Rendu Tom Biot 022/2023 : Différence entre versions
(→SLA) |
|||
(68 révisions intermédiaires par le même utilisateur non affichées) | |||
Ligne 4 : | Ligne 4 : | ||
La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150. | La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150. | ||
− | ===== Configuration des | + | Vous pouvez trouver la configuration matérielle ci-dessous : |
+ | |||
+ | [[Fichier:Schema reseau2.jpg]] | ||
+ | |||
+ | J'effectuerai ce TP majoritairement à distance, pour cela je me connecte sur une machine du réseau Polytech à distance et je rentre ces commande pour me connecter au différents équipements : | ||
+ | |||
+ | Pour l'ISR4331 : | ||
+ | ssh pifou@zabeth09.plil.info | ||
+ | # Puis via minicom jusqu'à l'ISR4331 | ||
+ | |||
+ | Pour le C9200 : | ||
+ | ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 admin@193.48.57.170 | ||
+ | |||
+ | ===== Configuration des interfaces ===== | ||
Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut utiliser la commande "media-type ?" | Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut utiliser la commande "media-type ?" | ||
Voici les changement que j'ai effectué : | Voici les changement que j'ai effectué : | ||
− | enable | + | Sur l'ISR4331 |
+ | |||
+ | enable // Passage en administrateur | ||
configure terminal | configure terminal | ||
− | interface GigabitEthernet0/0/0 | + | interface GigabitEthernet0/0/0 // Vers le routeur ORANGE |
no ip address | no ip address | ||
− | negotiation auto | + | negotiation auto |
− | media-type | + | media-type sfp // sfp pour fibre |
− | |||
service instance 510 ethernet | service instance 510 ethernet | ||
encapsulation dot1q 510 | encapsulation dot1q 510 | ||
Ligne 24 : | Ligne 38 : | ||
− | interface GigabitEthernet0/0/1 //Vers le routeur | + | interface GigabitEthernet0/0/1 // Vers le routeur C9200 |
no ip address | no ip address | ||
negotiation auto | negotiation auto | ||
Ligne 32 : | Ligne 46 : | ||
− | + | Il est nécéssaire d'implémenter un spanning-tree. Un spanning-tree permet de déterminer une topologie réseau sans boucles entre nos deux routeurs. | |
Pour le spanning-tree, on tape : | Pour le spanning-tree, on tape : | ||
spanning-tree mode pvst | spanning-tree mode pvst | ||
+ | la technologie OSPF (Open Shortest Path First) est un protocole servant à déterminer le meilleur chemin que peuvent emprunter des paquets pour transiter par une série de réseaux connectés. | ||
Pour la configuration de l'OSPF : | Pour la configuration de l'OSPF : | ||
configure terminal | configure terminal | ||
Ligne 47 : | Ligne 62 : | ||
exit | exit | ||
− | ===== Configuration des BDI | + | ===== Configuration des Vlans et BDI ===== |
+ | |||
+ | |||
+ | VRRP (Virtual Router Redundancy Protocol) est un protocole réseau qui permet à plusieurs routeurs de travailler ensemble comme s'ils étaient un seul routeur, assurant une disponibilité et une redondance élevée. On utilise donc ce protocole entre L'ISR4331 et le C9200 afin d'installer une redondance entre les deux. | ||
+ | |||
+ | Le protocole VRRP fonctionne en permettant à plusieurs routeurs de former un groupe virtuel, où un routeur principal (MASTER) est responsable de la transmission du trafic tandis que l'autres routeur (BACKUP) reste en attente. Si le routeur maître devient indisponible, notre routeur de backup prend automatiquement sa place et assure la continuité du service. | ||
+ | |||
+ | Sur le C9200 | ||
+ | |||
+ | conf t | ||
+ | int vlan 40 | ||
