# TP1 Mise en place d’un réseau hiérarchique d’entreprise #### Q1. Se connecter au Datacenter Proxmox en utilisant l’adresse https://195.220.217.51:8006 et votre compte d’utilisateur LDAP UP. Si besoin, utiliser la fiche « Comment se connecter au Datacenter ? ». Q2. Démarrer les machines virtuelles gns3.srv-2.2.34.gen.[nom] (serveur GNS3) et deb11.lxqt.rt2.gen.[nom] (Client GNS3) Q3. Ouvrir une session sur la machine virtuelle deb11.lxqt en utilisant le nom d’utilisateur etudiant et le mot de passe etudiant. Ensuite, relever l’adresse IP de la VM et en déduire l’adresse IP de la machine virtuelle GNS3 Serveur. IP 172.17.2.24 /24 IP 172.17.2.25 /24 #### Q4. Ouvrir une session sur le serveur GNS3 en utilisant le nom d’utilisateur etudiant et le mot de passe etudiant et configurer l’interface réseau en respectant les étapes suivantes : - Editer le fichier de configuration : $ sudo nano /etc/netplan/01- netcfg.yaml - Changer les paramètres IP (adresse, préfixe et passerelle) de l’interface ens18 par ceux déterminés à la question précédente. Attention, la syntaxe YAML respecte l’indentation et les espaces. Ensuite, sauvegarder le fichier de configuration et quitter l’éditeur. - Appliquer les changements : $ sudo netplan apply - Redémarrer le service réseau : $ sudo systemctl restart systemd- networkd - Vérifier la configuration de l’interface ens18 et vérifier que vous avez un accès à Internet.  Q5. Lancer l’application GNS3 sur la machine deb11.lxqt. Les messages « Could not find local server gns3server » et « Could not start the local server process : gns3server » apparaissent. Ensuite, fermer la fenêtre « Project » en cliquant sur le bouton Cancel. L’interface graphique du client GNS3 est la suivante Q6. Configurer le client GNS3 afin d’assurer une connexion au serveur GNS3 en respectant les étapes suivantes : - Dans la barre de menu, sélectionner Edit – Préférences – Server – Onglet « Main Server » décocher « Enable local server » et renseigner l’adresse IP du serveur dans le champ « Host » puis décocher l’authentification « Auth » et enfin appliquer les paramètres puis valider par OK. - Vérifier que le client est bien connecté au serveur dans la fenêtre « Serveurs Summary » Q7. Configurer l’application console pour que vous puissiez interagir avec les différents équipements qui seront présents dans la topologie du réseau en respectant les étapes suivantes : - Dans la barre de menu, sélectionner Edit – Préférences – General – Onglet « Console applications » - Cliquer sur « Edit » et choisir l’application console « Putty » - Dans la ligne de commande, modifier la couleur de fond par ORANGE puis appliquer les changements et valider par OK. Pour un meilleur affichage, vous pouvez régler les paramètres d’affichage de l’ordinateur deb11.lxqt à partir du menu Démarrer- Préférences-LXQt Paramétrage du système- Paramètres de l’écran – Résolution 1600*900. 5. Création du projet A ce stade, le client et le serveur sont connectés et vous allez pouvoir créer votre premier projet. Les IOSv (routeur), IOSv2 (commutateur) et les machines Linux ont été intégrées à la machine virtuelle GNS3 Server. Q8. Suivre les étapes suivantes pour construire la topologie du réseau étudié. 1. Créer un projet nommé Lab-net1 à partir du menu File – Create New Blank Project 2. Dans la barre d’outils verticale, sélectionner l’icône « Browse all devices » puis glisser / déposer le routeur Cisco IOSv 15.6(1)T et le commutateur Cisco IOSvL2 15.2 dans la fenêtre principale de GNS3. 