« SE2a5 système/réseau » : différence entre les versions

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche
Aucun résumé des modifications
Aucun résumé des modifications
Ligne 41 : Ligne 41 :
== Architecture de base ==
== Architecture de base ==


Vous construirez votre première maquette de réseau autour du routeur C9200.
Vous construirez votre première maquette de réseau autour du routeur C9200. Ce route doit rester le routeur principal. Pour les apprentis ce routeur se trouve en E304 alors que l'hyperviseur est situé en E306.


= Architecture réseau, finalisation =
== Un premier réseau virtuel ==
 
== L’architecture complète ==


Votre réseau doit être redondant. Pour cela vous utiliserez trois routeurs/commutateurs et deux points d’accès WiFi. Les deux premiers routeurs implantent le réseau local et permettent d’accèder au fournisseur d’accès à Internet principal. Le troisième routeur permet d’accèder au fournisseur d’accès à Internet secondaire. Les points d’accès WiFi sont connectés sur les deux premiers routeurs. Sur ces deux routeurs, l’un est présent pour assurer la continuation de service si le premier tombe.
Nous disposons d'un réseau IPv4 routé et ouvert : <code>193.48.57.160/27</code> (dans le VLAN 110 de l’école soit <code>TP-NET1</code>). Vous allez découper ce réseau en deux sous-réseaux. Un pour les machines virtuelles des SE5 par apprentissage, un pour les machines virtuelles des SE5 IS sous statut étudiant.


Le serveur de virtualisation doit être connecté aux deux premiers commutateurs.
== Le routage de site (IPv4) ==
3.2  Les réseaux virtuels


Vous avez à votre disposition un réseau IPv4 routé : 193.48.57.160/27 (dans le VLAN 110 de l’école soit TP-NET1). Vous allez découper ce réseau en deux sous-réseaux. Un pour vos machines virtuelles des IMA5/SE5 sous statut étudiant, un pour les machines virtuelles des IMA5/SE5 par apprentissage. Vous utiliserez aussi un réseau IPv4 non routé, par exemple 10.60.0.0/16). Chaque binôme doit recevoir un sous-réseau de ce réseau privé dans lesquels il pourra connecter son client WiFi. Il est demandé d’établir un tableau listant tous les VLAN de votre réseau avec les adresses IPv4 et IPv6 utilisées par les routeurs dans chaque VLAN.
Routez votre VLAN sur votre routeur. Comme vous le savez, la configuration des routeurs doit initialement se faire via leurs ports série ; utilisez minicom sur un ordinateur Linux pour y accéder.  
3.3  Le routage de site (IPv4)


Routez vos VLANs locaux à l’aide des Cisco 6509E et Cisco 9200 (comme matériel de secours). Utilisez le Cisco ISR 4331 pour accèder aux fournisseurs d’accès secondaires. La configuration des routeurs doit initialement se faire leurs ports série ; utilisez minicom sur un ordinateur Linux pour y accéder. Vérifiez que vous avez une connexion entre les différents types de machines.
== Le routage de site (IPv6) ==
3.4  Le routage de site (IPv6)


Configurez votre routeur pour permettre à vos machines de se construire des adresses IPv6. Utilisez les préfixes IPv6 de Polytech’Lille non encore en service (2001:660:4401:60a0::/60 pour une promotion et 2001:660:4401:60b0::/60 pour l’autre). Pour vous aider, voici un extrait de configuration IPv6 sur une interface du routeur de la plateforme maths/info :
Configurez votre routeur pour permettre à vos machines de se construire des adresses IPv6. Utilisez les préfixes IPv6 de Polytech’Lille prévus à cet effet (<code>2001:660:4401:60a0::/60</code> pour une promotion et <code>2001:660:4401:60b0::/60</code> pour l’autre). Pour vous aider, voici un extrait de configuration IPv6 sur une interface du routeur de la plateforme maths/info :


interface ...
interface ...
...  
  ...  
ipv6 enable
  ipv6 enable
ipv6 address 2001:660:4401:60A0::/64 eui-64
  ipv6 address 2001:660:4401:60A0::/64 eui-64
ipv6 nd prefix 2001:660:4401:60A0::/64 1000 900
  ipv6 nd prefix 2001:660:4401:60A0::/64 1000 900
ipv6 nd router-preference high
  ipv6 nd router-preference high
...
  ...
!
!


