Compte-rendu du TP n o 4



Documents pareils
Compte-rendu du TP n o 2

Chapitre I. La couche réseau. 1. Couche réseau 1. Historique de l Internet

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

Comment utiliser HSRP pour assurer la redondance dans un réseau BGP multihébergé

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

UFR de Mathématiques et Informatique Année 2009/2010. Réseaux Locaux TP 04 : ICMP, ARP, IP

Travaux pratiques IPv6

TP Configuration de l'authentification OSPF

Note d Application. Bascule d ALOHA via injection de route en BGP

Protocoles de routage RIP, OSPF, BGP

acpro SEN TR firewall IPTABLES

ROUTEURS CISCO, PERFECTIONNEMENT

DIFF AVANCÉE. Samy.

Présentation et portée du cours : CCNA Exploration v4.0

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Configuration des routes statiques, routes flottantes et leur distribution.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Cisco Certified Network Associate Version 4

Le Multicast. A Guyancourt le

Présentation et portée du cours : CCNA Exploration v4.0

Figure 1a. Réseau intranet avec pare feu et NAT.

Sécurité d IPv6. Sécurité d IPv6. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr. Stéphane Bortzmeyer AFNIC bortzmeyer@nic.fr

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Rappel: Le routage dans Internet. Contraintes. Environnement et contraintes. La décision dans IP du routage: - Table de routage:

Chapitre 1 Le routage statique

TCP/IP, NAT/PAT et Firewall

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

MISE EN PLACE DU FIREWALL SHOREWALL

7.3 : Ce qu IPv6 peut faire pour moi

Influence des bonnes pratiques sur les incidents BGP

Plateforme spécialité réseau (PFRES)

Université Pierre Mendès France U.F.R. Sciences de l Homme et de la Société Master IC²A. TP réseau firewall

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

Security and privacy in network - TP

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Oléane VPN : Les nouvelles fonctions de gestion de réseaux. Orange Business Services

Mesures de performances Perspectives, prospective

Internet Protocol. «La couche IP du réseau Internet»

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

DESCRIPTION DU CONCOURS QUÉBÉCOIS INFORMATIQUE (GESTION DE RÉSEAUX)

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

CCNA Discovery Travailler dans une PME ou chez un fournisseur de services Internet

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

Nouvellement recruté au sein de l entreprise STEpuzzle, Vous êtes stagiaire administrateur réseau et système.

Centre de formation 34, rue Galliéni - 2 ème étage Centre ville Places de Parking disponibles

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Au cours de cette étude de cas, l étudiant doit accomplir les étapes suivantes :

FILTRAGE de PAQUETS NetFilter

Le service IPv4 multicast pour les sites RAP

SYSTEME DE GESTION DES ENERGIES EWTS EMBEDDED WIRELESS TELEMETRY SYSTEM

Exercice : configuration de base de DHCP et NAT

TP 1 et 2 de Réseaux en Master 1 Informatique : Assemblage d un réseau, configuration d adresses IP sous Linux et Windows

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Les systèmes pare-feu (firewall)

GNS 3 Travaux pratiques

Intérêt du NAT (Network Address Translation) Administration Réseau Niveau routage. Exemple d Intranet. Principe NAT

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

JIP'05. Sécurité des plate-formes d'hébergement - Les défis des FSI - Yann Berthier / FHP yb@bashibuzuk.net

Architecture de Réseaux Redondants

Administration Avancée de Réseaux d Entreprises (A2RE)

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Architecture de Réseaux Redondants

Travaux pratiques Configuration d une carte réseau pour qu elle utilise DHCP dans Windows Vista

Polycopié de TPs réseaux v.1.2

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Environnements informatiques

Firewall IDS Architecture. Assurer le contrôle des connexions au. Sécurité 1

1. Warm up Activity: Single Node

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Spécifications de raccordement au service de Téléphonie sur IP (ToIP) de RENATER

TP 3 Réseaux : Subnetting IP et Firewall

TP 2 Réseaux. Adresses IP, routage et sous-réseaux

Sécurité des réseaux Firewalls

Cisco Certified Network Associate

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

Réseau - VirtualBox. Sommaire

Mise en place du réseau métropolitain grenoblois TIGRE

Administration de Réseaux d Entreprises

TP4 : Firewall IPTABLES

Présentation du modèle OSI(Open Systems Interconnection)

Gestion et Surveillance de Réseau

Fonctionnement de Iptables. Exercices sécurité. Exercice 1

Réseaux IUP2 / 2005 IPv6

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

ROUTING AND SWITCHING ICND ICND ROUTE...10 SWITCH...12 TSHOOT...14 BGP...16 DESGN...18

L3 informatique Réseaux : Configuration d une interface réseau

1.Introduction - Modèle en couches - OSI TCP/IP

Les réseaux /24 et x0.0/29 sont considérés comme publics

Configuration d'un Réseau Privé Virtuel (RPV ) communément appelé VPN

IPv6. Protocole, format et applications. Tuyêt Trâm DANG NGOC. Université de Cergy-Pontoise. Tuyêt Trâm DANG NGOC IPv6 1 / 150