3. A partir du menu contextuel, dupliquer le commutateur et utiliser l’icône « Connecteur RJ45 » dans la barre d’outils verticale afin de connecter les équipements. 4. Changer les symboles des équipements et les renommer. 5. Dans la barre d’outils horizontale, cliquer sur « abc » pour afficher les interfaces utilisées 6. Démarrer les routeurs un par un car GNS3 consomme beaucoup de ressources vCPU et de mémoire pour les émuler. Dans la fenêtre « Servers Summary » un indicateur de charge donne le pourcentage de vCPU et de mémoire utilisé. 7. A l’aide du menu contextuel, ouvrir une console sur chaque équipement. 6. Configuration du réseau 6.1. Création des Vlan Q9. Créer les Vlan sur le commutateur MLS1. vlan 10,20,30,40 Q10. Déployer les Vlan sur les autres commutateurs en utilisant le protocole VTP version 2. Le commutateur MLS1 sera serveur pour le domaine ATW et les autres commutateurs seront client VTP. Les commandes switchport trunk encap dot1q et switchport mode trunk permettent de configurer un port du commutateur multicouche en mode trunk. ```c= MLS1 int range gi0/0-1, 2/0-1, 1/0-1 sw trunk encapsulation dot1q sw mode trunk ex vtp mode Server vtp domain ATW vtp password gtrnet MLS0 int range gi0/0-1, 2/0-1, 1/0-1 sw trunk encapsulation dot1q sw mode trunk ex vtp mode client vtp domain ATW vtp password gtrnet ex S0 int range gi1/0-1,gi2/0-1 sw trunk encapsulation dot1q sw mode trunk ex vtp mode client vtp domain ATW vtp password gtrnet ex S1 int range gi1/0-1,gi2/0-1 sw trunk encapsulation dot1q sw mode trunk ex vtp mode client vtp domain ATW vtp password gtrnet ex ``` Q11. Affecter aux commutateurs d’accès les ports aux Vlans en fonction des indications fournies sur le schéma de topologie. ```c= S0 int gi3/0 sw mode access sw access vlan 10 ex int gi3/1 sw mode access sw access vlan 20 ex int gi3/2 sw mode access sw access vlan 30 ex int gi3/3 sw mode access sw access vlan 40 ex S1 int gi3/1 sw mode access sw access vlan 40 ex int gi3/2 sw mode access sw access vlan 100 ex int gi3/3 sw mode access sw access vlan 100 ex ``` 6.2. Routage Inter-Vlan Pour configurer le routage inter-vlan sur un commutateur multicouche, il faut activer le routage et créer des interfaces de couche 3 nommées SVI (Switch Virtual Interfaces). Cela revient à assigner une adresse IP à l’interface Vlan. Voici les commandes à utiliser : ``` MLSwitch(config)#ip routing MLSwitch(config)#interface vlan vid MLSwitch(config-if)#ip address ip-adress subnet-mask MLSwitch(config-if)#no shutdown ``` Q12. Pour le commutateur MLS1, créer une interface (SVI) pour le Vlan 40 et pour le Vlan 100 en attribuant la dernière adresse valide de chaque réseau à l’interface. ```c= MLS1 ip routing int vlan 40 ip address 192.168.40.254 /24 no sh int vlan 100 ip address 192.168.100.254/24 no sh ``` Q13. Placer un ordinateur virtuel (VPCS) dans le Vlan 40 et dans le Vlan 100. Attribuer une adresse IP à chaque PC en utilisant la commande ip address/netmask gateway. Vérifier la connectivité entre ces hôtes. PC4 ip 192.168.40.1/24 192.168.40.254 PC5 ip 192.168.100.1/24 192.168.100.254 Verification   Q14. Pour le commutateur MLS0, créer une interface (SVI) pour le Vlan 10, le Vlan 20 et le Vlan 30 en attribuant la dernière adresse valide de chaque réseau à l’interface. ```c= MLS0 ip routing int vlan 10 ip address 192.168.10.254 /24 no sh int vlan 20 ip address 192.168.20.254/24 no sh int vlan 30 ip address 192.168.30.254/24 no sh ``` Q15. Placer un ordinateur virtuel (VPCS) dans le Vlan 10 et Vlan 20. Attribuer à chaque PC une adresse IP en utilisant la commande ip address/netmask gateway. Vérifier la VPC1 IP 192.168.10.1/24 192.168.10.254 VPC2 IP 192.168.20.1/24 192.168.20.254 Verification   connectivité entre ces hôtes. Q16. Vérifier la connectivité entre tous les hôtes du réseau. Que remarquez-vous ? Observer la table de routage de MLS0 et MLS1. Expliquer ce résultat.  