En ce qui concerne la configuration globale un simple
En ce qui concerne la configuration globale un simple


ipv6 unicast-routing
ipv6 unicast-routing


va faire l’affaire.
va faire l’affaire.
3.5  Interconnexion avec Internet (IPv4)


Interconnectez votre routeur de site avec celui de la plateforme. Vous utiliserez comme VLAN d’interconnexion, le VLAN 530 (INTERCO-4A) associé au réseau IPv4 192.168.222.64/29 ou le VLAN 531 (INTERCO-5A) associé au réseau IPv4 192.168.222.72/29. Choisissez suivant votre promotion. Le routeur de la plateforme utilise la première adresse disponible.
== Interconnexion avec Internet (IPv4) ==
 
Interconnectez votre routeur de site avec celui de la plateforme. Vous utiliserez comme VLAN d’interconnexion, le VLAN 530 (<code>INTERCO-4A</code>) associé au réseau IPv4 </code>192.168.222.64/29</code> ou le VLAN 531 (<code>INTERCO-5A</code>) associé au réseau IPv4 </code>192.168.222.72/29</code>. Choisissez suivant votre promotion. Le routeur de la plateforme utilise la première adresse disponible.


Faites en sorte que les deux routeurs s’échangent leurs routes par le protocole de routage OSPF. Pour vous donner une base de départ voici la configuration OSPF du routeur de la plateforme :
Faites en sorte que les deux routeurs s’échangent leurs routes par le protocole de routage OSPF. Pour vous donner une base de départ voici la configuration OSPF du routeur de la plateforme :


router ospf 1
router ospf 1
router-id 192.168.222.4
  router-id 192.168.222.4
summary-address 192.168.0.0 255.255.0.0
  summary-address 192.168.0.0 255.255.0.0
summary-address 193.48.57.160 255.255.255.224
  summary-address 193.48.57.160 255.255.255.224
redistribute connected subnets ! subnets allowed
  redistribute connected subnets ! subnets allowed
redistribute static subnets route-map ospf ! subnets allowed
  redistribute static subnets route-map ospf ! subnets allowed
network 192.168.222.64 0.0.0.7 area 10
  network 192.168.222.64 0.0.0.7 area 10
network 192.168.222.72 0.0.0.7 area 20
  network 192.168.222.72 0.0.0.7 area 20
default-information originate
  default-information originate
!
!


Attention vos réseaux locaux ne doivent pas sortir par OSPF, rajoutez donc un filtre dans le bloc OSPF, par exemple :
Attention vos réseaux locaux ne doivent pas sortir par OSPF, rajoutez donc un filtre dans le bloc OSPF, par exemple :


router ospf 1
router ospf 1
  ...
  ...
  summary-address 10.0.0.0 255.0.0.0 not-advertise
  summary-address 10.0.0.0 255.0.0.0 not-advertise
  ...
  ...
!
!


Jouez sur l’option metric de la commande redistribute pour faire en sorte que le 6509E soit l’élément IPv4 prioritaire de votre réseau.
== Interconnexion avec Internet (IPv6) ==
3.6  Interconnexion avec Internet (IPv6)


Les VLAN d’interconnexion pour IPv6 sont les mêmes que pour IPv4. Les réseaux IPv6 utilisés sur INTERCO-4A et INTERCO-5A sont le réseau local IPv6 standard FE80::0/10. Le routeur de la plateforme utilise la première adresse disponible.
Les VLAN d’interconnexion pour IPv6 sont les mêmes que pour IPv4. Les réseaux IPv6 utilisés sur <code>INTERCO-4A</code> et <code>INTERCO-5A</code> sont le réseau local IPv6 standard </code>FE80::0/10</code>. Le routeur de la plateforme utilise la première adresse disponible.


