Sécurisation et optimisation des liaisons

Dans cette articke nous allons voir comment faire de la haute-disponibilité, nous réaliserons cette exercice sous PacketTracer.

Notre réseau de base (téléchargeable ici) :

Notre réseau final :

On va faire un tableau qui contiendra nos réseaux avec leurs passerelles par défauts. Comme on souhaite faire un cluster avec nos deux routeurs nous allons également définir les adresses IP virtuelles.

 

N° de Vlan

Réseau

IP (R1)

IP (R2)

IP Virtuelle

10

172.16.0.0 /26

172.16.0.60

172.16.0.61

172.16.0.62

20

172.16.0.64 /26

172.16.0.124

172.16.0.125

172.16.0.126

30

172.16.0.128 /26

172.16.0.188

172.16.0.189

172.16.0.190

Pour commencer je configure toutes mes passerelles par défauts chez mes clients. On configure le routage inter-vlan sur l’un des routeur (en débranchant l’autre) puis on débranche le routeur et on rebranche l’autre pour configurer le routage inter-vlan sur ce dernier.

Pour la mise en place de routage inter-vlan je vous renvoie vers cette article.

Une fois que s’est fait nous testons les communications entre deux clients du même Vlan sur le même switch puis deux clients du même Vlan sur des switchs différents. Ensuite on test deux clients sur des Vlans différents.

I – LACP

Après avoir multiplié les switchs et les liens (comme sur le réseau final) on va mettre en place le LACP (Link Aggregation Control Protocol)

Remarque : sur le réseau de base j’ai mis les switchs nécessaire sans les brancher.

Le LACP sert à créer un agrégat de liens pour augmenter les débits mais également pour avoir une plus grande tolérance aux pannes.

On considère que les branches ont été fait de cette manière :

L’interface Gig0/1 est branchée sur le switch en face en Gig0/1 ; L’interface Gig1/1 est branchée sur l’interface Gig1/1 en face ; etc.

Les ports physiques vont devenirs des « tunnels » pour un port virtuel, ils ne seront donc plus configurés directement, à la place nous configurerons les « interfaces virtuelles » nommées Port-Channel. On commence par retirer les taggues qui étaient placés sur les ports physiques.

On active le LACP sur les ports et on inscrit le groupe LACP auxquels ils appartiennent.

On commence par aller sur chaque interface (int gig0/1) puis on active le mode LACP (channel-protocol lacp) et pour finir on définit le groupe LACP auquel appartient l’interface (channel-group 1 mode active) on définit également l’interface comme active, ainsi elle peut négocier avec les autres ports grâce aux paquets LACP.

On passe sur l’interface virtuelle que l’on vient de définir sur les interfaces (interface port-channel 1) et on active le mode trunk (switchport mode trunk). On autorise tout le monde à emprunter notre liaison trunk (switchport trunk allowed vlan all)

On teste la communication entre tout le monde.

II – VTP

Le VTP (Vlan Trunking Protocol) sert à propager automatiquement nos Vlans sur les différents switchs. Le protocole VTP, propriété de Cisco, propage les Vlans à travers les liens trunks, il faut donc que tout les trunks fonctionnent, nous aurons un commutateur maitre qui transmettra les configurations de Vlan aux commutateurs clients.

On va définir le Switch4 en tant que serveur VTP, les autres seront clients.

La première commande active le vtp en version 2, ensuite on passe le switch en mode serveur, par défaut les switchs sont en mode serveur c’est pourquoi on peut voir un message s’afficher nous disant que nous sommes déjà serveur VTP. Le VTP fonctionne grâce à des domaines VTP, il faudra préciser le même domaine VTP pour tous les switchs qui partageront les mêmes configurations (j’ai appelé mon domaine CISCODO). Pour sécuriser le tout il faut mettre un mot de passe à notre domaine (j’ai mis P@ssw0rd) et le switch nous indique avoir mis à jour le mot de passe.

On ajoute des Vlans sur notre switch4.

Ensuite on configure tous les autres switchs en tant que clients.

On commence par activer le VTP en version 2, on passe le switch en mode client et on l’ajoute sur notre domaine sans oublier le mot de passe.

III – HSRP

Maintenant on va brancher les deux routeurs comme sur le schéma final et on va mettre en place le HSRP (Hot Standby Router Protocol). Le HSRP nous permet de faire un cluster entre nos routeurs pour assurer une continuité de service, c’est un protocole propriétaire de Cisco.

Chaque routeur utilisant le HSRP fait parties d’un groupe, l’un des routeurs du groupe sera élu, celui avec la plus haute priorité, le routeur élu sera actif et les autres seront en standby. Les routeurs échangent des messages hello pour s’assurer que les membres du groupe sont encore joignables. Le routeur élu aura l’adresse IP virtuelle (et une adresse MAC virtuelle) du cluster et lorsqu’il y aura un problème avec ce dernier, il sera injoignable avec les messages hello, un autre routeur prendra le relais ainsi que l’adresse IP virtuelle (et une adresse MAC virtuelle).

On commence par le routeur qui sera l’élu, on se déplace sur l’interface (ou la sous-interface, interface gig0/0.10), on lui donne une adresse IP (celle de la sous-interface ip address), la ligne standby 10 priority 100 nous permet d’activer l’HSRP (standby) dans le groupe N°10 (10) avec une priorité de 100 (100). La ligne suivante sert à définir l’adresse IP virtuelle de notre cluster. Le mode preempt sert à autoriser l’interface à reprendre le relais quand elle redevient en ligne, elle a préemption sur le HSRP.

Il faut faire la même chose pour chacun de nos Vlans, tout en changeant de groupe lorsque l’on change de Vlan.

Voici un exemple de la configuration effectué sur la sous-interface du deuxième Vlan.

Et un exemple de la configuration effectué sur les sous-interfaces des Vlans 10 et 20 sur le deuxième routeur.

On se place sur un ordinateur du Vlan 10 et on ping un ordinateur du Vlan 20, durant le ping on coupe le cable du routeur élu, c’est pourquoi on n’arrive plus à ping, puis on constate que rapidement le deuxième routeur a pris le relais.

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.