avec
la clé qui lui permet de débloquer le port initialement bloqué par le protocole REP. Il est impératif qu’un port sur le
segment reste bloqué à chaque instant. Si 2 pannes surviennent sur le segment au même moment, REP ne
permet pas de converger. Il est donc nécessaire de définir les segments sur le réseau en prenant en compte la
topologie du réseau et le risque de panne.
REP n’a pas été conçu pour remplacer le protocole spanning-tree (STP) mais permet plutôt de limiter la portée de
ce dernier : REP peut envoyer des notifications de changement de topologie à STP et donc interopère avec lui.
REP permet de configurer des « alternate ports » pour différentes plages de VLANs et donc de choisir comment
ceux-ci sont acheminés sur le segment.
Définitions
REP est un protocole qui fonctionne sur un segment. Un segment REP est une suite de ports chainés configurés
avec le même identifiant de segment (ou « segment ID »). Chaque segment se termine sur un commutateur
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Confidential. Page 2 of 9
d’extrémité (ou « edge switch »). Cette architecture simple permet de déployer des segments REP sur tout type de
topologie (en anneau, en étoile…)
Figure 1. Un segment REP
Dans le cas d’une topologie en anneau (Figure 2. , les ports d’extrémité du segment sont sur le même
commutateur.
Figure 2. Un segment REP dans le cas d’une topologie en anneau
Dans le cas d’une boucle d’accès à un cœur de réseau (Figure 3. , il est possible de faire terminer le segment
REP sur 2 commutateurs différents du cœur et offrir ainsi le maximum de redondance. Le lien entre les 2
commutateurs d’accès pourra éventuellement être configuré avec le protocole spanning-tree.
Figure 3. Un segment REP dans le cas d’une topologie en anneau
REP dans le cadre de topologies complexes
De part l’architecture de REP en segment, ce protocole peut aisément s’adapter à toute sorte de topologie :
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Confidential. Page 3 of 9
Figure 4. Topologie REP complexe
Les protocoles habituellement mis en œuvre sur des anneaux nécessitent que ces derniers soient fermés. REP
permet de lever cet obstacle, il suffit de définir des segments sur la topologie et de s’assurer que sur un
commutateur il n’y ait pas plus de 2 ports par « segment ID ».
Fonctionnement de REP
Avec REP, il y a toujours au moins un port « bloqué » dans chaque segment. Le port bloqué permet de s’assurer
qu’il n’y a pas de boucle : le trafic sur un segment ne peut s’écouler que par une extrémité de ce segment, et non
les 2 en même temps. L’« alternate port » est le port bloqué par REP par défaut, c’est-à-dire quand tous les liens
du segment sont dans un état fonctionnel. Quand un problème est détecté sur un des liens du segment, REP
débloque l’« alternate port » et le trafic peut de nouveau joindre les extrémités du segment (Error! Reference
source not found.
Figure 5. Principe de fonctionnement de REP
Détection des incidents par REP
REP se base en premier lieu sur les pertes de signal au niveau des interfaces des commutateurs (LOS – Loss Of
Signal), et est capable de découvrir la localisation précise de l’incident sur le segment. Quand un problème
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Confidential. Page 4 of 9
survient, les ports qui détectent une anomalie (c’est-à-dire ceux qui sont aux extrémités du lien défectueux),
envoient une notification à tous les commutateurs REP du segment. Cette notification a 2 objectifs :
• Débloquer l’« alternate port » immédiatement
• Vider les entrées MAC de tous les ports sur le segment REP
Chaque port REP maintient des adjacences avec ses voisins en échangeant continuellement des paquets
« Hello ». Quand un LOS n’est pas détecté, la perte de l’adjacence permet aussi d’enclencher le processus de
swicthover décrit ci-dessus. Ce maintient d’adjacence permet de s’affranchir d’une gestion centralisée de l’état des
liens. Le protocole UDLD (Unidirectional Link Detection) peut être mis en œuvre sur les liens du segment en
parallèle et permettre d’enrichir REP en déclenchant le switchover quand un lien du segment passe dans un état
unidirectionnel.
Notification des incidents par REP
Notifier très rapidement tous les incidents est indispensable pour obtenir une convergence très rapide. Pour
envoyer rapidement et de manière fiable les notifications, REP utilise 2 méthodes :
• Notification rapide – Via l’utilisation du multicast, la notification est envoyée immédiatement à tous les
nœuds du segment, et cela en hardware.
• Notification fiable – Les notifications sont envoyées également via le protocole qui maintient les adjacences
REP. Grâce à l’utilisation de numéro de séquences dans les échanges et à l’acquittement de l’ensemble
de ces messages, on est certains que les notifications sont bien propagées.
A réception d’une notification d’incident, chaque commutateur REP sur le segment vide les adresses MAC
apprises sur les ports du segment en question, et l’« alternate port » est débloqué (Figure 6.
Figure 6. Notification des incidents
Retour en fonctionnement nominal et mécanisme de préemption
La préemption est le mécanisme qui permet à un segment REP de revenir à un état connu une fois l’incident
terminé. Par défaut, le mécanisme de préemption n’est pas activé, ce qui signifie qu’il n’y a pas re-convergence
une fois l’incident terminé (le port naturellement bloqué par l’incident reste bloqué par REP). Activer le mécanisme
de préemption de REP permet toutefois de revenir à un état connu après qu’un certain délai configurable se soit
écoulé après la fin de l’incident. La préemption peut aussi être déclenchée manuellement si besoin (Figure 7.
© 2012 Cisco and/or its affiliates. All rights reserved. This document is Cisco Confidential. Page 5 of 9
Figure 7. Mécanisme de préemption
REP : un protocole distribué et sécurisé
REP est un protocole sécurisé et distribué qui ne dépend pas d’un seul nœud « maître » pour permettre de
garantir son fonctionnement sur le segment. Sur chaque segment, l’un des 2 ports d’extrémité est défini comme
primaire (manuellement ou automatiquement) et n’est en charge que d’initier la récolte des informations de
topologie et le mécanisme de préemption. Les incidents sont détectés localement soit grâce aux pertes de signal
sur les interfaces (LOS) ou bien via les pertes d’adjacences. Tout port sur le segment peut débloquer l’« alternate
port » s’il a obtenu au préalable la clé de sécurité qui permet de le faire. Cette clé de 9 octets identifie chaque port
du segment. C’est une combinaison de l’identifiant du port et d’un nombre aléatoire généré quand le port devient
actif. Cette clé permet un fonctionnement sécurisé car elle n’est distribuée qu’au sein du segment. L’« alternate
port » génère donc sa clé et la distribue à tous les autres ports du segment (Figure 8.
Chaque port du segment peut donc ensuite utiliser cette clé pour débloquer l’« alternate port ». Grâce à ce
mécanisme, seuls les commutateurs sur le segment sont capables de débloquer l’« alternate port » et cela
empêche à la fois les attaques et des problèmes liés à la présence de plusieurs segments sur le même
commutateur (1024 « segment IDs » étant disponibles, de tels chevauchements ne devraient pas survenir sauf en
cas de mauvaise configuration)
Figure 8. Distribution de la clé de l’« alternate port »
Notification de changement de topologie
Une notification de changement de topologie (TCN – Topology Change Notification) est utilisée au sein d’un
segment pour notifier les voisins que la topologie a été modifiée. Aux extrémités du segment, REP peut propager
cette information au protocole spanning-tree ou bien à d’autres segments REP. La figure 9 illustre un scénario
dans lequel 2 segments REP sont configurés. Le segment 2 est configuré pour envoyer une notification de
6
7
8
9
1
/
9
100%