Pour interconnecter votre routeur avec celui de l’école, en ce qui concerne IPv6 cette fois, vous utiliserez RIPv6. Pour vous donner une base de départ voici la configuration RIPv6 du routeur de la plateforme concernant votre réseau de travaux pratiques :
Pour interconnecter votre routeur, en ce qui concerne IPv6 cette fois, vous utiliserez RIPv6. Pour vous donner une base de départ voici la configuration RIPv6 du routeur de la plateforme concernant votre réseau de travaux pratiques :


ipv6 router rip tpima5sc
ipv6 router rip tpima5sc
redistribute connected metric 1
  redistribute connected metric 1
redistribute rip 1 metric 1
  redistribute rip 1 metric 1
redistribute static metric 1
  redistribute static metric 1
!
!


Il existe le même bloc avec le nom tpima2a5.
Il existe le même bloc avec le nom tpima2a5.


N’oubliez pas d’activer le protocole RIPv6 sur l’interface interconnexion avec une commande du style ipv6 rip tpima5sc enable.
N’oubliez pas d’activer le protocole RIPv6 sur l’interface interconnexion avec une commande du style <code>ipv6 rip tpima5sc enable</code>.


Testez votre connectivité IPv6 en utilisant google.
Testez votre connectivité IPv6 en utilisant google.


Jouez sur l’option metric de la commande redistribute pour faire en sorte que le 6509E soit l’élément IPv6 prioritaire de votre réseau.
= Architecture réseau, finalisation =
3.7 Sécurisation du réseau
 
== L’architecture complète ==
 
Votre réseau doit être redondant. Pour cela vous utiliserez trois routeurs/commutateurs et deux points d’accès WiFi. Les deux premiers routeurs implantent le réseau local et permettent d’accèder au fournisseur d’accès à Internet principal. Le troisième routeur permet d’accèder au fournisseur d’accès à Internet secondaire. Les points d’accès WiFi sont connectés sur les deux premiers routeurs. Sur ces deux routeurs, l’un est présent pour assurer la continuation de service si le premier tombe.
 
Le serveur de virtualisation doit être connecté aux deux premiers commutateurs.
 
== Les réseaux virtuels ==
 
Vous devez ajouter un réseau IPv4 non routé, par exemple <code>10.60.0.0/16</code>). Chaque élève doit recevoir un sous-réseau de ce réseau privé dans lesquels il pourra connecter son client WiFi. Il est demandé d’établir un tableau listant tous les VLAN de votre réseau avec les adresses IPv4 et IPv6 utilisées par les routeurs dans chaque VLAN.
 
== Le routage de site (IPv4) ==
 
Ajoutez le routage IPv4 pour vos VLAN privés sur le C9200. Configurez le routeur de secours C6509E comme le C9200.
 
Utilisez le Cisco ISR 4331 pour accèder au fournisseur d’accès secondaire (voyez plus bas).
 
== Le routage de site (IPv6) ==
 
Faites de même que pour IPv4.
 
== Interconnexion avec Internet (IPv4) ==
 
Configurez le C6509E sur le réseau d'interconnexion avec le protocole OSPF comme pour le C9200.
 
Jouez sur l’option <code>metric</code> de la commande <code>redistribute</code> pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
 
== Interconnexion avec Internet (IPv6) ==
 
Configurez le C6509E sur le réseau d'interconnexion avec le protocole RIPv6 comme pour le C9200.
 
Jouez sur l’option <code>metric</code> de la commande <code>redistribute</code> pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
 
== Sécurisation du réseau ==


Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs. Pour vous donner une idée de départ voici une configuration VRRP typique :
Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs. Pour vous donner une idée de départ voici une configuration VRRP typique :


RTR-A(config)# int fa0/1
RTR-A(config)# int fa0/1
RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0
RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0
RTR-A(config-if)# vrrp 1 ip 10.10.10.3
RTR-A(config-if)# vrrp 1 ip 10.10.10.3
RTR-A(config-if)# vrrp 1 preempt
RTR-A(config-if)# vrrp 1 preempt
RTR-A(config-if)# vrrp 1 priority 110
RTR-A(config-if)# vrrp 1 priority 110


RTR-B(config)# int fa0/1
RTR-B(config)# int fa0/1
RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0
RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0
RTR-B(config-if)# vrrp 1 ip 10.10.10.3
RTR-B(config-if)# vrrp 1 ip 10.10.10.3
RTR-B(config-if)# vrrp 1 preempt
RTR-B(config-if)# vrrp 1 preempt
RTR-B(config-if)# vrrp 1 priority 100
RTR-B(config-if)# vrrp 1 priority 100


Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration vrrp et que le mot clef ip devient address mais vous devez pouvoir vous adapter.
Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef <code>ip</code> devient <code>address</code> mais vous devez pouvoir vous adapter.


Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?
Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?
Ligne 141 : Ligne 169 :
Pour certains matériels cisco les commandes ci-dessous peuvent aider :
Pour certains matériels cisco les commandes ci-dessous peuvent aider :


license boot level network-advantage
license boot level network-advantage
fhrp version vrrp v3
fhrp version vrrp v3


3.8  Interconnexion Internet de secours (IPv4)
== Interconnexion Internet de secours (IPv4) ==


Proposez un schéma pour que le flux IPv4 puisse passer par la liaison SDSL.
Proposez un schéma pour que le flux IPv4 puisse passer par la liaison fibre orange.


Les réseaux d’interconnexion avec le routeur de la liaison SDSL sont sur les VLAN 532 (INTERCO-1B) et VLAN 533 (INTERCO-2B). Les réseaux IPv4 sur ces VLAN sont 192.168.222.80/29 et 192.168.222.88/29. Le routeur de la plateforme utilise les plus basses adresses IPv4 utilisables sur ces réseau.
Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510. Le réseau IPv4 de ce VLAN est <code>195.101.204.144/28</code>. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de <code>195.101.204.150</code>.


Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :
Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :
* ajouter l’ISR4331 dans le groupe des serveurs redondants HSRP ou VRRP en tant que routeur le moins prioritaire ;
* utiliser le mécanisme SLA sur les deux routeurs principaux pour décrémenter la priorité HSRP ou VRRP en cas d’incident via RENATER ;
* implanter une mascarade sur l’ISR4331 vers le routeur orange en utilisant l'adresse IPv4 orange routée de votre promotion ;
* implanter une redirection de ports sur l’ISR4331 pour que vos machines mandataires puissent être contactables d'Internet en IPv4.


    ajouter l’ISR4331 dans le groupe des serveurs redondants HSRP ou VRRP en tant que routeur le moins prioritaire ;
== Interconnexion Internet de secours (IPv6) ==
    utiliser le mécanisme SLA sur les deux routeurs principaux pour décrémenter la priorité HSRP ou VRRP en cas d’incident via RENATER ;
    implanter une mascarade sur l’ISR4331 vers le routeur SDSL en utilisant une des deux dernières adresses IPv4 du réseau 213.215.6.96/29, une par promotion.
 
3.9  Interconnexion Internet de secours (IPv6)


Proposez un schéma pour que le flux IPv6 puisse passer par la liaison SDSL de secours.
Proposez un schéma pour que le flux IPv6 puisse passer par la liaison SDSL de secours.


Les réseaux d’interconnexion avec le routeur de la liaison SDSL sur sur les mêmes VLAN qu’en IPv4. Sur ces VLAN, le routeur SDSL a l’adresse IPv6 FE80::1. Les réseaux IPv6 2001:7A8:116E:60A0::/60 et 2001:7A8:116E:60B0::/60 sont routés vers les deux VLAN d’interconnexion.
Le reseau IPv6 sur le VLAN 510 est <code>2a01:c916:2047:C800::/64</code>. Le routeur orange utilise l'adresse la plus basse disponible.
 
Pour IPv6, l’idée est faire en sorte que chaque machine virtuelle ait une adresse IPv6 statique dans les réseaux sus-cités. L’ISR4331 se contente de faire un routage statique vers le routeur SDSL. Par contre sur la machine virtuelle, il faut une politique de routage par la source (voir la commande ip rule) pour utiliser l’ISR4331 comme routeur.


