Chapitre V : Provisioning du Backbone IP/MPLS I. Introduction Au début l'idée était de créer un systéme de haute disponibilité , en se basant sur le Cloud Networking , on a voulu erger un systéme de gestion automatique de réseau , quand un équipement tombe en panne , un autre le remplace automatiquement (en temps réel comme ce qui se passe en utilisant les deux protcoles VRRP et HSRP ) mais vu incompatibilité de VYATTA (free OS pour routage) qui ne supporte pas le MPLS et du CSR-1000v qui est un OS propriétaire CISCO avec les OS de nos routeurs et son énorme exigence en terme de ressources on a choisi d'automatiser le process de sauvegarde automatique sur un serveur de backup des fichiers de configs de nos routeur , et de faciliter la tiche de backup manuel et aussi de récupération de ses mémes configs aprés remplacement de Péquipement défaillant IL Principe 11.1 Le besoin d’avoir un syst8me hautement disponible Au début de limplémentation des réseaux informatiques l'enjeu était dlarriver & transmettre les données puis le but est devenu combien de données peux on transmettre (débit) puis en augmentant le débit et I'énorme nombre d'utilisations du réseau (en terme d'applications - services des communication , ....) on a commencé & penser 4 améliorer la qualité de services et enfin vu quilntemet est devenu indispensable on essaye de garantir la continuité de ce service. Les solutions présentes garantissent la continuité de services mais exigent le dédoublement des ressources puis utiliser II.2 Présentation des protocoles de haute disponibilité La Haute Disponibilité est un critére nécessaire en entreprise. Elle permet une continuité de service et une tolérance de panne afin de répondre au mieux aux besoins des utilisateurs. 89Le but de cette partie est de pouvoir mettre en place cette haute disponibilité sur un réseau. Pour cela, nous allons d’abord les différents protocoles existant qui nous permettent d’implémenter cette haute disponibilité. Nous continuerons en expliquant le fonctionnement du protocole VRRP en nous basant sur un exemple dentreprise coneret. Enfin, nous implémenterons VRRP dans le contexte de I’exemple d’entreprise. 12.1 HSRP et VRRP Pour implémenter 1a haute disponibilité sur notre réseau, Cisco a mis 4 notre au point le protocole propriétaire HSRP (Hot Standby Router Protocol). Ce protocole permet davoir un groupe de routeurs, avec dans ce groupe 1 routeur a if (qui sert de passerelle par défaut aux utilisateurs) et d’autre routeurs en attente. Ainsi, si le routeur actif tombe, un des routeurs du groupe restés en attente prend dynamiquement la place de passerelle par défaut L'inconyénient de ce protocole est qu’il est propritaire Cisco. II nous est done impossible de créer un groupe de routeurs HSRP hétérogene L'IETE propose quant 4 lui le protocole VRRP (Virtual Router Redundancy Protocol).Contrairement au protocole précédent, celui-ci est standardisé et est done utilisable par des routeurs de n’importe quelle marque. De plus, les timers par défaut du protocole sont plus courts, ce qui permet une reprise de service en cas de panne plus courte que HSRP. Crest pour cela que nous allons nous tourer plutét vers I’implémentation de VRRP. 11.2.2 Fonctionnement du protocole VRRP 1L.2.2.a Exemple de topologie Pour comprendre le fonctionnement de VRRP, nous nous baserons sur la topologie suivante 90Internet orange ‘Nous avons 3 routeurs connectés & Internet, l'un appelé Orange, l'autre SFR et le demier ZEOP. ‘Nous voulons pour sortir d’Internet passer par le routeur Orange. En cas de panne de ce dernier, nous voulons aceéder & Internet par SER. Si orange et SER tombent tous deux, nous passerons par Zeop. Autre contrainte, si le routeur Orange est tombé et que nous utilisons SFR, nous voulons automatiquement rebasculer sur Orange s*il remonte a nouveau. I1.2.2.b Composants de VRRP Pour pouvoir configurer VRRP dans cette situation, nous allons suivre plusieurs étapes : Groupe et VRID D'abord, les 3 routeurs qu’on a seront associés & un groupe VRRP identifié par un VRID (Virtual Router Identifier) ‘Nous prendrons par exemple le VRID 10. a1Priorités Ensuite, nous allons configurer les priorités de nos routeurs. En effet, nous voulons que ce soit Orange le plus prioritaire, puis SFR et enfin Zeop. Nous utiliserons par exemple 100 de priorité pour Zeop, 110 pour SFR et enfin 120 pour Orange, Du coup, le routeur Orange sera désigné comme étant le routeur « actif ».C’est ce routeur qui aura le réle de passerelle vers Internet. Les 2 autres routeurs seront en attente. Si Orange tombe, au niveau du groupe VRRP, il deviendra routeur en attente et SFR sera dynamiquement désigné comme routeur actif. Adresse IP virtuelle Nous allons ensuite configurer une adresse IP virtuelle pour notre groupe de routeurs VRRP. En effet, chacun de nos routeurs a sa propre adresse IP sur le LAN de Ientreprise. Du coup, notre utilisateur, qui dans notre cas & une adresse IP en 172.16.1.130 /24, ne sait pas quel IP utiliser en passerelle. S*il met en passerelle 172.16.1.251 /24 (adresse de Orange), il perdra la connectivité Intemet en cas de panne du routeur Orange. VRRP permet done de créer une adresse IP virtuelle qui correspondra a notre groupe de routeurs,qui auront aussi des addresses mac virtuelles eréées par VRRP. Nous utiliserons par exemple I’adresse IP virtuelle 172.16.1.254 /24. VRRP fera dynamiquement correspondre cette adresse IP virtuelle a l'adresse MAC virtuel du routeur « actif’ ».Ainsi, lorsque l'utilisateur aura comme passerelle 172.16.1.254, quand VRRP recevra des requétes avec cette adresse IP en destination, il transférera ces paquets vers le routcur actif.grace a l'adresse MAC virtuelle de ce dernier. Préemption Cette option permet 4 un routeur passer & l'état actif si sa priorité est supérieure a celle du routeur actif actuel, méme si ce demier n’est pas tombé, Sans cette option, il y aura réélection si et seulement si le routeur actif tombe. Cette option nous permet done que si Orange tombe et qu'il remonte & nouveau, il repasse & état actif automatiquement, sans attendre que SFR tombe. ‘Tracking d’interfaces Cette option permet de surveiller lactivité d’autres interfaces de nos routeurs. A quoi cela sert- il? 92Dans notre cas, VRRP agit en se basant sur les interfaces 19 de nos routeurs (si le routeur Orange ou simplement T'interface {0 d’Orange tombe, VRRP bascule sur le routeur ‘SFR).Imaginons maintenant que le lien WAN vers intemet du routeur Orange tombe. VRRP ne le saura pas, et les utilisateurs du réseau local n’auront pu l’accés Internet. I] est donc utile de surveiller activité de l'interface WAN et de la faire savoir & VRRP. Dans notre cas, nous surveillerons le routage ainsi que I’état de la liaison de Vinterface WAN, et si ces demniers tombent, on baissera la priorité de 30. Ainsi, si le lien WAN de Orange tombe, sa priorité baissera de 30 et passera done & 120- 30-90.Sa priorité étant inférieure et la préemption étant activé, VRRP basculera vers le routeur SER. IL2.3 Configuration de VRRP IL2.3.1 Configuration du routeur Orange -Le routeur Orange aura une interface WAN connecté Internet et "interface f0 connect’ au réseau de lentreprise.Cette interface aura