+ | ip address 193.48.57.170 255.255.255.0 | ||
+ | vrrp 40 address-family ipv4 | ||
+ | priority 105 // priorité de 105 donc non prioritaire | ||
+ | vrrpv2 | ||
+ | address 193.48.57.172 | ||
+ | exit | ||
+ | |||
+ | '''ISR4331''' | ||
+ | |||
Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir [[TP sysres IMA2a5 2022/2023]]) | Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir [[TP sysres IMA2a5 2022/2023]]) | ||
Une fois cette précaution prise, voici les commandes à taper : | Une fois cette précaution prise, voici les commandes à taper : | ||
− | + | conf t | |
interface BDI40 | interface BDI40 | ||
− | + | ip address 193.48.57.169 255.255.255.240 | |
− | + | vrrp 40 ip 193.48.57.172 | |
− | + | vrrp 40 priority 110 // priorité de 110 donc prioritaire | |
− | + | vrrpv2 | |
− | + | exit | |
+ | Une fois que le VRRP fonctionne, on peut exécuter la commande ''show vrrp'' on voit bien que l'ISR4331 est en MASTER et que le 9200 est en BACKUP, alors on passe à la configuration du VLAN510 pour pouvoir le pinger. Il faut tout d'abord aller dans le local technique et passer le port en mode trunk pour pouvoir faire cette manipulation. | ||
+ | Ensuite on configure le BDI510 : | ||
interface BDI510 | interface BDI510 | ||
ip address 193.48.57.175 255.255.255.240 //IPV4 | ip address 193.48.57.175 255.255.255.240 //IPV4 | ||
− | + | exit | |
− | |||
− | |||
− | |||
exit | exit | ||
+ | |||
+ | ===SLA=== | ||
+ | Nos équipement sont maintenant connectés mais maintenant il faut gérer le cas ou il y a une coupure réseau. | ||
+ | On utilise le mécanisme SLA pour décrémenter la priorité des routeurs et lorsqu'un incident sur le routeur RENATER est détecté. | ||
+ | Pour trouver cette addresse, il faut par exemple se connecter sur notre machine virtuelle : | ||
+ | 193.48.57.168 -l -root | ||
+ | Et ensuite effectuer la commande ''traceroute'' pour trouver l'adresse que l'on va inspecter pour notre mécanisme SLA. | ||
+ | |||
+ | Dans notre cas nous allons décrémenter la priorité du VRRP pour que le C9200 passe prioritaire et que nous passions sur la liaison fibre orange. | ||
+ | |||
+ | |||
+ | On fait sur le routeur C9200: | ||
+ | |||
+ | ip sla 1 | ||
+ | icmp-echo 192.168.222.65 | ||
+ | frequency 300 // toutes les 300s | ||
+ | timeout 20000 // toutes les 20000ms | ||
+ | exit | ||
+ | ip sla schedule 1 life forever start-time now // Activation du SLA | ||
+ | track 1 ip sla 1 | ||
+ | exit | ||
+ | int vlan 40 | ||
+ | vrrp 40 address-family ipv4 | ||
+ | track 1 decrement 10 // on décrémente la priorité de 10 sur le C9200 | ||
+ | exit | ||
+ | |||
+ | On fait sur le routeur ISR4331: | ||
+ | |||
+ | ip sla 1 | ||
+ | icmp-echo 192.168.222.65 | ||
+ | frequency 300 // toutes les 300s | ||
+ | timeout 20000 // toutes les 20000ms | ||
+ | exit | ||
+ | ip sla schedule 1 life forever start-time now // Activation du SLA | ||
+ | |||
+ | A présent l'ISR peut prendre le relais si la connexion à internet par le routeur de l'école ne fonctionne plus. | ||
+ | |||
+ | ===Mascarade=== | ||
+ | |||
+ | Mascarade est une astuce qui permet d'avoir plusieurs machines utilisant une seule adresse IP, lorsqu'un paquet quitte le réseau interne, son adresse source est remplacée par l'adresse du routeur, et lorsqu'il revient, son adresse destination est remise à l'appareil interne approprié. Cela permet de masquer la topologie interne du réseau et d'ajouter une couche de protection contre les attaques externes. | ||
+ | |||
+ | on peut rentrer dans l'ISR4331 : | ||
+ | |||