Autre difficulté : les adresses IPv6 délivrées par les routeurs principaux seront encore actives. Une solution est d’insérer avec le mécanisme SLA une route pour les adresses IPv6 RENATER vers l’ISR4331 et de mettre en place un vrai NAT sur l’ISR4331 entre le préfixe IPv6 RENATER et le le préfixe IPv6 SDSL.
Pour IPv6, l’idée est d’insérer sur les routeurs principaux, avec le mécanisme SLA, une route pour les adresses IPv6 RENATER vers l’ISR4331 et de mettre en place un vrai NAT sur l’ISR4331 entre le préfixe IPv6 RENATER et le le préfixe IPv6 orange. L’ISR4331 doit aussi mettre en place un routage statique vers le routeur orange.

Version du 14 septembre 2023 à 10:13

Description de l'atelier système et réseau

Cet atelier consiste en la réalisation d’une maquette de réseau permettant de manipuler les protocoles de routage dynamique, de redondance réseau ainsi que le protocole réseau IPv6. D’un point de vue système vous aurez à installer une machine virtuelle et à y configurer des services. Enfin la mise en place d’un serveur DNS sécurisé, d'un site Web sécurisé et d'un réseau WiFi sécurisé permet de mettre en pratique vos connaissances sur la sécurité réseau.

Installation des systèmes d’exploitation

Vous devez installer le système d'exploitation de vos machines virtuelles. Eventuellement il peut être nécessaire de réinstaller le système d'exploitation des machines de projet ou des ordinateurs portables utilisés en clients WiFi.

Création des machines virtuelles

Comme hyperviseur pour la gestion des machines virtuelles nous utilisons le système Xen. Chaque élève configure sa propre machine virtuelle pour installer ses services.

Du au nombre limité d'adresses IPv4 disponibles pour l'atelier, il est nécessaire de créer des machines virtuelles mandataires gérant une adresse IPv4 pour plusieurs machines virtuelles. Faites en sorte de minimiser le nombre des machines mandataires.

Les machines de services peuvent contacter Internet et être contactées directement d'Internet via leurs adresses IPv6. Pour contacter Internet en IPv4 les machines de service passent par une mascarade installée sur leur machine mandataire. Pour être contactée d'Internet en IPv4 les machines de services se reposent sur leur machine mandataire qui reçoit les requêtes et qui les redirigent vers la bonne machine de services par des mécanismes dépendant du service accédé (e.g. mécanisme de mandaire inverse pour un service Web).

La connexion IPv4 entre machine de services et machine mandataire se fait par un réseau privé. Chaque type de machine possède donc deux interfaces réseau, une interface dans le réseau routé de la promotion et une interface dans le réseau privé de la machine mandataire. Lisez bien, il doit y avoir un réseau privé par machine mandataire.

Les machines virtuelles sont créées sur le Dom0 capbreton.plil.info (mot de passe administrateur habituel). Pour la création de la machine virtuelle utilisez la commande xen-create-image. Il vous faut préciser à cet utilitaire le nom de votre machine (choisissez un thème commun), une méthode de configuration IP (prenez DHCP dans un premier temps, vous configurerez le fichier /etc/network/interfaces ensuite), le commutateur virtuel sur lesquel accrocher l'interface réseau et le répertoire où les disques virtuels doivent être créés (imposez /usr/local/xen). Il n'est pas inutile de préciser la taille du disque virtuel (autour de 10G) et le mot de passe.

Configuration de la machine de services

Dans un second temps, créez deux partitions LVM de 10G pour votre machine virtuelle (rappelez le nom de la machine dans le nom des partitions) et modifiez le fichier de configuration de la machine virtuelle de services pour faire en sorte que les répertoires /var et /home de la machine virtuelle soient implantés sur ces partitions LVM.

Modifiez le fichier de configuration /etc/network/interfaces pour faire en sorte que votre machine de services obtienne automatiquement une adresse IPv6 routée et pour fixer une adresse IPv4 sur le réseau privé de la machine mandataire.

Vous modifierez le fichier de configuration de la machine virtuelle pour faire en sorte que les répertoires var et home de la machine virtuelle soient sur des partitions LVM de l’hôte. Installez les paquetages nécessaires pour ssh, le serveur Web apache2 et le serveur DNS bind (voir la partie services).

Configuration de la machine mandataire

Modifiez le fichier de configuration /etc/network/interfaces pour faire en sorte que votre machine de services obtienne automatiquement une adresse IPv6 routée et pour fixer une adresse IPv4 dans le réseau routé de la promotion.