comme IP 172.16.1.251 /24 -On configure ensuite VRRP sur interface £0 : On ajoute interface £0 au groupe VRRP avec le VRID 10 et on lui donne une priorité de 120 On active la préemption: -On va pour finir avec le routeur Orange surveiller l’interface WAN afin d’avoir une haute disponibilité totale ‘On spécifie au routeur de surveiller la ligne du I’interface s0 ainsi que son routage CACM a eee eee ENC cae ere OO Remarque: le | est 'identifiant arbitraire de la surveillance qu’on met en place. On retourne sur notre interface et on va spécifier A VRRP de prendre en compte la surveillance 1 qu’on vient de créer,et s'il y'a un probléme avec cette surveillance,on décrémente la priorité 93de interface de 30 (ce qui permettra au routeur SFR ou ZEOP de prendre la place du routeur actif) On a fini avec le routeur Orange,il suffit maintenant d’utiliser les mémes commandes pour les routeurs SFR et ZEOP en utilisant les bons paramétres. 1.2.3.2 Configuration du routeur SFR ISFR config) interface 10 ISFR(config-if}# vrrp 10 track 1 decrement 30 Remarque:il n’y a que l’adresse IP ainsi que la priorité qui change compare & Orange 12.3.3 Configuration du routeur Zeop IZeop(config)# interface £0 ane Cee Sn iZeop(configy# track | interface serial 0/0/0 ip- ZC (rere 9411.2.3.4 Verifications Tne nous este plus qu’a tester la configuration et le bon fonctionnement de VRRP. A Vaide de la commande sur un routeur, nous pouvons voir I’état de VRRP pour ce routeur On voit done bien que Orange est le master et SFR un backup. Nous allons tester le basculement en éteignant l’interface {0 du routeur Orange Automatiquent sur SFR,on voit qu’il passe de backup 4 Maitre On le vérifie avec un show virp all On a laneé un ping continu vers ladresse IP virtuelle & partir de notre client connecté aux 3 routeurs afin de voir si le basculement se réalise bien. 95iene ply fron 172.16.1.254: bytes=32 ¢ eet Reply fron 172.16.1.254: by cert) RS eye ase Stern ee errr rie ele TER Ee Berto 2 UBL Bers sie! SOT UR rome ere cetera ply fron 172.16.1.2542 byt icc tlh Sous " ruse nite Sietmit Seu e lier) Hy peUeram aires ot ae 2 tineins TTL on 254: bytes=32 tine=34ns TTL= Lorsqu’on éteint Orange,on perd juste un paquet le temps du bas uulement,et on peut & nouveau contacter la passerelle sans avoir rien a faire c6té client ! 11,24 Conclusion Nous avons & partir de cet article monté simplement une solution de haute disponibilité a l'aide de VRRP. Nous avons vu que la configuration était assez simple 4 mettre en place, et que grace & l’adresse IP virtuelle, le basculement de routeurs est complétement transparent pour les utilisateurs, De plus.grdce au tracking,nous pouvons forcer le basculement des routeurs s'il y’a un probléme sur une autre interface que celle ol est configurée VRRP. VRRP est done une solution de haute disponibilité réseau effeicace et ouvert car c’est un protocle libre. Cependant,il ne permet que la haute disponiblité,et non le load balancing,qui permettrait de mieux gérer la bande passante qu’on posséde. Nous allons done dans un prochain article,voir le protcole GLBP, qui lui permet justement ce Load Balancing. III. Présentation du processus et de l'application IiL.1 Principe On a essayé de mettre en disposition des Administrateurs réseau une application qui va faciliter leurs travail , il s'agit d'une interface web hostée localement on gére Vacs 4 notre app avec notre firewall 96Ill. 2 Vue d'ensemble Introduction to provi Figure 86: Interface d'accueil yea Provisioning rs (Gorm) Figure 87: Interface de Provisioning 7el se eet) cata : (Getasaiee) Preatnd 2 Figure 88: Interface