Le routage de site (IPv4)

Sur le premier réseau d'interconnexion interne, configurez deux instances VRRP, une pour les routeurs centraux, une pour les ISR4221. Installez une route statique sur les ISR4221 pour router les

Sous IOS XE, la syntaxe VRRP diffère en ce qu’il existe un mode de configuration VRRP et que le mot clef ip devient address mais vous devez pouvoir vous adapter.

Le routage de site (IPv6)

Configurez votre ISR4221 comme les routeurs centraux, mais avec des annonces de routeurs IPv6 encore moins prioritaires.

Remarquez bien la limite concernant IPv6, vu qu'il n'existe que 3 niveaux de priorités, l'ISR4221 sélectionné en cas de désengagement des deux routeurs centraux va être aléatoire. Les tests en IPv6 ne pourront se faire qu'avec un seul ISR4221 actif à la fois.

Interconnexion Internet de secours (IPv4)

Proposez un schéma pour que le flux IPv4 puisse passer par votre ISR4221 puis par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).

Le réseau virtuel de la liaison fibre orange se trouve sur le VLAN 510 (LUX). Le réseau IPv4 de ce VLAN est 195.101.204.144/28. Le routeur orange utilise l'adresse la plus haute disponible. Vous pouvez utiliser une adresse IPv4 à partir de 195.101.204.150. Attention une pour l'ensemble de la promotion.

Comme le commutateur 3750 dont vous disposez en SR31 est capable de routage mais pas de mascarade, il est conseillé d'installer un routeur ISR4300 dans ce local technique pour permettre de sortir en IPv4 sur Internet via le VLAN 510.

Si vous n’avez pas d’inspiration, une méthode est suggérée mais il en existe certainement d’autres :

• utiliser le mécanisme SLA sur les routeurs centraux pour décrémenter leur priorité VRRP en cas d’incident sur RENATER ;
• implanter une mascarade sur un routeur ISR4300 en SR31 vers le routeur orange en utilisant l'unique adresse IPv4 du VLAN 510 autorisée ;
• une mascarade est aussi nécessaire sur les ISR4221 concernant le réseau INTERCO2 ;
• implanter des redirections de port sur l'ISR4300 pour que vos machines mandataires puissent être contactables via l'opérateur secondaire en IPv4.

L'utilisation de VRRP avec autant de machines de secours présente un grave défaut : la consommation excessive d'adresses routées.

Interconnexion Internet de secours (IPv6)

Proposez un schéma pour que le flux IPv6 puisse passer par la liaison fibre orange en cas de panne de l'opérateur Internet principal (RENATER).

Le réseau IPv6 sur le VLAN 510 est 2a01:c916:2047:C800::/64. Le routeur orange utilise l'adresse la plus basse disponible et le routeur de la plateforme utilise la seconde adresse la plus basse. Mieux, 256 réseaux IPv6 sont disponibles, il suffit de modifier le dernier octet du préfixe IPv6. Ces réseaux sont routés vers le routeur de la plateforme. Vous pouvez donc utiliser un préfixe IPv6 routé.

Du coup, pour l'accès IPv6 par l'opérateur de secours, il suffit de mettre en place un vrai NAT sur votre ISR4221 entre le préfixe IPv6 RENATER et le préfixe IPv6 routé que vous aurez choisi (prenez un octet de poids faible au dessus de 0xe0). L’ISR4221 doit aussi mettre en place un routage statique vers le routeur de la plateforme. Attention, il faut, de plus, que le routeur de la plateforme mette en place un routage du préfixe IPv6 vers votre ISR4221. Vérifiez auprès de l'intervenant que cette route sont correctement implantée.

Avec ce NAT, les accès IPv6 doivent fonctionner vers Internet mais aussi d'Internet vers vos machines virtuelles.

Annexe

Fichier source schéma architecture "Redondance" : Media:2023_SE_Architecture_Reseau_Redondance.svg

Fichier source schéma architecture "Redondance2" : Media:2026_SE_Architecture_Reseau_Redondance2.svg