Q17. Attribuer une adresse IP à l’interface Gi3/0 du commutateur MLS0, à l’interface Gi3/0 de MLS1 et ainsi qu’aux interfaces Gigabit du routeur R1. ```c= MLS0 int gi3/0 no sw ip address 10.10.10.5 no sh MLS1 int gi3/0 no sw ip address 10.10.10.10 no sh R1 int gi0/0 ip address 10.10.10.6 255.255.255.252 no sh int gi0/1 ip address 10.10.10.9 255.255.255.252 no sh ``` Q18. Mettre en place le protocole de routage OSPF pour la zone 0 sur les routeurs MLS0, MLS1 et R1. ```c= R1 router ospf 1 network 10.10.10.4 0.0.0.3 area 0 network 10.10.10.8 0.0.0.3 area 0 MLS0 router ospf 1 network 10.10.10.4 0.0.0.3 area 0 network 192.168.10.0 0.0.0.255 rea 0 network 192.168.20.0 0.0.0.255 rea 0 network 192.168.30.0 0.0.0.255 rea 0 network 192.168.40.0 0.0.0.255 rea 0 MLS1 router ospf 1 network 10.10.10.8 0.0.0.3 area 0 network 192.168.40.0 0.0.0.255 rea 0 network 192.168.100.0 0.0.0.255 rea 0 ``` Q19. Propager la route par défaut et définir comme « passive » les interfaces ne participant pas aux mises à jour de routage diffusées par le protocole OSPF. ```c= R1 int gi0/3 ip add 172.17.4.101 ip route 0.0.0.0 0.0.0.0 172.17.4.254 default-information originate passive-interface gi0/3 MLS0 passive-interface gi2/0-1 et gi1/0-1 MLS1 passive-interface gi2/0-1 et gi1/0-1 ``` Q20. Vérifier les entrées de la table de routage de MLS0 et MLS1. Réaliser un test de connectivité entre les différentes stations du réseau. Expliquer pourquoi le routage inter-vlan est opérationnel en justifiant votre réponse à l’aide des tables de routage. ## 6.3. Accès à Internet Le réseau local de l’entreprise est relié à Internet par l’intermédiaire de l’interface Gi0/2 du routeur R1. Q21. Pour permettre à GNS3 d’accéder à l’extérieur, utiliser un objet Cloud afin de créer un « Bridge » sur l’interface réseau ens18 de la machine gns3.srv-2.2.34.gen.[nom]. Q22. Quelle adresse allez-vous attribuer à l’interface Gi0/2 du routeur ? Configurer cette interface et vérifier par un test de connectivité que vous avez bien accès à Internet. gi0/2 ip add 172.17.4.101  A ce stade, le routeur R1 possède un accès vers l’extérieur mais pas les postes situés dans les Vlan. Ces derniers ont un adressage privé et ne peuvent donc pas envoyer de requêtes vers les serveurs externes. Un mécanisme de translation d’adresse doit être configuré sur le routeur R1. L’interface du routeur connectée au réseau privé et qui est translatée doit avoir la configuration suivante :-1: ```c= Router(config)# interface type number Router(config-if)# ip nat inside L’interface de sortie doit avoir la configuration suivante : Router(config)# interface type number Router(config-if)# ip nat outside ``` Il faut ensuite définir une ACL qui spécifie le flux réseau devant être translaté. Une ACL standard ou étendue peut être utilisée. On rappelle les commandes génériques pour les deux types d’ACL et pour leurs instructions : Router(config)#access-list numéro permit/deny @ip_source masque Router(config)#access-list numéro permit/deny ip/tcp/udp @ip_source masque eq/lt/gt port_source @ip_destination masque eq/lt/gt port_destination Router(config)#show ip access-list La dernière étape est l’activation du NAT surchargé sur le routeur pour permettre la translation des réseaux