de Backup Contact Admin Ka ea Figure 89: Interface de contact d'admin en cas de besoin Aprés avoir cliqué sur le bouton de Provisioning ou de Backup l'un des scripts se lance dans Varriére plan 98srptcaions naccourls syseme OE. a an ie & ‘ner Cavin Aenage ecnercner Be.a ener Eaten Aminage Raccous ee | OO 6 #1 /usr/binjexpect sonoma na eet ehnoat 28 o savn telnet 172. Stout SPesvaras! aed Scxsenhr® Sipect 5" © 2 Stet Senanie\e i expect “Passyord:* esa escahr |Descrpimar J a2 authentication _username- prompt USER=> aaa authentication login AUTH group radius local enable \ aaa session-id common 1 ip icmp rate-limit unreachable \ ip cef no ip domain lookup 1 \ ip vrf CUENTA rd 100:1 route-target export 100:1 route-target export 1:1 route-target import 100:1 route-target import 2:2 route-target import 3:3 \ 107 ip vrf CLIENT2 rd 100:2 route-target export 100:2 route-target export 2:2 route-target import 100:2 route-target import 1:1 ! ip vrf CLIENTS rd 100:3 route-target export 100:3 route-target export 3:3 route-target import 100:3 route-target import 1:1 1 ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! username NetAdmin secret 5 $1$2AsB$M.joXo60f2j6376hpLk8/ archive log config hidekeys ' ' ip tep synwait-time 5 1 ! interface LoopbackO ip address 1.1.1.1 255.255.255.255 ip ospf 1 areainterface FastEthernet0/0 ip address 10.1.1.2 255.255.255.252 duplex auto speed auto mpls label protocol Idp mpls ip \ interface FastEthernet0/1 ip vrf forwarding CLIENT1 ip address 192.168.11.1 255.255.255.252 duplex auto speed auto \ interface FastEthernet1/0 ip vrf forwarding CLIENT2 ip address 192.168.21.1 255.255.255.252 duplex auto speed auto \ interface FastEthernet1/1 ip address 16.16.1.1 255.255.255.0 shutdown duplex auto speed auto ! interface FastEthernet2/0 no ip address 108 shutdown duplex auto speed auto ! interface FastEthernet2/1 no ip address shutdown duplex auto speed auto ! router ospf 10 vrf CLIENT1 log-adjacency-changes redistribute bgp 100 subnets network 192.168.11.0 0.0.0.3 area 0 1 router ospf 20 vrf CLIENT2 log-adjacency-changes redistribute bgp 100 subnets network 192.168.21.0 0.0.0.3 area ° ! router ospf1 log-adjacency-changes network 10.1.1.0 0.0.0.3 area 0 network 16.16.1.0 0.0.0.255 area 0 ! router bgp 100 bgp log-neighbor-changes neighbor 2.2.2.2 remote-as 100neighbor 2.2.2.2 update-source Loopbacko neighbor 3.3.3.3 remote-as 100 neighbor 3.3.3.3 update-source Loopbacko neighbor 4.4.4.4 remote-as 100 neighbor 4.4.4.4 update-source Loopbacko neighbor 5.5.5.5 remote-as 100 neighbor 5.5.5.5 update-source Loopbacko neighbor 6.6.6.6 remote-as 100 neighbor 6.6.6.6 update-source Loopbacko 1 address-family ipva neighbor 2.2.2.2 activate neighbor 3.3.3.3 activate neighbor 4.4.4.4 activate neighbor 5.5.5.5 activate neighbor 6.6.6.6 activate no auto-summary no synchronization exit-address-family I address-family vpnv4 neighbor 2.2.2.2 activate neighbor 2.2.2.2 send-community both neighbor 3.3.3.3 activate neighbor 3.3.3.3 send-community extended neighbor 4.4.4.4 activate neighbor 4.4.4.4 send-community both neighbor 5.5.5.5 activate neighbor 5.5.5.5 send-community extended neighbor 6.6.6.6 activate neighbor 6.6.6.6 send-community extended exit-address-family ! address-family ipv4 vef CLIENTS no synchronization exit-address-family 1 address-family ipv4 vef CLIENT2 redistribute ospf 20 vrf CLIENT2 match internal external 1 external 2 no synchronization exit-address-family ! address-family ipv4 vrf CLIENT1 redistribute ospf 10 vrf CLIENTL match internal external 1 external 2 no synchronization exit-address-family ! ip forward-protocol nd