Reroutage sécurisé et évolutif dans les réseaux satellitaires LEO

Les constellations de satellites en orbite terrestre basse (LEO), telles que Starlink, OneWeb et Kuiper, sont en train de remodeler l'infrastructure Internet mondiale. Avec des milliers de satellites connectés par des liaisons intersatellites, elles promettent une connectivité mondiale à faible latence.

Cependant, ces réseaux sont confrontés à un défi opérationnel majeur : comment maintenir le flux de données lorsque les satellites ou les liaisons tombent en panne. Les pannes peuvent survenir pour de nombreuses raisons, notamment des défaillances matérielles, des interruptions temporaires de la liaison ou des attaques ciblées.

Les mécanismes de routage existants, tels que IP Fast Reroute (IPFRR) ou Loop-Free Alternates (LFA), ont été conçus pour des topologies terrestres stables. Ils s'appuient sur des chemins de secours précalculés et supposent souvent que les défaillances sont isolées et peu fréquentes. Dans les grandes constellations dynamiques de l'orbite terrestre basse, c'est l'inverse qui est vrai : la topologie change constamment et plusieurs pannes peuvent se produire simultanément.

Nos recherches portent sur la manière dont l'étendue de la connaissance des défaillances, c'est-à-dire la mesure dans laquelle chaque satellite est informé des défaillances en cours, affecte les performances de routage et la résilience. Nous nous concentrons en particulier sur les défaillances de liaisons multiples, qui sont beaucoup plus perturbatrices et réalistes dans les grandes constellations dynamiques.

La simulation du routage dans les constellations de satellites n'est pas simple. Le réseau change rapidement et l'introduction de défaillances réalistes peut rendre difficile la distinction entre les effets de la conception du routage et les variations aléatoires.

Heureusement, le simulateur de réseau de l'espace lointain (DSNS), sur lequel nous nous sommes appuyés, modélise déjà les aspects prévisibles du mouvement des satellites et de la disponibilité des liaisons. Cela nous a permis de nous concentrer uniquement sur les perturbations adverses, c'est-à-dire les défaillances aléatoires ou ciblées qui vont au-delà de la dynamique normale et attendue du réseau.

L'architecture modulaire du DSNS, basée sur les événements, a permis de l'étendre à des comportements personnalisés en matière de défaillance et de routage.

Par rapport aux travaux antérieurs, notre étude se concentre spécifiquement sur les scénarios d'adversité, en isolant la connaissance des défaillances comme le principal facteur déterminant les performances de routage. Contrairement à de nombreux modèles antérieurs, notre approche ne repose pas sur la topologie sous-jacente de la constellation pour les décisions de partitionnement ou de routage. Elle peut donc s'adapter à des réseaux différents et potentiellement plus complexes.

Notre principal objectif était d'évaluer l'influence de l'étendue de la connaissance des défaillances sur les performances de routage et la résilience dans ces scénarios adverses. Pour isoler cet effet, nous avons utilisé une conception de routage uniforme sans tables de routage, sans chemins précalculés et sans diffusion de l'état global. Toutes les décisions sont prises à la demande, en utilisant uniquement les informations disponibles au moment de l'acheminement.

L'un des principaux défis consistait à représenter de manière cohérente les différents "niveaux" de conscience. Modéliser ces niveaux de manière trop spécifique, par exemple en les liant à la structure d'une constellation, aurait limité la généralité. Au lieu de cela, nous avons défini et mis en œuvre trois niveaux génériques de connaissance inspirés des approches de reroutage existantes :

• Le reroutage basé sur le voisinage, où les satellites peuvent réagir aux défaillances locales et informer leurs voisins.
• Le reroutage basé sur les segments, où les informations sur les défaillances sont partagées au sein des segments.
• Le reroutage global, qui utilise la connaissance complète et immédiate des défaillances, sert de limite supérieure.

Nous les comparons entre elles et à une stratégie de routage à la source pure (baseline), où les chemins sont fixés à la création et où aucun reroutage n'est effectué.

La modélisation du reroutage basé sur les segments s'est avérée être la partie la plus complexe du travail. Elle implique de nombreux paramètres ajustables, tels que la taille du segment, la manière exacte dont les informations sur les défaillances doivent être propagées, et l'utilisation ou non de chemins de basculement ou d'autres mécanismes de redondance. Pour que le modèle reste général et largement applicable, nous avons opté pour une conception agnostique sur le plan topologique, ce qui laisse de la place pour des améliorations futures et des optimisations pratiques.