TP réseaux Translation d adresse, firewalls, zonage

Travaux pratiques : Configuration de base d une route statique

Administration réseau Firewall

Introduction. Adresses

Routeurs de Services Unifiés DSR-1000N DSR-500N DSR-250N

Travaux pratiques : collecte et analyse de données NetFlow

Transcription:

Qiao Wang Charles Duchêne 18 décembre 2013 Compte-rendu du TP n o 4 Document version 1.0 F2R UV301B Routage : peering BGP

Sommaire 1. PLAN D ADRESSAGE 2 2. CONFIGURATION DU BANC 2 3. IBGP 4 1

Salle 27, banc 7. 1. PLAN D ADRESSAGE Donner les adresses des différentes machines : PC1 eth1 : 205.27.7.1 PC2 eth0 : 205.27.7.2 PC2 eth1 : 205.27.17.2 Cisco Fa0/1 : 205.27.17.254 Cisco Fa0/0 : 205.27.0.7 AS : 65107. PC gauche PC droite 205.27.7.1 205.27.7.2 205.27.17.2 eth0 eth1 eth0 eth1 Vlan 2 Vlan 3 1 2 3 4 5 Commutateur 205.27.0.7 205.27.17.254 0/0 0/1 AS : 65107 Routeur Figure 1 Schéma de l installation 2. CONFIGURATION DU BANC Est-il possible de pinger PC1 depuis le routeur? Non car le routeur ne connait pas de route vers 205.27.7.0/24. La route vers le PC2 (205.27.17.0/24) est connue car directement connectée. 2

Doit-on mettre toutes les interfaces du Cisco dans l aire 0? Notre routeur sera un routeur de bordure, il ne peut donc pas avoir toutes ses interfaces dans la même aire. Quels sont les préfixes définis dans le RFC1918? Les préfixes définis dans le RFC1918 sont privés, il s agit des préfixes : 10.0.0.0/8 ; 172.16.0.0/12 ; 192.168.0.0/16. Indiquer en les agrégeant au maximum : Les préfixes annoncés par notre client : 192.27.96.0/20 ; 206.170.7.0/24 ; 206.171.7.0/24 ; 206.172.7.0/24 ; 206.173.7.0/24. Les préfixes annoncés par d autres AS : 182.1.0.0/16 ; 182.2.0.0/16 ; 182.3.0.0/16 ; 182.4.0.0/16 ; 182.5.0.0/16 ; 182.6.0.0/16 ; 182.7.0.0/16 ; 182.8.0.0/16. Quels sont les attributs ajoutés pour les préfixes commençant par 182.7.0.0/8? Pour les préfixes 182.0.0.0/8, on ajoute un autre numéro d AS dans l as_path a en comparaison aux autres clients. Pour les préfixes 182.7.0.0/16 (7 étant notre numéro de banc), on appelle la commande set community 65107:300. Il s agit un attribut optionnel et transitif qui permet de grouper des destinations en une communauté et de leur appliquer les mêmes règles de routage. (Aide : http://www.cisco.com/en/us/tech/tk365/technologies_ configuration_example09186a00801475b2.shtml) a. Pour éviter les boucles et trouver le plus court chemin. 3

3. IBGP Quel trafic voyez-vous entre le PC1 et le routeur Cisco? On observe un trafic OSPF provenant du PC2. Dans quel état se trouve le peering avec le routeur Cisco? Le routeur Cisco apparaît dans la liste des voisins du PC1, on a : Neighbor V AS [...] Up/Down State/PfxRcd 205.27.17.254 4 65107 [...] never Active Le peering est configuré mais pas encore actif. Le contexte pour le processus de routage du Cisco apparaît-il dans le fichier de configuration? est-ce suffisant pour établir le peering? Un contexte apparaît dans la configuration mais ce n est pas suffisant pour établir le peering car il reste à définir les voisins. Y a-t-il un changement? Vérifier les voisins BGP de PC1. Il n y a aucune changement du côté du PC1. En revanche, après avoir activé le peering sur le routeur Cisco, celui-ci s active, des paquets sont échangés, Up/Down indique une durée et State passe à 0. Que contient la colonne path? Que signifie le i à la fin de la ligne? La colonne path indique le chemin d AS vers le réseau destinataire. Le i à la fin de la ligne indique que l entrée a été apprise par IGP. (Aide : http://www.cisco.com/en/us/docs/ios/iproute_bgp/command/ reference/irg_bgp5.html#wp1156281) Est-ce que le client doit nous envoyer des annonces pour les routes dont le préfixe est 10.0.0.0/8? Le client ne doit pas nous envoyer ces annonces : les routes dont le préfixe est 10.0.0.0/8 sont des routes privées qui ne doivent sortir du réseau interne, donc ne doivent pas être annoncées en externe! 4