définis dans l’ACL vers l’adresse publique de l’interface de sortie. Voici la commande utilisée : Router(config)# ip nat inside source list access-list-number interface interface-sortie overload Q23. A l’aide des éléments ci-dessus, mettre en place la translation d’adresse pour l’ensemble des Vlan. Vous utiliserez une ACL étendue pour classifier le trafic. ```c= R1 int range gi0/0-1 ip nat inside int gi3/0 ip nat outside access-list 1 permit 192.168.0.0 0.0.255.255 access-list 1 permit 10.0.0.0 0.255.255.255 ip nat inside source liste 1 int gi0/3 overload ``` Q24. Vérifier que vous avez une connectivité avec les hôtes situés sur Internet. Visualiser la table des translations en utilisant la commande show ip nat translations. Valider la translation d’adresse par une capture Wireshark Q25. Expliquer pourquoi les serveurs situés dans la DMZ ne sont pas accessibles depuis une station située sur Internet. ```c= MLS(config-if-range)# channel-group portchannel-number mode { on | desirable | auto } ``` Le protocole LACP est issue de la spécification IEEE 802.3ad / IEEE 802.1AX. Tout comme PAgP, il permet de créer un EtherChannel en détectant les configurations de chacun des côtés et en assurant leur compatibilité. Il possède également 3 modes : On (force l’interface à établir un canal sans négociation), Active (négociation active avec l’autre interface), Passive (permet la négociation mais ne l’initie pas). La commande est la suivante : ```c= MLS(config-if-range)# channel-group portchannel-number mode { on | active | passive } ``` Il est recommandé de désactiver les ports physiques à regrouper avant de configurer l’EtherChannel car les ports pourraient passer dans l’état « err-disabled ». L’exemple suivant utilise le protocole PAgP pour créer le PortChannel 1 entre les ports Fa0/20 et Fa0/21 du commutateur MLSA. L’interface logique est ensuite configurée en trunk si cela n’a pas été fait automatiquement lors de la création du port-channel et les vlan autorisés sont indiqués. ```c= MLSA (config)# interface range fa0/20 – 21 MLSA (config-if-range)# shutdown MLSA (config-if-range)# channel-group 1 mode desirable MLSA (config-if-range)# no shutdown MLSA (config)# interface port-channel 1 MLSA (config-if)# switchport trunk encapsulation dot1q MLSA (config-if)# switchport mode trunk MLSA (config-if)# switchport trunk allowed vlan 1,2,20 ``` Il est également possible de fixer le protocole à utiliser : ```tex= MLSA (config-if-range)# channel-protocol lacp MLSA (config-if-range)# channel-protocol pagp ``` Les protocoles et le numéro des ports EtherChannel de couche 2 utilisés pour former l’agrégation des liaisons entre commutateurs sont définis dans le tableau ci-dessous :  #### Q48. Former le premier EtherChannel qui regroupe les ports Gi1/0 et Gi1/1 des commutateurs S0 et MLS0 en utilisant le protocole PAgP. ```c= MLS0 (config)# interface range gi1/0–1 MLS0 (config-if-range)# shutdown MLS0 (config-if-range)# channel-group 1 mode desirable MLS0 (config-if-range)# no shutdown MLS0 (config)# interface port-channel 1 MLS0 (config-if)# switchport trunk encapsulation dot1q MLS0 (config-if)# switchport mode trunk S0 (config)# interface range gi1/0–1 S0 (config-if-range)# shutdown S0 (config-if-range)# channel-group 1 mode desirable S0 (config-if-range)# no shutdown S0 (config)# interface port-channel 1 S0 (config-if)# switchport trunk encapsulation dot1q S0 (config-if)# switchport mode trunk ``` Q49. Vérifier qu’EtherChannel fonctionne sur les deux commutateurs en utilisant la commande show etherchannel summary. Les commandes show spanning-tree et show interface trunk affiche également l’interface logique PortChannel.   