Des simulations ont été réalisées sur trois constellations à grande échelle : Iridium (66 satellites), Starlink (1 584 satellites) et une constellation LEO/LEO à deux couches (1 650 satellites). Chaque configuration comprenait à la fois des défaillances aléatoires, où une fraction des liaisons était constamment en panne, et des défaillances ciblées, où des satellites "frontaliers" structurellement importants étaient temporairement désactivés. 

Nous avons mesuré le taux de livraison des messages, la latence et les boucles de routage pour différents taux de défaillance afin de quantifier l'influence de l'étendue de la connaissance des défaillances sur les performances à différents niveaux de stress du réseau.

Nos résultats montrent que le reroutage basé sur les segments est le plus performant dans des conditions de réseau exigeantes, notamment en cas de trafic élevé, de défaillances fréquentes des liaisons ou d'attaques ciblées. En partageant des informations limitées sur les pannes au sein des segments, les satellites peuvent contourner les pannes plus efficacement sans avoir besoin d'un état global complet. Cette approche permet d'atteindre un équilibre solide, avec jusqu'à 30 % de messages perdus en moins et 80 % de boucles de routage en moins que le reroutage basé sur les voisins dans des conditions de taux de défaillance élevés.

Le reroutage basé sur le voisinage donne de bons résultats en cas de pannes légères ou inexistantes et dans des conditions de faible trafic, mais il se dégrade rapidement lorsque les pannes deviennent plus fréquentes et que le réseau devient plus chargé. Il est simple, léger et réagit rapidement avec un surcoût de signalisation très faible, ce qui peut se traduire par une latence plus faible même si certains chemins sont sous-optimaux. Avec des mécanismes de prévention des boucles plus efficaces, il pourrait rester évolutif pour les réseaux stables, à faible taux de défaillance, où la minimisation des frais généraux importe plus que la résilience globale.

Enfin, le reroutage global est le plus performant dans l'ensemble, mais il n'est pas pratique pour les déploiements réels en raison de la surcharge de signalisation qu'il entraîne.

Cette recherche apporte trois contributions essentielles à la compréhension du routage résilient dans les constellations LEO :

1. Extension du DSNS pour modéliser les défaillances de liaisons multiples et mettre en œuvre trois paradigmes de reroutage - voisin, segment et global.
2. Fournir une évaluation systématique à grande échelle de topologies de satellites réalistes, y compris Iridium, Starlink et les constellations LEO/LEO, dans le cadre de scénarios de défaillance aléatoires et ciblés.
3. Identifier le rôle dominant de la portée de la connaissance des défaillances dans la détermination des performances de livraison, de la latence et de la surcharge de signalisation, et quantifier les compromis entre ces éléments.

Nos résultats suggèrent les circonstances dans lesquelles chaque paradigme est le plus efficace, du reroutage léger basé sur les voisins dans les réseaux stables à une approche robuste basée sur les segments dans des conditions de stress élevé.

Ces résultats sont pertinents pour les constellations LEO prévues ou déjà en service qui doivent rester fonctionnelles en cas de défaillances partielles ou d'attaques. Le reroutage par segment offre une voie pratique vers l'évolutivité et la sécurité, en évitant le coût d'une coordination globale complète tout en maintenant de bonnes performances de livraison. Notre approche convient aux réseaux qui :

• Nécessité de rester résilient sans trop compromettre les frais généraux.
• Préférez ne pas vous appuyer sur des partitions topologiques rigides.
• Vous souhaitez restreindre le partage d'informations au-delà des frontières de l'organisation ou de la sécurité.

L'étape suivante consistera naturellement à étudier les performances du routage par segment lorsqu'il est associé à des chemins de secours ou de basculement, ou à d'autres améliorations spécifiques visant à accroître la robustesse.

Les travaux futurs pourraient également porter sur l'intégration de mécanismes d'authentification et de confiance dans le reroutage basé sur les segments afin d'empêcher les nœuds malveillants de diffuser de fausses informations sur les défaillances. En outre, les paradigmes pourraient être évalués dans des constellations plus complexes ou hétérogènes pour voir comment les résultats s'étendent au-delà des modèles actuels.

Enfin, l'amélioration du traitement des boucles est une orientation importante, car notre approche actuelle permet et détecte les boucles, mais ne les résout pas encore explicitement.

Pour plus d'informations, lisez notre article et cet article complémentaire sur le DSNS.

Lyubomir Yanev est étudiant en master au premier semestre dans le département informatique de l'ETH Zurich, où il a également obtenu son bachelor en informatique. Il s'intéresse principalement à la sécurité des réseaux et à la sécurité de l'information appliquée.

Adapté de l'article original, qui a été publié pour la première fois sur le blog de l'APNIC.

Les opinions exprimées par les auteurs de ce blog sont les leurs et ne reflètent pas nécessairement celles de l'Internet Society.