Installez les paquetages nécessaires pour ssh, le serveur Web apache2 et le serveur DNS bind pour pouvoir mettre en place les mécanismes de redirection évoqués plus haut.

Mettez en place la masquarade.

Architecture réseau, première approche

Cette section détaille la maquette du réseau que vous devez réaliser rapidement pour que les machines virtuelles puissent être connectées à Internet.

Architecture de base

Vous construirez votre première maquette de réseau autour du routeur C9200. Ce route doit rester le routeur principal. Pour les apprentis ce routeur se trouve en E304 alors que l'hyperviseur est situé en E306.

Un premier réseau virtuel

Nous disposons d'un réseau IPv4 routé et ouvert : 193.48.57.160/27 (dans le VLAN 110 de l’école soit TP-NET1). Vous allez découper ce réseau en deux sous-réseaux. Un pour les machines virtuelles des SE5 par apprentissage, un pour les machines virtuelles des SE5 IS sous statut étudiant.

Le routage de site (IPv4)

Routez votre VLAN sur votre routeur. Comme vous le savez, la configuration des routeurs doit initialement se faire via leurs ports série ; utilisez minicom sur un ordinateur Linux pour y accéder.

Le routage de site (IPv6)

Configurez votre routeur pour permettre à vos machines de se construire des adresses IPv6. Utilisez les préfixes IPv6 de Polytech’Lille prévus à cet effet (2001:660:4401:60a0::/60 pour une promotion et 2001:660:4401:60b0::/60 pour l’autre). Pour vous aider, voici un extrait de configuration IPv6 sur une interface du routeur de la plateforme maths/info :

interface ...
 ... 
 ipv6 enable
 ipv6 address 2001:660:4401:60A0::/64 eui-64
 ipv6 nd prefix 2001:660:4401:60A0::/64 1000 900
 ipv6 nd router-preference high
 ...
!

En ce qui concerne la configuration globale un simple

ipv6 unicast-routing

va faire l’affaire.

Interconnexion avec Internet (IPv4)

Interconnectez votre routeur de site avec celui de la plateforme. Vous utiliserez comme VLAN d’interconnexion, le VLAN 530 (INTERCO-4A) associé au réseau IPv4 192.168.222.64/29 ou le VLAN 531 (INTERCO-5A) associé au réseau IPv4 192.168.222.72/29. Choisissez suivant votre promotion. Le routeur de la plateforme utilise la première adresse disponible.

Faites en sorte que les deux routeurs s’échangent leurs routes par le protocole de routage OSPF. Pour vous donner une base de départ voici la configuration OSPF du routeur de la plateforme :

router ospf 1
 router-id 192.168.222.4
 summary-address 192.168.0.0 255.255.0.0
 summary-address 193.48.57.160 255.255.255.224
 redistribute connected subnets ! subnets allowed
 redistribute static subnets route-map ospf ! subnets allowed
 network 192.168.222.64 0.0.0.7 area 10
 network 192.168.222.72 0.0.0.7 area 20
 default-information originate
!

Attention vos réseaux locaux ne doivent pas sortir par OSPF, rajoutez donc un filtre dans le bloc OSPF, par exemple :

router ospf 1
  ...
  summary-address 10.0.0.0 255.0.0.0 not-advertise
  ...
!

Interconnexion avec Internet (IPv6)

Les VLAN d’interconnexion pour IPv6 sont les mêmes que pour IPv4. Les réseaux IPv6 utilisés sur INTERCO-4A et INTERCO-5A sont le réseau local IPv6 standard FE80::0/10. Le routeur de la plateforme utilise la première adresse disponible.

Pour interconnecter votre routeur, en ce qui concerne IPv6 cette fois, vous utiliserez RIPv6. Pour vous donner une base de départ voici la configuration RIPv6 du routeur de la plateforme concernant votre réseau de travaux pratiques :

ipv6 router rip tpima5sc
 redistribute connected metric 1
 redistribute rip 1 metric 1
 redistribute static metric 1
!
Il existe le même bloc avec le nom tpima2a5.

N’oubliez pas d’activer le protocole RIPv6 sur l’interface interconnexion avec une commande du style ipv6 rip tpima5sc enable.