Q50. Contrôler les caractéristiques du port EtherChannel en utilisant show etherchannel port-channel et show interface trunk. Est-ce que le port EtherChannel est configuré en trunk sans restriction de VLAN ? #### Q51. Former les autres EtherChannel en utilisant les indications fournies dans le tableau de la figure 2. Vérifier que les interfaces port-channel sont opérationnelles. ```c= MLS0 (config)# interface range gi2/0–1 MLS0 (config-if-range)# shutdown MLS0 (config-if-range)# channel-group 4 mode active MLS0 (config-if-range)# no shutdown MLS0 (config)# interface port-channel 4 MLS0 (config-if)# switchport trunk encapsulation dot1q MLS0 (config-if)# switchport mode trunk S0 (config)# interface range gi2/0–1 S0 (config-if-range)# shutdown S0 (config-if-range)# channel-group 3 mode active S0 (config-if-range)# no shutdown S0 (config)# interface port-channel 3 S0 (config-if)# switchport trunk encapsulation dot1q S0 (config-if)# switchport mode trunk MLS1 (config)# interface range gi1/0–1 MLS1 (config-if-range)# shutdown MLS1 (config-if-range)# channel-group 2 mode desirable MLS1 (config-if-range)# no shutdown MLS1 (config)# interface port-channel 2 MLS1 (config-if)# switchport trunk encapsulation dot1q MLS1 (config-if)# switchport mode trunk MLS1 (config)# interface range gi2/0–1 MLS1 (config-if-range)# shutdown MLS1 (config-if-range)# channel-group 3 mode active MLS1 (config-if-range)# no shutdown MLS1 (config)# interface port-channel 3 MLS1 (config-if)# switchport trunk encapsulation dot1q MLS1 (config-if)# switchport mode trunk S1 (config)# interface range gi1/0–1 S1 (config-if-range)# shutdown S1 (config-if-range)# channel-group 2 mode desirable S1 (config-if-range)# no shutdown S1 (config)# interface port-channel 2 S1 (config-if)# switchport trunk encapsulation dot1q S1 (config-if)# switchport mode trunk S1 (config)# interface range gi2/0–1 S1 (config-if-range)# shutdown S1 (config-if-range)# channel-group 4 mode active S1 (config-if-range)# no shutdown S1 (config)# interface port-channel 4 S1 (config-if)# switchport trunk enca psulation dot1q S1 (config-if)# switchport mode trunk ``` La méthode d'équilibrage de charge (algorithme de répartition des données) utilisée pour transmettre le trafic via un port EtherChannel est définie pour le commutateur, c’est-à-dire que tous les EtherChannels formés utiliseront le même algorithme. En revanche, la méthode d'équilibrage de charge utilisée à chaque extrémité d'un ensemble EtherChannel ne doit pas forcément correspondre. Les méthodes disponibles ainsi que la méthode par défaut utilisée varient en fonction de la plate-forme matérielle. Par défaut, les commutateurs Cisco Catalyst 3640 et Catalyst 2960 utilisent l'adresse MAC source. ```c= MLSA(config)# port-channel load-balance ? dst-ip Dst IP Addr dst-mac Dst Mac Addr src-dst-ip Src XOR Dst IP Addr src-dst-mac Src XOR Dst Mac Addr src-ip Src IP Addr src-mac Src Mac Addr ``` #### Q52. Indiquer le mode d’équilibrage de charge utilisé sur les commutateurs S0 et MLS0 en utilisant la commande **show etherchannel load-balance**.   #### Q53. Changer la méthode d’équilibrage de charge définie par défaut sur les commutateurs MLS0 et MLS1, par la méthode « src-dest-ip » si celle-ci n’est pas configurée. Une fois que les commutateurs sont configurés, vous pouvez tester l’équilibrage de charge du port EtherChannel grâce à la commande test etherchannel load-balance. L’exemple suivant montre un test pour le port-channel 1 en utilisant une IP source et une IP destination et montre que le port physique Fa0/12 puis Fa0/11 ont été utilisés pour transmettre la donnée. ```c= ALS1# test etherchannel load-balance interface port-channel 1 ? ip IP address ipv6 IPv6 address mac Mac address ALS1# test etherchannel load-balance interface po 1 ip ? A.B.C.D Source IP address ALS1# test etherchannel load-balance interface po 1 ip 10.1.99.103 ? A.B.C.D Destination IP address ALS1# test etherchannel load-balance interface po 1 ip 10.1.99.103 10.1.99.104 Would select Fa0/12 of Po1 ALS1# test etherchannel load-balance interface po 1 ip 10.1.99.103 209.165.200.103 Would select Fa0/11 of Po1 ``` Q54. Le test de l’équilibrage de charge n’est pas pris en charge par la machine virtuelle IOSvL2 de Cisco. Si vous utilisez du matériel, tester l’équilibrage de charge sur le port EtherChannel n°1 du commutateur MLS0 pour l’IP source de PC1 et l’IP de destination 80.79.100.1. Quel port physique a été utilisé ? Recommencer le test. Quel port physique a été utilisé ? #### Q55. Avant d’aborder les parties suivantes, sauvegarder le projet en cours et l’enregistrer avec un numéro de version supérieur. Il se peut que vous ayez besoin de revenir à une version antérieure. ### 10.2. Agrégation de liaisons de couche 3 A ce stade, lorsqu’une machine du Vlan 10 ou 20 ou 30 communique avec une machine du Vlan 40 ou 100, les paquets doivent nécessairement transiter par le routeur R1. La création d’une agrégation de liaisons de couche 3 entre les commutateurs MLS0 et MLS1 permettra : - d’optimiser le routage des paquets entre Vlan puisque les paquets n’auront plus besoin d’être acheminés vers le routeur R1 - une augmentation de la bande passante entre les commutateurs MLS0 et MLS1 grâce au lien logique EtherChannel qui sera formé. Pour interconnecter les commutateurs MLS0 et MLS1 avec un EtherChannel de couche 3, il faut : - permettre aux ports choisis du commutateur de router les paquets avec la commande no switchport - configurer les ports pour former l’EtherChannel avec la commande channel-group - donner une adresse IP aux interfaces port-channel #### Q56. Vérifier l’itinéraire emprunté par le paquet entre PC1 et PC5 avant la mise en place de l’agrégation de liaisons de couche 3. Expliquer le moyen utilisé. le paquet utilise les interface du R1 pour atteindre PC5 #### Q57. Configurer les ports Gi0/0 et Gi0/1 sur MLS0 et MLS1 afin de former un lien EtherChannel, en utilisant le n° de groupe 5 et le protocole PAgP puis assigner une adresse IP aux ports EtherChannel en utilisant le réseau 10.10.10.0/30. ```c= MLS0 int range gi0/0-1 no sw sh channel-group 5 mode desirable no sh int Po5 ip address 10.10.10.1/30 no sh ``` ```c= MLS1 int range gi0/0-1 no sw sh channel-group 5 mode desirable no sh int Po5 ip address 10.10.10.2/30 no sh ``` #### Q58. Vérifier à l’aide de la commande show etherchannel summary que le lien EtherChannel est fonctionnel. Quelle information permet d’affirmer que l’Etherchannel est de couche 3 ?   