« Modèle:SEReseauSecondeApproche » : différence entre les versions
Ligne 37 : | Ligne 37 : | ||
== Sécurisation du réseau == | == Sécurisation du réseau == | ||
Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs. Pour vous donner une idée de départ voici une configuration VRRP typique : | Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs (C9200 et ISR4221). Pour vous donner une idée de départ voici une configuration VRRP typique : | ||
RTR-A(config)# int fa0/1 | RTR-A(config)# int fa0/1 |
Version du 12 février 2024 à 15:27
Architecture réseau, finalisation
L’architecture complète
Votre réseau doit être redondant. Pour cela vous utiliserez un deuxième routeur ISR4221 pour chaque binôme, un troisième routeur ISR4331 pour l'ensemble de la promotion et deux points d’accès WiFi, là aussi, pour la promotion entière. Les ISR4221 permettent d'assurer la redondance du réseau de l'accès principal à Internet aussuré jusque là par le seul C9200. L'ISR4331 permet d’accèder au fournisseur d’accès à Internet secondaire. Les points d’accès WiFi sont connectés sur le C9200.
Le serveur de virtualisation doit être connecté aux deux premiers commutateurs.
Les réseaux virtuels
Vous devez ajouter un VLAN par élève dans votre réseau de promotion. Associez un réseau IPv4 (e.g. un sous-réseau de 10.60.0.0/16
) et un réseau IPv6 (e.g. un sous-réseau de 2001:660:4401:60b0::/60
) aux nouveaux VLAN. Ces VLAN seront utilisés pour connecter les clients WiFi de chaque élève.
Il est demandé d’établir un tableau listant tous les VLAN de votre réseau avec les adresses IPv4 et IPv6 utilisées par les routeurs dans chaque VLAN.
Le routage de site (IPv4)
Ajoutez le routage IPv4 pour vos VLAN privés sur le C9200. Configurez le routeur de secours ISR4221 comme le C9200.
Utilisez le Cisco ISR 4331 pour accèder au fournisseur d’accès secondaire (voyez plus bas).
Le routage de site (IPv6)
Faites de même que pour IPv4.
Interconnexion avec Internet (IPv4)
Configurez votre ISR4221 sur le réseau d'interconnexion avec le protocole OSPF comme pour le C9200.
Jouez sur l’option metric
de la commande redistribute
pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
Interconnexion avec Internet (IPv6)
Configurez l'ISR4221 sur le réseau d'interconnexion avec le protocole RIPv6 comme pour le C9200.
Jouez sur l’option metric
de la commande redistribute
pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.
Sécurisation du réseau
Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs (C9200 et ISR4221). Pour vous donner une idée de départ voici une configuration VRRP typique :
RTR-A(config)# int fa0/1 RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0 RTR-A(config-if)# vrrp 1 ip 10.10.10.3 RTR-A(config-if)# vrrp 1 preempt RTR-A(config-if)# vrrp 1 priority 110
RTR-B(config)# int fa0/1 RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0 RTR-B(config-if)# vrrp 1 ip 10.10.10.3 RTR-B(config-if)# vrrp 1 preempt RTR-B(config-if)# vrrp 1 priority 100
Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef ip
devient address
mais vous devez pouvoir vous adapter.
Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?
Pour certains matériels cisco les commandes ci-dessous peuvent aider :
license boot level network-advantage fhrp version vrrp v3
Interconnexion Internet de secours (IPv4)
Proposez un schéma pour que le flux IPv4 puisse passer par la liaison fibre orange.
Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510. Le réseau IPv4 de ce VLAN est 195.101.204.144/28
. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de 195.101.204.150
.
Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :
- ajouter l’ISR4331 dans le groupe des serveurs redondants HSRP ou VRRP en tant que routeur le moins prioritaire ;
- utiliser le mécanisme SLA sur les deux routeurs principaux pour décrémenter la priorité HSRP ou VRRP en cas d’incident via RENATER ;
- implanter une mascarade sur l’ISR4331 vers le routeur orange en utilisant l'adresse IPv4 orange routée de votre promotion ;
- implanter une redirection de ports sur l’ISR4331 pour que vos machines mandataires puissent être contactables d'Internet en IPv4.
Interconnexion Internet de secours (IPv6)
Proposez un schéma pour que le flux IPv6 puisse passer par la liaison SDSL de secours.
Le reseau IPv6 sur le VLAN 510 est 2a01:c916:2047:C800::/64
. Le routeur orange utilise l'adresse la plus basse disponible.
Pour IPv6, l’idée est d’insérer sur les routeurs principaux, avec le mécanisme SLA, une route pour les adresses IPv6 RENATER vers l’ISR4331 et de mettre en place un vrai NAT sur l’ISR4331 entre le préfixe IPv6 RENATER et le le préfixe IPv6 orange. L’ISR4331 doit aussi mettre en place un routage statique vers le routeur orange.