Rendu Tom Biot 022/2023 : Différence entre versions

De Wiki d'activités IMA
(SLA)
 
(68 révisions intermédiaires par le même utilisateur non affichées)
Ligne 4 : Ligne 4 :
 
La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150.
 
La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150.
  
===== Configuration des ports =====
+
Vous pouvez trouver la configuration matérielle ci-dessous :
 +
 
 +
[[Fichier:Schema reseau2.jpg]]
 +
 
 +
J'effectuerai ce TP majoritairement à distance, pour cela je me connecte sur une machine du réseau Polytech à distance et je rentre ces commande pour me connecter au différents équipements :
 +
 
 +
Pour l'ISR4331 :
 +
ssh pifou@zabeth09.plil.info
 +
# Puis via minicom jusqu'à l'ISR4331
 +
 
 +
Pour le C9200 :
 +
ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 admin@193.48.57.170
 +
 
 +
===== Configuration des interfaces =====
 
Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut  utiliser la commande "media-type ?"
 
Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut  utiliser la commande "media-type ?"
  
 
Voici les changement que j'ai effectué :
 
Voici les changement que j'ai effectué :
  
   enable                                                 // Passage en administrateur
+
Sur l'ISR4331
 +
 
 +
   enable                                                 // Passage en administrateur
 
   
 
   
 
   configure terminal
 
   configure terminal
 
   
 
   
   interface GigabitEthernet0/0/0                         
+
   interface GigabitEthernet0/0/0                        // Vers le routeur ORANGE
 
     no ip address
 
     no ip address
     negotiation auto
+
     negotiation auto  
     media-type slp
+
     media-type sfp                                      // sfp pour fibre
 
 
     service instance 510 ethernet
 
     service instance 510 ethernet
 
         encapsulation dot1q 510
 
         encapsulation dot1q 510
Ligne 24 : Ligne 38 :
 
      
 
      
 
      
 
      
   interface GigabitEthernet0/0/1                          //Vers le routeur de l'école
+
   interface GigabitEthernet0/0/1                          // Vers le routeur C9200
 
     no ip address
 
     no ip address
 
     negotiation auto
 
     negotiation auto
Ligne 32 : Ligne 46 :
 
    
 
    
 
    
 
    
 
+
Il est nécéssaire d'implémenter un spanning-tree. Un spanning-tree permet de déterminer une topologie réseau sans boucles entre nos deux routeurs.
 
Pour le spanning-tree, on tape :
 
Pour le spanning-tree, on tape :
 
   spanning-tree mode pvst
 
   spanning-tree mode pvst
  
 +
la technologie OSPF (Open Shortest Path First) est un protocole servant à déterminer le meilleur chemin que peuvent emprunter des paquets pour transiter par une série de réseaux connectés.
 
Pour la configuration de l'OSPF :
 
Pour la configuration de l'OSPF :
 
  configure terminal
 
  configure terminal
Ligne 47 : Ligne 62 :
 
  exit
 
  exit
  
===== Configuration des BDI (Vlans) =====
+
===== Configuration des Vlans et BDI =====
 +
 
 +
 
 +
VRRP (Virtual Router Redundancy Protocol) est un protocole réseau qui permet à plusieurs routeurs de travailler ensemble comme s'ils étaient un seul routeur, assurant une disponibilité et une redondance élevée. On utilise donc ce protocole entre L'ISR4331 et le C9200 afin d'installer une redondance entre les deux.
 +
 
 +
Le protocole VRRP fonctionne en permettant à plusieurs routeurs de former un groupe virtuel, où un routeur principal (MASTER) est responsable de la transmission du trafic tandis que l'autres routeur (BACKUP) reste en attente. Si le routeur maître devient indisponible, notre routeur de backup prend automatiquement sa place et assure la continuité du service.
 +
 
 +
Sur le C9200
 +
 
 +
conf t
 +
      int vlan 40
 +
      ip address 193.48.57.170 255.255.255.0
 +
      vrrp 40 address-family ipv4
 +
      priority 105                      // priorité de 105 donc non prioritaire
 +
      vrrpv2
 +
      address 193.48.57.172
 +
      exit
 +
 