Testez votre connectivité IPv6 en utilisant google.

Architecture réseau, finalisation

L’architecture complète

Votre réseau doit être redondant. Pour cela vous utiliserez trois routeurs/commutateurs et deux points d’accès WiFi. Les deux premiers routeurs implantent le réseau local et permettent d’accèder au fournisseur d’accès à Internet principal. Le troisième routeur permet d’accèder au fournisseur d’accès à Internet secondaire. Les points d’accès WiFi sont connectés sur les deux premiers routeurs. Sur ces deux routeurs, l’un est présent pour assurer la continuation de service si le premier tombe.

Le serveur de virtualisation doit être connecté aux deux premiers commutateurs.

Les réseaux virtuels

Vous devez ajouter un réseau IPv4 non routé, par exemple 10.60.0.0/16). Chaque élève doit recevoir un sous-réseau de ce réseau privé dans lesquels il pourra connecter son client WiFi. Il est demandé d’établir un tableau listant tous les VLAN de votre réseau avec les adresses IPv4 et IPv6 utilisées par les routeurs dans chaque VLAN.

Le routage de site (IPv4)

Ajoutez le routage IPv4 pour vos VLAN privés sur le C9200. Configurez le routeur de secours C6509E comme le C9200.

Utilisez le Cisco ISR 4331 pour accèder au fournisseur d’accès secondaire (voyez plus bas).

Le routage de site (IPv6)

Faites de même que pour IPv4.

Interconnexion avec Internet (IPv4)

Configurez le C6509E sur le réseau d'interconnexion avec le protocole OSPF comme pour le C9200.

Jouez sur l’option metric de la commande redistribute pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.

Interconnexion avec Internet (IPv6)

Configurez le C6509E sur le réseau d'interconnexion avec le protocole RIPv6 comme pour le C9200.

Jouez sur l’option metric de la commande redistribute pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.

Sécurisation du réseau

Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs. Pour vous donner une idée de départ voici une configuration VRRP typique :

RTR-A(config)# int fa0/1
RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0
RTR-A(config-if)# vrrp 1 ip 10.10.10.3
RTR-A(config-if)# vrrp 1 preempt
RTR-A(config-if)# vrrp 1 priority 110
RTR-B(config)# int fa0/1
RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0
RTR-B(config-if)# vrrp 1 ip 10.10.10.3
RTR-B(config-if)# vrrp 1 preempt
RTR-B(config-if)# vrrp 1 priority 100

Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef ip devient address mais vous devez pouvoir vous adapter.

Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?

Pour certains matériels cisco les commandes ci-dessous peuvent aider :

license boot level network-advantage
fhrp version vrrp v3

Interconnexion Internet de secours (IPv4)

Proposez un schéma pour que le flux IPv4 puisse passer par la liaison fibre orange.

Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510. Le réseau IPv4 de ce VLAN est 195.101.204.144/28. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de 195.101.204.150.

Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :

  • ajouter l’ISR4331 dans le groupe des serveurs redondants HSRP ou VRRP en tant que routeur le moins prioritaire ;
  • utiliser le mécanisme SLA sur les deux routeurs principaux pour décrémenter la priorité HSRP ou VRRP en cas d’incident via RENATER ;
  • implanter une mascarade sur l’ISR4331 vers le routeur orange en utilisant l'adresse IPv4 orange routée de votre promotion ;
  • implanter une redirection de ports sur l’ISR4331 pour que vos machines mandataires puissent être contactables d'Internet en IPv4.

Interconnexion Internet de secours (IPv6)

Proposez un schéma pour que le flux IPv6 puisse passer par la liaison SDSL de secours.

Le reseau IPv6 sur le VLAN 510 est 2a01:c916:2047:C800::/64. Le routeur orange utilise l'adresse la plus basse disponible.

Pour IPv6, l’idée est d’insérer sur les routeurs principaux, avec le mécanisme SLA, une route pour les adresses IPv6 RENATER vers l’ISR4331 et de mettre en place un vrai NAT sur l’ISR4331 entre le préfixe IPv6 RENATER et le le préfixe IPv6 orange. L’ISR4331 doit aussi mettre en place un routage statique vers le routeur orange.