+ | int BDI510 | ||
+ | ip nat outside | ||
+ | exit | ||
+ | int BDI40 | ||
+ | ip nat inside | ||
+ | exit | ||
+ | access-list 33 permit 193.48.57.176 0.0.0.15 | ||
+ | ip nat inside source list 33 int loopback 0 overload | ||
+ | exit | ||
+ | ip route 193.48.57.176 255.255.255.255 100.64.0.16 | ||
+ | |||
+ | On utilise bien les adresses routés des VM (193.57.48...) et non les adresses privées (100.64....) sinon on serait incapable de revenir vers les VM car le routeur ne connait pas la route vers ces dernières. | ||
+ | On rencontre un problème car l'ISR n'a pas de route vers Internet | ||
+ | |||
+ | === Interconnexion Internet de secours (IPv6) === | ||
+ | |||
+ | On ajoute tout d'abbord une adresse IPV6 sur notre routeur C9200 : | ||
+ | |||
+ | interface Vlan40 | ||
+ | ip address 193.48.57.170 255.255.255.240 | ||
+ | ipv6 address 2001:660:4401:60A0::/64 eui-64 | ||
+ | ipv6 enable | ||
+ | ipv6 nd router-preference High | ||
+ | |||
+ | En utilisant la commande ''ipv- nd router-preference High'', on déclare que le routeur sur lequel on exécutez cette commande a une préférence élevée par rapport aux autres routeurs du réseau IPv6. Cette préférence peut être utilisée par les autres nœuds du réseau pour décider le routeur par défaut à utiliser pour acheminer le trafic. | ||
+ | |||
+ | La commande ''ip rule'' est utilisée pour gérer les règles de routage dans les systèmes Linux. Elle permet de définir des règles qui déterminent comment les paquets réseau sont acheminés en fonction de différents critères tels que l'adresse source, l'adresse de destination, le type de service, etc. | ||
+ | |||
+ | Sur notre machine virtuelle, je rentre la commande suivante : | ||
+ | ip -6 rule add from 2001:660:4401:60a0:216:3eff:feb5:604b/64 lookup main | ||
+ | |||
+ | La commande est utilisée pour ajouter une règle de routage IPv6 dans la table de règles du système Linux. Voici l'analyse détaillée de la commande : | ||
+ | |||
+ | - ip -6 rule : Cela indique que nous utilisons la commande ip pour gérer les règles de routage spécifiques à l'IPv6. | ||
+ | |||
+ | - add : Cela spécifie que nous ajoutons une nouvelle règle de routage. | ||
+ | |||
+ | - from 2001:660:4401:60a0:216:3eff:feb5:604b/64 : Cela spécifie la condition de la règle. Il indique que la règle s'appliquera aux paquets provenant de l'adresse IPv6 spécifique 2001:660:4401:60a0:216:3eff:feb5:604b avec un préfixe de réseau de longueur /64. | ||
+ | |||
+ | - lookup main : Cela spécifie l'action à effectuer lorsque la condition de la règle est satisfaite. Dans ce cas, l'action est de consulter la table de routage principale (main). La table de routage contient les informations de routage qui déterminent comment les paquets sont acheminés. | ||
+ | |||
+ | On remarque que le C9200 diffuse le préfixe IPv6 normal de TP. L'ip rule ne sert à rien dans ce cas. L'ip rule pourrait servir à renvoyer vers l'ISR les paquets IPv6 provenant de l'ISR. | ||
+ | |||
+ | ==== Test ==== | ||
+ | |||
+ | Pour tester que les paquets passent bien par le bon endroit, alors on fait un traceroute6 vers une adresse sur internet et on a le résultat suivant : | ||
+ | |||
+ | [[Fichier:testipv6_2.jpg]] | ||
+ | |||
+ | on voit que les paquets passent par le C9200, puis dans le réseau école (256 réseaux) : 2001:660:4401:6000::0/56. |
Version actuelle datée du 29 juin 2023 à 13:10
Sommaire
Sujet
Le sujet de cette épreuve est de réaliser les points 3.8 et 3.9 du TP.
La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150.