Maintenant, il faut permettre au protocole OSPF d’établir une adjacence entre MLS0 et MLS1 afin d’échanger les informations de routage. #### Q59. Déclarer sur MLS0 et MLS1 le nouveau réseau participant aux annonces du protocole OSPF. ```c= MLS0-MLS1 router ospf 1 network 10.10.10.0 0.0.0.3 area 0 ```  #### Q60. Vérifier les entrées de la table de routage de MLS0 et MLS1. Vérifier l’itinéraire emprunté par les paquets entre PC1 et PC5. Est-ce que la couche distribution gère à elle seule le routage inter-vlan ? ### 11. Redondance de « passerelle par défaut » ### 11.1. Mise en œuvre du protocole HSRP En cas de défaillance d'un routeur ou d'une interface de routeur servant de passerelle par défaut, les hôtes qui utilisent cette passerelle se retrouvent isolés des réseaux extérieurs. Un mécanisme est nécessaire pour offrir des passerelles par défaut alternatives dans les réseaux commutés. Les commutateurs multicouches MLS0 et MLS1 jouent le rôle de passerelle par défaut pour les Vlan du réseau commuté. Chaque client reçoit une seule passerelle par défaut. Il n'est pas possible d'utiliser une passerelle secondaire, même s'il existe un deuxième chemin pour transporter les paquets hors du segment local. Dans notre cas, MLS0 est responsable du routage des paquets en provenance des Vlan 10, 20 et 30 et MLS1 du routage des Vlan 40 et 100. Si MLS0 n’est plus disponible, le protocole de routage OSPF va converger dynamiquement et MLS1 acheminera désormais les paquets en provenance des réseaux extérieurs, qui auraient normalement été destinés à MLS0. Cependant, le trafic en provenance du réseau interne associé à MLS0 ne pourra pas aboutir car les périphériques finaux sont configurés avec une seule adresse de passerelle qui est devenue inaccessible. Pour éviter tout risque de défaillance au niveau de la passerelle par défaut, il est possible d'implémenter un « routeur virtuel ». Pour mettre en place ce type de redondance, plusieurs routeurs sont configurés avec un protocole FHR (First Hop Redundancy) de manière à donner l'illusion d'un routeur unique au regard des hôtes du LAN. En partageant une adresse IP et une adresse MAC, plusieurs routeurs peuvent jouer le rôle d'un routeur virtuel unique. Le protocole de redondance HSRP (Hot Standby Router Protocol) offre les mécanismes nécessaires pour déterminer quel routeur doit être actif dans le réacheminement du trafic. Il détermine également quand le rôle de réacheminement doit être repris par un routeur en veille. La transition d’un routeur de transfert à un autre est transparente pour les périphériques finaux. Pour mettre en œuvre le protocole HSRP, il faut procéder aux étapes suivantes sur chaque commutateur multicouche : - activer le routage avec la commande ip routing - assigner une adresse IP à l’interface du Vlan (SVI) - configurer l’adresse IP virtuelle attribuée au groupe HSRP spécifié avec la commande standby group-id ip ip-address. Il est conseillé d’utiliser le même identifiant pour le groupe que celui du Vlan. - spécifier une priorité pour désigner le routeur actif avec la commande standby group-id priority value. La valeur par défaut est 100. Si égalité, c’est l’adresse IP d’interface la plus élevée qui détermine le routeur actif. - forcer le routeur désigné actif à prendre la main sur le routeur élu actif avec la commande standby group-id preempt Voici un exemple permettant de mettre en place le protocole HSRP sur les commutateurs multicouches DSL1 et DSL2 ```c= DLS1(config)# interface vlan 10 DLS1(config-if)# ip address 172.16.10.1 255.255.255.0 DLS1(config-if)# standby 10 ip 172.16.10.5 DLS1(config-if)# standby 10 preempt DLS1(config-if)# standby 10 priority 110 DLS2(config)# interface vlan 10 DLS2(config-if)# ip address 172.16.10.2 255.255.255.0 DLS2(config-if)# standby 10 ip 172.16.10.5 DLS2(config-if)# standby 10 preempt ``` Remarque : grâce à la commande standby group-id priority value un équilibrage de charge peut être mis en place entre les différents Vlan. Vous allez mettre en place le protocole HSRP