« Modèle:SEReseauSecondeApproche » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
Ligne 15 : Ligne 15 :
== Le routage de site (IPv4) ==
== Le routage de site (IPv4) ==


Ajoutez le routage IPv4 pour vos VLAN privés sur le C9200. Configurez votre routeur de secours ISR4221 comme le C9200.
Configurez votre ISR4221 comme les routeurs centraux, mais avec des adresses IPv4 propres différentes. Vous avez à prendre en compte le VLAN des machines virtuelles et votre
VLAN privé. Oubliez les VLAN privés des autres élèves.
 
Le protocole VRRP doit être configuré pour ces deux VLAN. Sous IOS XE, la syntaxe VRRP diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef <code>ip</code> devient <code>address</code> mais vous devez pouvoir vous adapter.


== Le routage de site (IPv6) ==
== Le routage de site (IPv6) ==


Configurez votre ISR4221 comme le C9200 en IPv6 mais votre routeur doit être moins prioritaire que le C9200 pour l'annonce de routeur IPv6.
Configurez votre ISR4221 comme les routeurs centraux, mais avec des annonces de routeurs IPv6 encore moins prioritaires.
 
== Interconnexion avec Internet (IPv4) ==
 
Configurez votre ISR4221 sur le réseau d'interconnexion avec le protocole OSPF comme pour le C9200.
 
Jouez sur l’option <code>metric</code> de la commande <code>redistribute</code> pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
 
== Interconnexion avec Internet (IPv6) ==
 
Configurez l'ISR4221 sur le réseau d'interconnexion avec le protocole RIPv6 comme pour le C9200.
 
Jouez sur l’option <code>metric</code> de la commande <code>redistribute</code> pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
 
==  Sécurisation du réseau ==
 
Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs (C9200 et ISR4221). Pour vous donner une idée de départ voici une configuration VRRP typique :
 
RTR-A(config)# int fa0/1
RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0
RTR-A(config-if)# vrrp 1 ip 10.10.10.3
RTR-A(config-if)# vrrp 1 preempt
RTR-A(config-if)# vrrp 1 priority 110
 
RTR-B(config)# int fa0/1
RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0
RTR-B(config-if)# vrrp 1 ip 10.10.10.3
RTR-B(config-if)# vrrp 1 preempt
RTR-B(config-if)# vrrp 1 priority 100
 
Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef <code>ip</code> devient <code>address</code> mais vous devez pouvoir vous adapter.
 
Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?
 
Pour certains matériels cisco (e.g. C9200) les commandes ci-dessous peuvent aider :


license boot level network-advantage
Remarquez bien la limite concernant IPv6, vu qu'il n'existe que 3 niveaux de priorités, l'ISR4221 sélectionné en cas de désengagement des deux routeurs centraux va être aléatoire. Les tests en IPv6 ne pourront se faire qu'avec un seul ISR4221 actif à la fois.
fhrp version vrrp v3


== Interconnexion Internet de secours (IPv4) ==
== Interconnexion Internet de secours (IPv4) ==


Proposez un schéma pour que le flux IPv4 puisse passer par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).
Proposez un schéma pour que le flux IPv4 puisse passer par votre ISR4221 puis par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).


Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510 (<code>LUX</code>). Le réseau IPv4 de ce VLAN est <code>195.101.204.144/28</code>. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de <code>195.101.204.150</code>.
Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510 (<code>LUX</code>). Le réseau IPv4 de ce VLAN est <code>195.101.204.144/28</code>. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de <code>195.101.204.150</code>.

Version du 12 janvier 2026 à 21:09

Architecture réseau, finalisation

L’architecture complète

2026 SE Architecture Reseau Redondance2.png

Vous allez tenter de rendre redondant aussi l'accès à Internet. Dans la solution précédente seuls les routeurs sont redondants. L'opérateur Internet reste unique.

Vous allez utiliser les ISR4221 du local technique SR31 pour assurer une sortie de secours à Internet via un fournisseur d’accès secondaire.

Le VLAN des machines virtuelles doit être connecté aux ISR4221 sans passer par les C9200. Pour les VLAN privés c'est un peu plus compliqué vu que les points d'accès ne peuvent être connectés que sur un réseau. Vous ferez donc en sorte de connecter les ISR4221 sur ces VLAN en passant par les C9200. Les ISR4221 sont aussi connecté au routeur de la plateforme mais cette fois pour sortir par l'opérateur Internet secondaire.

Le routage de site (IPv4)

Configurez votre ISR4221 comme les routeurs centraux, mais avec des adresses IPv4 propres différentes. Vous avez à prendre en compte le VLAN des machines virtuelles et votre VLAN privé. Oubliez les VLAN privés des autres élèves.

Le protocole VRRP doit être configuré pour ces deux VLAN. Sous IOS XE, la syntaxe VRRP diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef ip devient address mais vous devez pouvoir vous adapter.

Le routage de site (IPv6)

Configurez votre ISR4221 comme les routeurs centraux, mais avec des annonces de routeurs IPv6 encore moins prioritaires.

Remarquez bien la limite concernant IPv6, vu qu'il n'existe que 3 niveaux de priorités, l'ISR4221 sélectionné en cas de désengagement des deux routeurs centraux va être aléatoire. Les tests en IPv6 ne pourront se faire qu'avec un seul ISR4221 actif à la fois.

Interconnexion Internet de secours (IPv4)

Proposez un schéma pour que le flux IPv4 puisse passer par votre ISR4221 puis par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).

Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510 (LUX). Le réseau IPv4 de ce VLAN est 195.101.204.144/28. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de 195.101.204.150.

Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :

  • ajouter l’ISR4221 dans le groupe des serveurs redondants VRRP en tant que routeur le moins prioritaire ;
  • utiliser le mécanisme SLA sur le routeur principal pour décrémenter la priorité VRRP en cas d’incident via RENATER ;
  • implanter une mascarade sur l’ISR4221 vers le routeur orange en utilisant votre adresse IPv4 orange routée ;
  • implanter une redirection de ports sur l’ISR4221 pour que vos machines mandataires puissent être contactables d'Internet en IPv4.

Interconnexion Internet de secours (IPv6)

Proposez un schéma pour que le flux IPv6 puisse passer par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).

Le reseau IPv6 sur le VLAN 510 est 2a01:c916:2047:C800::/64. Le routeur orange utilise l'adresse la plus basse disponible.

Pour IPv6, l’idée est d’insérer sur les routeurs C9200 et ISR4221, avec le mécanisme SLA, une route pour les adresses IPv6 RENATER vers l’ISR4221 et de mettre en place un vrai NAT sur l’ISR4221 entre le préfixe IPv6 RENATER et le le préfixe IPv6 orange. L’ISR4221 doit aussi mettre en place un routage statique vers le routeur orange.

Annexe

Fichier source schéma architecture "Redondance" : Media:2023_SE_Architecture_Reseau_Redondance.svg

Fichier source schéma architecture "Redondance2" : Media:2026_SE_Architecture_Reseau_Redondance2.svg

Récupérée de « http:///mediawiki/index.php?title=Modèle:SEReseauSecondeApproche&oldid=11147 »