Vous pouvez trouver la configuration matérielle ci-dessous :
J'effectuerai ce TP majoritairement à distance, pour cela je me connecte sur une machine du réseau Polytech à distance et je rentre ces commande pour me connecter au différents équipements :
Pour l'ISR4331 :
ssh pifou@zabeth09.plil.info # Puis via minicom jusqu'à l'ISR4331
Pour le C9200 :
ssh -o KexAlgorithms=diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 admin@193.48.57.170
Configuration des interfaces
Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut utiliser la commande "media-type ?"
Voici les changement que j'ai effectué :
Sur l'ISR4331
enable // Passage en administrateur configure terminal interface GigabitEthernet0/0/0 // Vers le routeur ORANGE no ip address negotiation auto media-type sfp // sfp pour fibre service instance 510 ethernet encapsulation dot1q 510 rewrite ingress tag pop 1 symmetric bridge-domain 510 interface GigabitEthernet0/0/1 // Vers le routeur C9200 no ip address negotiation auto service instance 40 ethernet encapsulation dot1q 40 bridge-domain 40
Il est nécéssaire d'implémenter un spanning-tree. Un spanning-tree permet de déterminer une topologie réseau sans boucles entre nos deux routeurs. Pour le spanning-tree, on tape :
spanning-tree mode pvst
la technologie OSPF (Open Shortest Path First) est un protocole servant à déterminer le meilleur chemin que peuvent emprunter des paquets pour transiter par une série de réseaux connectés. Pour la configuration de l'OSPF :
configure terminal router ospf 1 //Pour l'échange de routes ipv4 router-id 10.100.0.1 log-adjacency-changes summary address 193.48.57.160 255.255.255.240 redistribute connected subnets network 192.168.222.8 0.0.0.7 area 1 exit exit
Configuration des Vlans et BDI
VRRP (Virtual Router Redundancy Protocol) est un protocole réseau qui permet à plusieurs routeurs de travailler ensemble comme s'ils étaient un seul routeur, assurant une disponibilité et une redondance élevée. On utilise donc ce protocole entre L'ISR4331 et le C9200 afin d'installer une redondance entre les deux.
Le protocole VRRP fonctionne en permettant à plusieurs routeurs de former un groupe virtuel, où un routeur principal (MASTER) est responsable de la transmission du trafic tandis que l'autres routeur (BACKUP) reste en attente. Si le routeur maître devient indisponible, notre routeur de backup prend automatiquement sa place et assure la continuité du service.
Sur le C9200
conf t int vlan 40 ip address 193.48.57.170 255.255.255.0 vrrp 40 address-family ipv4 priority 105 // priorité de 105 donc non prioritaire vrrpv2 address 193.48.57.172 exit
ISR4331
Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir TP sysres IMA2a5 2022/2023)
Une fois cette précaution prise, voici les commandes à taper :
conf t interface BDI40 ip address 193.48.57.169 255.255.255.240 vrrp 40 ip 193.48.57.172 vrrp 40 priority 110 // priorité de 110 donc prioritaire vrrpv2 exit
Une fois que le VRRP fonctionne, on peut exécuter la commande show vrrp on voit bien que l'ISR4331 est en MASTER et que le 9200 est en BACKUP, alors on passe à la configuration du VLAN510 pour pouvoir le pinger. Il faut tout d'abord aller dans le local technique et passer le port en mode trunk pour pouvoir faire cette manipulation. Ensuite on configure le BDI510 :
interface BDI510 ip address 193.48.57.175 255.255.255.240 //IPV4 exit exit
SLA
Nos équipement sont maintenant connectés mais maintenant il faut gérer le cas ou il y a une coupure réseau. On utilise le mécanisme SLA pour décrémenter la priorité des routeurs et lorsqu'un incident sur le routeur RENATER est détecté. Pour trouver cette addresse, il faut par exemple se connecter sur notre machine virtuelle :
193.48.57.168 -l -root
Et ensuite effectuer la commande traceroute pour trouver l'adresse que l'on va inspecter pour notre mécanisme SLA.
Dans notre cas nous allons décrémenter la priorité du VRRP pour que le C9200 passe prioritaire et que nous passions sur la liaison fibre orange.