 +
'''ISR4331'''
 +
 
 
Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir [[TP sysres IMA2a5 2022/2023]])
 
Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir [[TP sysres IMA2a5 2022/2023]])
  
 
Une fois cette précaution prise, voici les commandes à taper :
 
Une fois cette précaution prise, voici les commandes à taper :
  configure terminal
+
  conf t
 
   
 
   
 
   interface BDI40
 
   interface BDI40
      ip address 193.48.57.172 255.255.255.240           //IPV4
+
  ip address 193.48.57.169 255.255.255.240
      standby version 2
+
    vrrp 40 ip 193.48.57.172     
      standby 40 ip 193.48.57.170                      //Déclaration adresse virtuelle par HSRP                             
+
    vrrp 40 priority 110                              // priorité de 110 donc prioritaire
      standby 40 preempt                                     
+
    vrrpv2 
  exit
+
    exit
  
 +
Une fois que le VRRP fonctionne, on peut exécuter la commande ''show vrrp'' on voit bien que l'ISR4331 est en MASTER et que le 9200 est en BACKUP, alors on passe à la configuration du VLAN510 pour pouvoir le pinger. Il faut tout d'abord aller dans le local technique et passer le port en mode trunk pour pouvoir faire cette manipulation.
 +
Ensuite on configure le BDI510 :
  
 
   interface BDI510
 
   interface BDI510
 
       ip address 193.48.57.175 255.255.255.240        //IPV4
 
       ip address 193.48.57.175 255.255.255.240        //IPV4
       standby version 2
+
       exit
      standby 510 ip 193.48.57.175
 