sur les commutateurs multicouches MLS0 et MLS1. Il n’y a plus d’intérêt à utiliser un EtherChannel de couche 3 et le protocole OSPF entre les deux commutateurs. #### Q61. Supprimer l’agrégation de liens de couche 3, rétablir les ports Gi0/0 et Gi0/1 en mode trunk et désactiver l’annonce du réseau 10.10.10.0/30 par le protocole OSPF sur chaque commutateur. Les ports doivent être désactivés lors des changements de configuration: :+1: ```c= MLS0 conf t no int po 1 no int po 4 ex router ospf 1 no network 10.10.10.4 0.0.0.3 area 0 MLS1 conf t no int po 2 no int po 3 ex router ospf 1 no network 10.10.10.4 0.0.0.3 area 0 ``` #### Q62. Former un EtherChannel de couche 2 avec les ports Gi0/0 et Gi0/1 des commutateurs MLS0 et MLS1. Utiliser le n° de groupe 6 et le protocole PAgP. Il se peut que les échanges DTP soient bloqués car les ports sont passés en mode switchport nonegotiate. Pour autoriser DTP, saisir la commande no switchport nonegotiate. ```c= MLS0 int range gi0/0-1 no sw nonegociate sh channel-group 6 mode desirable no sh channel-protocol pagp MLS1 int range gi0/0-1 no sw nonegociate sh channel-group 6 mode desirable no sh channel-protocol pagp do sh etherchannel sum ``` #### Q63. Configurer le protocole HSRP sur chaque commutateur multicouche en équilibrant de manière statique la charge entre les Vlan comme indiqué ci-dessous : - MLS0 : routeur actif pour les Vlan 10, 20 et 30 - MLS1 : routeur actif pour les Vlan 40 et 100 ```c= MLS0 int vlan 10 standby 10 ip 192.168.10.100 standby 10 priority 110 standby 10 preempt int vlan 20 standby 20 ip 192.168.20.100 standby 20 priority 110 standby 20 preempt int vlan 30 standby 30 ip 192.168.30.100 standby 30 priority 110 standby 30 preempt ``` ```c= MLS1 int vlan 100 standby 100 ip 192.168.100.100 standby 100 priority 100 standby 100 preempt int vlan 40 standby 40 ip 192.168.40.100 standby 40 priority 100 standby 40 preempt ``` #### Q64. Vérifier la configuration du routeur actif et du routeur de secours en utilisant les commandes show standby et sh standby brief. Observer l’adresse MAC virtuelle et vérifier que les deux derniers chiffres hexadécimaux correspondent au groupe HSRP. Contrôler le routeur actif pour les groupes de Vlan. Indiquer les valeurs par défaut des timers « hello time » et « hold time ». #### Q65. Vérifier la table de routage des routeurs MLS0 et MLS1. #### Q66. Configurer les machines clientes avec la nouvelle adresse de passerelle par défaut puis réaliser un test de connectivité entre deux ordinateurs n’appartenant pas au même Vlan. #### Q67. Pour montrer la continuité de service réalisée avec HSRP, exécuter la commande ping en continue (option -t) sur PC1 à destination de PC5 puis désactiver l’interface virtuelle (SVI) associée au vlan correspondant sur le routeur actif. Que remarquez-vous ? #### Q68. Vérifier que MLS1 est passé dans le mode « active » et que le nouveau routeur « standby » est inconnu. Réactiver l’interface et vérifier que le routeur MLS0 est redevenu le routeur actif pour le Vlan concerné # configuration: ## Etherchannel ```c= int range gi1/0-1 sh channel-group 1 mode active(LACP)/desirable(PAGP) no sh ``` ```c= int Po1 switchport trunk encapsulation dot1q switchport mode trunk no sh #sh etherchannel summary ``` ## HSRP ```c= MLS0 int vlan 10 ip address 192.168.10.254/24 --> SVI du vlan10 standby 10 (groupe_ID) ip 192.168.10.100 --> GW standby 10 priority 110 ``` ```c= MLS1 int vlan 20 ip address 192.168.10.253/24 --> SVI standby 10 ip 192.168.10.100 --> GW standby 10 priority 100 ``` ```c= ```