On fait sur le routeur C9200:
ip sla 1 icmp-echo 192.168.222.65 frequency 300 // toutes les 300s timeout 20000 // toutes les 20000ms exit ip sla schedule 1 life forever start-time now // Activation du SLA track 1 ip sla 1 exit int vlan 40 vrrp 40 address-family ipv4 track 1 decrement 10 // on décrémente la priorité de 10 sur le C9200 exit
On fait sur le routeur ISR4331:
ip sla 1 icmp-echo 192.168.222.65 frequency 300 // toutes les 300s timeout 20000 // toutes les 20000ms exit ip sla schedule 1 life forever start-time now // Activation du SLA
A présent l'ISR peut prendre le relais si la connexion à internet par le routeur de l'école ne fonctionne plus.
Mascarade
Mascarade est une astuce qui permet d'avoir plusieurs machines utilisant une seule adresse IP, lorsqu'un paquet quitte le réseau interne, son adresse source est remplacée par l'adresse du routeur, et lorsqu'il revient, son adresse destination est remise à l'appareil interne approprié. Cela permet de masquer la topologie interne du réseau et d'ajouter une couche de protection contre les attaques externes.
on peut rentrer dans l'ISR4331 :
int BDI510 ip nat outside exit int BDI40 ip nat inside exit access-list 33 permit 193.48.57.176 0.0.0.15 ip nat inside source list 33 int loopback 0 overload exit ip route 193.48.57.176 255.255.255.255 100.64.0.16
On utilise bien les adresses routés des VM (193.57.48...) et non les adresses privées (100.64....) sinon on serait incapable de revenir vers les VM car le routeur ne connait pas la route vers ces dernières. On rencontre un problème car l'ISR n'a pas de route vers Internet
Interconnexion Internet de secours (IPv6)
On ajoute tout d'abbord une adresse IPV6 sur notre routeur C9200 :
interface Vlan40 ip address 193.48.57.170 255.255.255.240 ipv6 address 2001:660:4401:60A0::/64 eui-64 ipv6 enable ipv6 nd router-preference High
En utilisant la commande ipv- nd router-preference High, on déclare que le routeur sur lequel on exécutez cette commande a une préférence élevée par rapport aux autres routeurs du réseau IPv6. Cette préférence peut être utilisée par les autres nœuds du réseau pour décider le routeur par défaut à utiliser pour acheminer le trafic.
La commande ip rule est utilisée pour gérer les règles de routage dans les systèmes Linux. Elle permet de définir des règles qui déterminent comment les paquets réseau sont acheminés en fonction de différents critères tels que l'adresse source, l'adresse de destination, le type de service, etc.
Sur notre machine virtuelle, je rentre la commande suivante :
ip -6 rule add from 2001:660:4401:60a0:216:3eff:feb5:604b/64 lookup main
La commande est utilisée pour ajouter une règle de routage IPv6 dans la table de règles du système Linux. Voici l'analyse détaillée de la commande :
- ip -6 rule : Cela indique que nous utilisons la commande ip pour gérer les règles de routage spécifiques à l'IPv6.
- add : Cela spécifie que nous ajoutons une nouvelle règle de routage.
- from 2001:660:4401:60a0:216:3eff:feb5:604b/64 : Cela spécifie la condition de la règle. Il indique que la règle s'appliquera aux paquets provenant de l'adresse IPv6 spécifique 2001:660:4401:60a0:216:3eff:feb5:604b avec un préfixe de réseau de longueur /64.
- lookup main : Cela spécifie l'action à effectuer lorsque la condition de la règle est satisfaite. Dans ce cas, l'action est de consulter la table de routage principale (main). La table de routage contient les informations de routage qui déterminent comment les paquets sont acheminés.
On remarque que le C9200 diffuse le préfixe IPv6 normal de TP. L'ip rule ne sert à rien dans ce cas. L'ip rule pourrait servir à renvoyer vers l'ISR les paquets IPv6 provenant de l'ISR.
Test
Pour tester que les paquets passent bien par le bon endroit, alors on fait un traceroute6 vers une adresse sur internet et on a le résultat suivant :
on voit que les paquets passent par le C9200, puis dans le réseau école (256 réseaux) : 2001:660:4401:6000::0/56.