      standby 510 preempt                                                           
 
  exit
 
 
  exit
 
  exit
 +
 +
===SLA===
 +
Nos équipement sont maintenant connectés mais maintenant il faut gérer le cas ou il y a une coupure réseau.
 +
On utilise le mécanisme SLA pour décrémenter la priorité des routeurs et lorsqu'un incident sur le routeur RENATER est détecté.
 +
Pour trouver cette addresse, il faut par exemple se connecter sur notre machine virtuelle :
 +
193.48.57.168 -l -root
 +
Et ensuite effectuer la commande ''traceroute'' pour trouver l'adresse que l'on va inspecter pour notre mécanisme SLA.
 +
 +
Dans notre cas nous allons décrémenter la priorité du VRRP pour que le C9200 passe prioritaire et que nous passions sur la liaison fibre orange.
 +
 +
 +
On fait sur le routeur C9200:
 +
 +
ip sla 1
 +
icmp-echo 192.168.222.65
 +
frequency 300                                        // toutes les 300s
 +
timeout 20000                                        // toutes les 20000ms
 +
exit
 +
ip sla schedule 1 life forever start-time now        // Activation du SLA
 +
track 1 ip sla 1
 +
exit
 +
int vlan 40
 +
vrrp 40 address-family ipv4
 +
track 1 decrement 10                                // on décrémente la priorité de 10 sur le C9200
 +
exit
 +
 +
On fait sur le routeur ISR4331:
 +
 +
ip sla 1
 +
icmp-echo 192.168.222.65
 +
frequency 300                                        // toutes les 300s
 +
timeout 20000                                        // toutes les 20000ms
 +
exit
 +
ip sla schedule 1 life forever start-time now        // Activation du SLA
 +
 +
A présent l'ISR peut prendre le relais si la connexion à internet par le routeur de l'école ne fonctionne plus.
 +
 +
===Mascarade===
 +
 +
Mascarade est une astuce qui permet d'avoir plusieurs machines utilisant une seule adresse IP, lorsqu'un paquet quitte le réseau interne, son adresse source est remplacée par l'adresse du routeur, et lorsqu'il revient, son adresse destination est remise à l'appareil interne approprié. Cela permet de masquer la topologie interne du réseau et d'ajouter une couche de protection contre les attaques externes.
 +
 +
on peut rentrer dans l'ISR4331 :
 +
 +
int BDI510
 +
ip nat outside
 +
exit
 +
int BDI40
 +
ip nat inside
 +
exit
 +
access-list 33 permit 193.48.57.176 0.0.0.15
 +
ip nat inside source list 33 int loopback 0 overload
 +
exit
 +
ip route 193.48.57.176 255.255.255.255 100.64.0.16
 +
 +
On utilise bien les adresses routés des VM (193.57.48...) et non les adresses privées (100.64....) sinon on serait incapable de revenir vers les VM car le routeur ne connait pas la route vers ces dernières.
 +
On rencontre un problème car l'ISR n'a pas de route vers Internet
 +
 +
=== Interconnexion Internet de secours (IPv6) ===
 +
 +
On ajoute tout d'abbord une adresse IPV6 sur notre routeur C9200 :
 +
 +
interface Vlan40
 +
  ip address 193.48.57.170 255.255.255.240
 +
  ipv6 address 2001:660:4401:60A0::/64 eui-64
 +
  ipv6 enable
 +
  ipv6 nd router-preference High
 +
 +
En utilisant la commande ''ipv- nd router-preference High'', on déclare que le routeur sur lequel on exécutez cette commande a une préférence élevée par rapport aux autres routeurs du réseau IPv6. Cette préférence peut être utilisée par les autres nœuds du réseau pour décider le routeur par défaut à utiliser pour acheminer le trafic.
 +
 +
La commande ''ip rule'' est utilisée pour gérer les règles de routage dans les systèmes Linux. Elle permet de définir des règles qui déterminent comment les paquets réseau sont acheminés en fonction de différents critères tels que l'adresse source, l'adresse de destination, le type de service, etc.
 +
 +
Sur notre machine virtuelle, je rentre la commande suivante :
 +
ip -6 rule add from 2001:660:4401:60a0:216:3eff:feb5:604b/64 lookup main
 +
 +
La commande est utilisée pour ajouter une règle de routage IPv6 dans la table de règles du système Linux. Voici l'analyse détaillée de la commande :
 +
 +
- ip -6 rule : Cela indique que nous utilisons la commande ip pour gérer les règles de routage spécifiques à l'IPv6.
 +
 +
- add : Cela spécifie que nous ajoutons une nouvelle règle de routage.
 +
 +
- from 2001:660:4401:60a0:216:3eff:feb5:604b/64 : Cela spécifie la condition de la règle. Il indique que la règle s'appliquera aux paquets provenant de l'adresse IPv6 spécifique 2001:660:4401:60a0:216:3eff:feb5:604b avec un préfixe de réseau de longueur /64.
 +
 +
- lookup main : Cela spécifie l'action à effectuer lorsque la condition de la règle est satisfaite. Dans ce cas, l'action est de consulter la table de routage principale (main). La table de routage contient les informations de routage qui déterminent comment les paquets sont acheminés.
 +
 +
On remarque que le C9200 diffuse le préfixe IPv6 normal de TP. L'ip rule ne sert à rien dans ce cas. L'ip rule pourrait servir à renvoyer vers l'ISR les paquets IPv6 provenant de l'ISR.
 +
 +
==== Test ====
 +
 +
Pour tester que les paquets passent bien par le bon endroit, alors on fait un traceroute6 vers une adresse sur internet et on a le résultat suivant :
 +
 +
[[Fichier:testipv6_2.jpg]]
 +
 +
on voit que les paquets passent par le C9200, puis dans le réseau école (256 réseaux) : 2001:660:4401:6000::0/56.

Version actuelle datée du 29 juin 2023 à 13:10

Sujet

Le sujet de cette épreuve est de réaliser les points 3.8 et 3.9 du TP.

La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150.

Vous pouvez trouver la configuration matérielle ci-dessous :

Schema reseau2.jpg

J'effectuerai ce TP majoritairement à distance, pour cela je me connecte sur une machine du réseau Polytech à distance et je rentre ces commande pour me connecter au différents équipements :

Pour l'ISR4331 :

ssh pifou@zabeth09.plil.info
# Puis via minicom jusqu'à l'ISR4331

Pour le C9200 :

ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 admin@193.48.57.170
Configuration des interfaces

Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut utiliser la commande "media-type ?"