Est-ce que l ordre est important pour définir des listes d accès? L ordre des listes d accès est en effet important puisque Cisco applique une règle de «first match», dès qu une instruction s appliquant est trouvée, le routeur applique l instruction sans chercher par la suite une règle plus spécifique. (Aide : http://www.cisco.com/en/us/docs/ios/12_2/security/configuration/ guide/scfacls.html). Que pensez-vous d un ISP qui définit un filtre pour interdire les préfixes non autorisés? Quel impact sur la multidomiciliation? Il est logique qu un ISP interdise les préfixes non autorisés, cependant, cela aura un impact sur la multidomiciliation parce que chacun des ISP n offrira qu une route et en cas de panne de l un deux, aucun chemin ne sera déjà connu. En prenant en compte l agrégation possible, quelles seraient les règles de filtrage pour ne prendre en compte que les préfixes autorisés par l ISP? access-list 1 permit 192.27.96.0 0.0.15.255 ; access-list 1 permit 206.170.7.0 0.255.255.255 ; access-list 1 permit 206.171.7.0 0.255.255.255 ; access-list 1 permit 206.172.7.0 0.255.255.255 ; access-list 1 permit 206.173.7.0 0.255.255.255. Quelle est l adresse IP du routeur Cisco pour son interface sur le réseau d interconnexion? L adresse est 205.27.0.7/24. Pourquoi un même préfixe apparaît plusieurs fois dans la base de données BGP? Quelle annonce sera mise dans la table de routage? Les préfixes en 182 sont annoncés par le PC1 et les Cisco des deux autres bancs, on a donc 3 annonces pour ces préfixes. Dans la table de routage, c est le préfixe annoncé par le PC1 qui est mis car il a le plus court chemin d AS. Pourquoi le champ Next Hop ne correspond pas à l adresse du routeur BGP qui a fait l annonce? Il s agit de l adresse du routeur Cisco des bancs collègues et non l adresse de leurs PC1. En effet, le champ Next Hop correspond à l adresse du routeur ebgp. Est-il possible d agréger les entrées commençant par 206? Il n est pas possible d agréger les entrées 206 puisqu il s agit de /24 discontinus. 5

Quels préfixes peuvent être agrégés? En quel préfixe / longueur de préfixe? On peut avoir ces agrégations : 192.27.96.0/20. Quel est le netmask équivalent à cette longueur de préfixe? Pour /20 : 255.255.240.0. Pour /24 : 255.255.255.0. Quel est le chemin d AS? On regarde 192.27.112.0/20 : 65108, (aggregated by 205.27.8.1). Pourquoi ce réseau est-il inconnu de PC1? Les préfixes BGP ne sont pas redistribués. Il faut synchroniser les bases de données entre l IGP (OSPF) et l EGP (BGP). Pourquoi cela ne marche-t-il pas? Nous avons fait un traceroute, le chemin s arrête sur le PC 2 qui ne connaît pas de route. Dans quels types de LSA sont stockées les routes externes? PC1 ne risque-t-il pas de les redistribuer à ses clients? Les routes BPG sont stockées dans des LSA de type 5. PC1 ne redistribuera pas les routes à ses clients tant qu on ne lui indique pas explicitement de le faire. Est-il est possible d atteindre l interface externe de votre routeur Cisco depuis PC2? Il est désormais possible d atteindre l interface externe de notre routeur depuis le PC2 et donc depuis le PC1. Est-il possible d atteindre l interface externe d autres routeurs Cisco depuis PC2? depuis PC1? Depuis le PC2, il est possible d atteindre l interface externe des routeurs d autres bancs (ping 205.27.0.6 et ping 205.27.0.8 fonctionnent par exemple). Ce n est cependant pas le cas depuis PC1 puisque nous avons configuré la redistribution des routes du sousréseau : le routeur de l autre banc n est pas capable de répondre. Pour pouvoir pinguer depuis PC1, il faut redistribuer toutes les annonces. 6

Est-il possible d atteindre l interface externe des autres routeurs Cisco depuis PC2? Depuis PC2, cela fonctionnait déjà (cf. question précédente). En revanche, maintenant que nous avons configuré la redistribution des routes en OSPF, PC1 peut joindre l interface externe des routeurs des autres bancs Est-il possible de joindre un préfixe annoncé par un autre banc? pourquoi? On teste : ping 192.27.112.1 connect: Network is unreachable. Cela signifie qu aucune route n est connue : les préfixes appris avec BGP ne sont pas redistribués avec l IGP. Après avoir modifié la configuration du routeur Cisco, on obtient : ping 192.27.112.1 PING 182.27.112.1 (192.27.112.1) 56(84) bytes of data. La commande n aboutit pas car il n existe pas de machine ayant cette adresse IP, cependant, la sortie de la commande nous assure que le préfixe est désormais connu. Vérifiez vos annonces sur le routeur Cisco d un autre ISP. Votre annonce est-elle choisie? Notre annonce n est pas choisie car la commande précédente visait à allonger artificiellement le chemin d AS pour que la route apparaisse comme étant moins avantageuse. 7

Campus de Rennes 2, rue de la Châtaigneraie CS 17607 35576 Cesson Sévigné Cedex France +33 (0)2 99 12 70 00 www.telecom-bretagne.eu

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back