Rendu Tom Biot 022/2023

De Wiki d'activités IMA
Révision datée du 21 juin 2023 à 09:31 par Tbiot (discussion | contributions) (Mascarade)
Sujet

Le sujet de cette épreuve est de réaliser les points 3.8 et 3.9 du TP.

La liaison SDSL Nérim dont parle le sujet n'existant plus, jutiliserai, comme liaison de secours, la liaison fibre orange. Donc à la place des VLAN 532 et 533 j'utiliserai le VLAN 510 et le réseau IPv4 195.101.204.144/28, le routeur de sortie se trouve sur l'adresse haute du réseau IPv4. Il est possible d'utiliser une IPv4 à partir de 195.101.204.150.

Configuration des ports

Ce qui change par rapport au changement d'énoncé, est la ligne "media-type", pour connaitre quel était le caractéristique de la fibre, alors on peut utiliser la commande "media-type ?"

Voici les changement que j'ai effectué :

 enable                                                  // Passage en administrateur

 configure terminal

 interface GigabitEthernet0/0/0                         
   no ip address
   negotiation auto 
   media-type sfp                                       // spf pour fibre
   service instance 510 ethernet
        encapsulation dot1q 510
        rewrite ingress tag pop 1 symmetric
        bridge-domain 510
   
    
 interface GigabitEthernet0/0/1                          //Vers le routeur de l'école
   no ip address
   negotiation auto
   service instance 40 ethernet
        encapsulation dot1q 40
        bridge-domain 40
  
 

Il est nécéssaire d'implémenter un spanning-tree. Un spanning tree est une configuration spéciale dans un réseau qui permet de connecter tous les appareils sans créer de boucles, de sorte que les données puissent circuler de manière efficace et sans confusion. Pour le spanning-tree, on tape :

 spanning-tree mode pvst

Pour la configuration de l'OSPF :

configure terminal
   router ospf 1                                        //Pour l'échange de routes ipv4
       router-id 10.100.0.1
       log-adjacency-changes
       summary address 193.48.57.160 255.255.255.240
       redistribute connected subnets
       network 192.168.222.8 0.0.0.7 area 1
   exit
exit
Configuration des Vlans et BDI

VRRP (Virtual Router Redundancy Protocol) est un protocole réseau qui permet à plusieurs routeurs de travailler ensemble comme s'ils étaient un seul routeur, assurant une disponibilité et une redondance élevées. On utilise donc ce protocole entre L'ISR4331 et le C9200 afin d'installer une redondance entre les deux.

Le protocole VRRP fonctionne en permettant à plusieurs routeurs de former un groupe virtuel, où un routeur principal (MASTER) est responsable de la transmission du trafic tandis que l'autres routeur (BACKUP) reste en attente. Si le routeur maître devient indisponible, notre routeur de sauvegarde prend automatiquement sa place et assure la continuité du service.

conf t
int vlan 40
ip address 193.48.57.170 255.255.255.0
vrrp 40 address-family ipv4
priority 115                      // priorité de 115 donc non prioritaire
vrrpv2
address 193.48.57.172
exit

ISR4331

Ici nous configurons les différents BDI. On attribue donc une adresse IP au routeur dans chacun d'entre en fonction de ce qui a été défini dans la table d'adressage. (voir TP sysres IMA2a5 2022/2023)

Une fois cette précaution prise, voici les commandes à taper :

conf t

  interface BDI40
  ip address 193.48.57.169 255.255.255.240
    vrrp 40 ip 193.48.57.173      // priorité de 110 donc prioritaire
    vrrp 40 priority 110
    vrrpv2  
    exit

Une fois que le VRRP fonctionne, on peut le sh run vrrp on voit bien que l'ISR4331 est en MASTER et que le 9200 est en BACKUP, alors on passe à la configuration du VLAN510 pour pouvoir le pinger. Il faut tout d'abord aller dans le local technique et passer le port en mode trunk pour pouvoir faire cette manipulation. Ensuite on configure le BDI510 :

  interface BDI510
      ip address 193.48.57.175 255.255.255.240         //IPV4
                                                         
  exit
exit

SLA

Nos équipement sont maintenant connectés mais maintenant il faut gérer le cas ou il y a une coupure réseau. On utilise le mécanisme SLA pour décrémenter la priorité des routeurs et lorsqu'un incident sur le routeur RENATER (192.168.44.1) est détecté. Pour trouver cette addresse, il faut par exemple se connecter sur notre machine virtuelle :

193.48.57.168 -l -root

Et ensuite effectuer la commande traceroute pour trouver l'adresse que l'on va inspecter pour notre mécanisme SLA.

Dans notre cas nous allons décrémenter la priorité du VRRP pour que le C9200 passe prioritaire et que nous passions sur la liaison fibre orange.


On fait sur le routeur C9200:

ip sla 1
icmp-echo 192.168.44.1
frequency 300                                         // toutes les 300 secondes 
exit
ip sla schedule 1 life forever start-time now
track 1 ip sla 1
exit
int vlan 40
vrrp 40 address-family ipv4
track 1 decrement 10                                 // on décrémente la priorité de 10 sur le C9200
exit

A présent l'ISR peut prendre le relais si la connexion à internet par le routeur de l'école ne fonctionne plus.

Mascarade

Mascarade est une astuce qui permet d'avoir plusieurs machines utilisant une seule adresse IP, lorsqu'un paquet quitte le réseau interne, son adresse source est remplacée par l'adresse du routeur, et lorsqu'il revient, son adresse destination est remise à l'appareil interne approprié. Cela permet de masquer la topologie interne du réseau et d'ajouter une couche de protection contre les attaques externes.

on peut rentrer dans l'ISR4331 :

int loopback 0
ip address 213.215.6.102 255.255.255.255
exit
int BDI510
ip nat outside
exit
int BDI40
ip nat inside
exit
access-list 33 permit 193.48.57.176 0.0.0.15
ip nat inside source list 33 int loopback 0 overload
exit
ip route 193.48.57.176 255.255.255.255 100.64.0.16

On utilise bien les adresses routés des VM (193.57.48...) et non les adresses privées (100.64....) sinon on serait incapable de revenir vers les VM car le routeur ne connait pas la route vers ces dernières.