Voici les changement que j'ai effectué :

Sur l'ISR4331

 enable                                                 // Passage en administrateur

 configure terminal

 interface GigabitEthernet0/0/0                         // Vers le routeur ORANGE
   no ip address
   negotiation auto 
   media-type sfp                                       // sfp pour fibre
   service instance 510 ethernet
        encapsulation dot1q 510
        rewrite ingress tag pop 1 symmetric
        bridge-domain 510
   
    
 interface GigabitEthernet0/0/1                          // Vers le routeur C9200
   no ip address
   negotiation auto
   service instance 40 ethernet
        encapsulation dot1q 40
        bridge-domain 40
  
 

Il est nécéssaire d'implémenter un spanning-tree. Un spanning-tree permet de déterminer une topologie réseau sans boucles entre nos deux routeurs. Pour le spanning-tree, on tape :

 spanning-tree mode pvst

la technologie OSPF (Open Shortest Path First) est un protocole servant à déterminer le meilleur chemin que peuvent emprunter des paquets pour transiter par une série de réseaux connectés. Pour la configuration de l'OSPF :

configure terminal
   router ospf 1                                        //Pour l'échange de routes ipv4
       router-id 10.100.0.1
       log-adjacency-changes
       summary address 193.48.57.160 255.255.255.240
       redistribute connected subnets
       network 192.168.222.8 0.0.0.7 area 1
   exit
exit
Configuration des Vlans et BDI

VRRP (Virtual Router Redundancy Protocol) est un protocole réseau qui permet à plusieurs routeurs de travailler ensemble comme s'ils étaient un seul routeur, assurant une disponibilité et une redondance élevée. On utilise donc ce protocole entre L'ISR4331 et le C9200 afin d'installer une redondance entre les deux.

Le protocole VRRP fonctionne en permettant à plusieurs routeurs de former un groupe virtuel, où un routeur principal (MASTER) est responsable de la transmission du trafic tandis que l'autres routeur (BACKUP) reste en attente. Si le routeur maître devient indisponible, notre routeur de backup prend automatiquement sa place et assure la continuité du service.

Sur le C9200

conf t
     int vlan 40
     ip address 193.48.57.170 255.255.255.0
     vrrp 40 address-family ipv4
     priority 105                      // priorité de 105 donc non prioritaire
     vrrpv2
     address 193.48.57.172
     exit

ISR4331

Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir TP sysres IMA2a5 2022/2023)

Une fois cette précaution prise, voici les commandes à taper :

conf t

  interface BDI40
  ip address 193.48.57.169 255.255.255.240
    vrrp 40 ip 193.48.57.172      
    vrrp 40 priority 110                               // priorité de 110 donc prioritaire
    vrrpv2  
    exit

Une fois que le VRRP fonctionne, on peut exécuter la commande show vrrp on voit bien que l'ISR4331 est en MASTER et que le 9200 est en BACKUP, alors on passe à la configuration du VLAN510 pour pouvoir le pinger. Il faut tout d'abord aller dans le local technique et passer le port en mode trunk pour pouvoir faire cette manipulation. Ensuite on configure le BDI510 :

  interface BDI510
      ip address 193.48.57.175 255.255.255.240         //IPV4
      exit
exit

SLA

Nos équipement sont maintenant connectés mais maintenant il faut gérer le cas ou il y a une coupure réseau. On utilise le mécanisme SLA pour décrémenter la priorité des routeurs et lorsqu'un incident sur le routeur RENATER est détecté. Pour trouver cette addresse, il faut par exemple se connecter sur notre machine virtuelle :

193.48.57.168 -l -root

Et ensuite effectuer la commande traceroute pour trouver l'adresse que l'on va inspecter pour notre mécanisme SLA.

Dans notre cas nous allons décrémenter la priorité du VRRP pour que le C9200 passe prioritaire et que nous passions sur la liaison fibre orange.


