Modèle:SEReseauSecondeApproche

De wiki-se.plil.fr
Aller à la navigation Aller à la recherche

Architecture réseau, finalisation

L’architecture complète

Votre réseau doit être redondant. Pour cela vous utiliserez un deuxième routeur ISR4221 pour chaque binôme et deux points d’accès WiFi pour la promotion entière. Les ISR4221 permettent d'assurer la redondance du réseau de l'accès principal à Internet géré, jusque là, par le seul C9200. L'ISR4221 permet aussi d’accèder au fournisseur d’accès à Internet secondaire. Les points d’accès WiFi sont connectés sur le C9200.

Le serveur de virtualisation doit être connecté aux ISR4221 sans passer par le C9200.

Les réseaux virtuels

Vous devez ajouter un VLAN par élève dans votre réseau de promotion. Associez un réseau IPv4 (e.g. un sous-réseau de 10.60.0.0/16) et un réseau IPv6 (e.g. un sous-réseau de 2001:660:4401:60b0::/60) aux nouveaux VLAN. Ces VLAN seront utilisés pour connecter les clients WiFi de chaque élève.

Il est demandé d’établir un tableau listant tous les VLAN de votre réseau avec les adresses IPv4 et IPv6 utilisées par les routeurs dans chaque VLAN.

Le routage de site (IPv4)

Ajoutez le routage IPv4 pour vos VLAN privés sur le C9200. Configurez votre routeur de secours ISR4221 comme le C9200.

Le routage de site (IPv6)

Configurez votre ISR4221 comme le C9200 en IPv6 mais votre routeur doit être moins prioritaire que le C9200 pour l'annonce de routeur IPv6.

Interconnexion avec Internet (IPv4)

Configurez votre ISR4221 sur le réseau d'interconnexion avec le protocole OSPF comme pour le C9200.

Jouez sur l’option metric de la commande redistribute pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.

Interconnexion avec Internet (IPv6)

Configurez l'ISR4221 sur le réseau d'interconnexion avec le protocole RIPv6 comme pour le C9200.

Jouez sur l’option metric de la commande redistribute pour faire en sorte que le C9200 soit l’élément IPv4 prioritaire de votre réseau.

Sécurisation du réseau

Pour rendre votre réseau plus robuste, faites en sorte que les machines utilisent un routeur actif en implantant le protocole VRRP sur vos routeurs (C9200 et ISR4221). Pour vous donner une idée de départ voici une configuration VRRP typique :

RTR-A(config)# int fa0/1
RTR-A(config-if)# ip address 10.10.10.1 255.255.255.0
RTR-A(config-if)# vrrp 1 ip 10.10.10.3
RTR-A(config-if)# vrrp 1 preempt
RTR-A(config-if)# vrrp 1 priority 110
RTR-B(config)# int fa0/1
RTR-B(config-if)# ip address 10.10.10.2 255.255.255.0
RTR-B(config-if)# vrrp 1 ip 10.10.10.3
RTR-B(config-if)# vrrp 1 preempt
RTR-B(config-if)# vrrp 1 priority 100

Sous IOS XE, la syntaxe diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef ip devient address mais vous devez pouvoir vous adapter.

Comment le routeur de la plateforme connaitra le routeur à utiliser pour contacter vos machines ?

Pour certains matériels cisco (e.g. C9200) les commandes ci-dessous peuvent aider :

license boot level network-advantage
fhrp version vrrp v3

Interconnexion Internet de secours (IPv4)

Proposez un schéma pour que le flux IPv4 puisse passer par la liaison fibre orange.

Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510. Le réseau IPv4 de ce VLAN est 195.101.204.144/28. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de 195.101.204.150.

Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :

  • ajouter l’ISR4331 dans le groupe des serveurs redondants HSRP ou VRRP en tant que routeur le moins prioritaire ;
  • utiliser le mécanisme SLA sur les deux routeurs principaux pour décrémenter la priorité HSRP ou VRRP en cas d’incident via RENATER ;
  • implanter une mascarade sur l’ISR4331 vers le routeur orange en utilisant l'adresse IPv4 orange routée de votre promotion ;
  • implanter une redirection de ports sur l’ISR4331 pour que vos machines mandataires puissent être contactables d'Internet en IPv4.

Interconnexion Internet de secours (IPv6)

Proposez un schéma pour que le flux IPv6 puisse passer par la liaison SDSL de secours.

Le reseau IPv6 sur le VLAN 510 est 2a01:c916:2047:C800::/64. Le routeur orange utilise l'adresse la plus basse disponible.

Pour IPv6, l’idée est d’insérer sur les routeurs principaux, avec le mécanisme SLA, une route pour les adresses IPv6 RENATER vers l’ISR4331 et de mettre en place un vrai NAT sur l’ISR4331 entre le préfixe IPv6 RENATER et le le préfixe IPv6 orange. L’ISR4331 doit aussi mettre en place un routage statique vers le routeur orange.