On fait sur le routeur C9200:

ip sla 1
icmp-echo 192.168.222.65
frequency 300                                        // toutes les 300s 
timeout 20000                                        // toutes les 20000ms
exit
ip sla schedule 1 life forever start-time now        // Activation du SLA
track 1 ip sla 1
exit
int vlan 40
vrrp 40 address-family ipv4
track 1 decrement 10                                 // on décrémente la priorité de 10 sur le C9200
exit

On fait sur le routeur ISR4331:

ip sla 1
icmp-echo 192.168.222.65
frequency 300                                        // toutes les 300s 
timeout 20000                                        // toutes les 20000ms
exit
ip sla schedule 1 life forever start-time now        // Activation du SLA

A présent l'ISR peut prendre le relais si la connexion à internet par le routeur de l'école ne fonctionne plus.

Mascarade

Mascarade est une astuce qui permet d'avoir plusieurs machines utilisant une seule adresse IP, lorsqu'un paquet quitte le réseau interne, son adresse source est remplacée par l'adresse du routeur, et lorsqu'il revient, son adresse destination est remise à l'appareil interne approprié. Cela permet de masquer la topologie interne du réseau et d'ajouter une couche de protection contre les attaques externes.

on peut rentrer dans l'ISR4331 :

int BDI510
ip nat outside
exit
int BDI40
ip nat inside
exit
access-list 33 permit 193.48.57.176 0.0.0.15
ip nat inside source list 33 int loopback 0 overload
exit
ip route 193.48.57.176 255.255.255.255 100.64.0.16

On utilise bien les adresses routés des VM (193.57.48...) et non les adresses privées (100.64....) sinon on serait incapable de revenir vers les VM car le routeur ne connait pas la route vers ces dernières. On rencontre un problème car l'ISR n'a pas de route vers Internet

Interconnexion Internet de secours (IPv6)

On ajoute tout d'abbord une adresse IPV6 sur notre routeur C9200 :

interface Vlan40
  ip address 193.48.57.170 255.255.255.240
  ipv6 address 2001:660:4401:60A0::/64 eui-64
  ipv6 enable
  ipv6 nd router-preference High

En utilisant la commande ipv- nd router-preference High, on déclare que le routeur sur lequel on exécutez cette commande a une préférence élevée par rapport aux autres routeurs du réseau IPv6. Cette préférence peut être utilisée par les autres nœuds du réseau pour décider le routeur par défaut à utiliser pour acheminer le trafic.

La commande ip rule est utilisée pour gérer les règles de routage dans les systèmes Linux. Elle permet de définir des règles qui déterminent comment les paquets réseau sont acheminés en fonction de différents critères tels que l'adresse source, l'adresse de destination, le type de service, etc.

Sur notre machine virtuelle, je rentre la commande suivante :

ip -6 rule add from 2001:660:4401:60a0:216:3eff:feb5:604b/64 lookup main

La commande est utilisée pour ajouter une règle de routage IPv6 dans la table de règles du système Linux. Voici l'analyse détaillée de la commande :

- ip -6 rule : Cela indique que nous utilisons la commande ip pour gérer les règles de routage spécifiques à l'IPv6.

- add : Cela spécifie que nous ajoutons une nouvelle règle de routage.

- from 2001:660:4401:60a0:216:3eff:feb5:604b/64 : Cela spécifie la condition de la règle. Il indique que la règle s'appliquera aux paquets provenant de l'adresse IPv6 spécifique 2001:660:4401:60a0:216:3eff:feb5:604b avec un préfixe de réseau de longueur /64.

- lookup main : Cela spécifie l'action à effectuer lorsque la condition de la règle est satisfaite. Dans ce cas, l'action est de consulter la table de routage principale (main). La table de routage contient les informations de routage qui déterminent comment les paquets sont acheminés.

On remarque que le C9200 diffuse le préfixe IPv6 normal de TP. L'ip rule ne sert à rien dans ce cas. L'ip rule pourrait servir à renvoyer vers l'ISR les paquets IPv6 provenant de l'ISR.

Test

Pour tester que les paquets passent bien par le bon endroit, alors on fait un traceroute6 vers une adresse sur internet et on a le résultat suivant :

Testipv6 2.jpg

on voit que les paquets passent par le C9200, puis dans le réseau école (256 réseaux) : 2001:660:4401:6000::0/56.