
Voici la fin du tutoriel entamé précédemment. Je remets la topologie pour plus de facilité ;-).
Petit état des lieux avant de continuer. Nous avons un réseau quasi-opérationnel car à ce stade le réseau opérateur est configuré afin que les différents sites des clients puissent communiquer entre-eux. Il nous manque juste une partie : la connectivité à Internet.Lançons-nous :).
Interconnexion avec le routeur Peering
Pour faciliter la tâche j’ai configuré des loopback avec les adresses IP 8.8.8.8 et 8.8.4.4 sur le routeur Peering pour simuler Internet. Nous allons maintenant interconnecter notre réseau opérateur avec le routeur Peering en utilisant le protocole BGP.
Routeur Peering :
interface Loopback0 ip address 8.8.4.4 255.255.255.255 ! interface Loopback1 ip address 8.8.8.8 255.255.255.255 ! interface Ethernet0/0 description *** VERS RESEAU OPERATEUR - 150.56.78.2 255.255.255.252 *** ip address 150.56.78.1 255.255.255.252 ! router bgp 1500 no synchronization bgp log-neighbor-changes network 8.8.4.4 mask 255.255.255.255 network 8.8.8.8 mask 255.255.255.255 neighbor 150.56.78.2 remote-as 1200 no auto-summary
Routeur P1 :
interface Ethernet0/0 description *** VERS ZONE DE PEERING - 150.56.78.1 255.255.255.252 *** ip address 150.56.78.2 255.255.255.252 ! router bgp 1200 address-family ipv4 network 150.56.78.0 mask 255.255.255.252 neighbor 150.56.78.1 activate exit-address-family
A présent, le routeur P1 annoncera le réseau 150.56.78.0/30 aux autres routeurs du réseau opérateur. Il transmettra également les routes apprises par le biais du routeur Peering. De même, le routeur Peering apprendra également les routes transmises par le routeur P1 (mais pour le moment il n’en connait aucune).
Déclaration des clients
Alors pourquoi le routeur P1 ne connait aucune des routes des clients ? A cause des VRF. Elles sont très pratiques pour isoler les flux des clients mais comme cela est expliqué dans le principe les flux sont isolés donc comme notre routeur P1 ne travaille pas avec les VRF des clients il ne connait pas leurs routes…
Pour remédier à ce problème (qui n’en est pas un en définitive) nous allons déclarer nos routes au routeur P1 par le biais des route-map.
Routeur PE1 :
ip route 130.12.40.0 255.255.255.252 Ethernet0/1 tag 10 name CLIENT-001 ip route 140.12.40.0 255.255.255.252 Ethernet0/2 tag 20 name CLIENT-002 ! route-map PE1-PEERING-CLIENTS permit 10 match tag 10 20 set community no-export additive ! router bgp 1200 address-family ipv4 table-map PE1-PEERING-CLIENTS redistribute static route-map PE1-PEERING-CLIENTS
Routeur PE2 :
ip route 130.12.41.0 255.255.255.252 Ethernet0/1 tag 10 name CLIENT-001 ip route 140.12.41.0 255.255.255.252 Ethernet0/2 tag 20 name CLIENT-002 ! route-map PE2-PEERING-CLIENTS permit 10 match tag 10 20 set community no-export additive ! router bgp 1200 address-family ipv4 table-map PE2-PEERING-CLIENTS redistribute static route-map PE2-PEERING-CLIENTS
Routeur PE3 :
ip route 130.12.42.0 255.255.255.252 Ethernet0/1 tag 10 name CLIENT-001 ip route 140.12.42.0 255.255.255.252 Ethernet0/2 tag 20 name CLIENT-002 ! route-map PE3-PEERING-CLIENTS permit 10 match tag 10 20 set community no-export additive ! router bgp 1200 address-family ipv4 table-map PE3-PEERING-CLIENTS redistribute static route-map PE3-PEERING-CLIENTS
A présent notre routeur Peering peut apprendre les routes des clients par le biais du routeur P1 :
PEERING#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is not set 8.0.0.0/32 is subnetted, 2 subnets C 8.8.4.4 is directly connected, Loopback0 C 8.8.8.8 is directly connected, Loopback1 130.12.0.0/30 is subnetted, 3 subnets B 130.12.40.0 [20/0] via 150.56.78.2, 03:10:12 B 130.12.41.0 [20/0] via 150.56.78.2, 03:07:42 B 130.12.42.0 [20/0] via 150.56.78.2, 03:03:45 140.12.0.0/30 is subnetted, 3 subnets B 140.12.40.0 [20/0] via 150.56.78.2, 03:10:12 B 140.12.41.0 [20/0] via 150.56.78.2, 03:20:09 B 140.12.42.0 [20/0] via 150.56.78.2, 03:20:09 150.56.0.0/16 is variably subnetted, 2 subnets, 2 masks C 150.56.78.0/30 is directly connected, Ethernet0/0 L 150.56.78.1/32 is directly connected, Ethernet0/0
Internet est donc capable de contacter les clients. Le problème est que les clients ne sont pas capable de communiquer avec Internet…
Configuration vers Internet pour les clients
Alors pourquoi les clients ne peuvent pas communiquer avec Internet ? Je n’ai qu’une seule réponse : les VRF (décidément !). Et oui les VRF isoles les flux donc si, par exemple, notre routeur PE1 prend connaissance des routes vers Internet grâce à l’interconnexion faite avec le routeur Peering, ses VRF ne reçoivent pas l’information.
Nous allons donc configurer une route par défaut globale dans chacune des VRF des clients afin de leur annoncer le chemin à suivre.
Pour rappel, les routeurs clients (C1-S0, C2-S0, etc.) possèdent une route par défaut vers le routeur PE auquel ils sont interconnectés.
Routeur PE1 :
ip route vrf CLIENT-001 0.0.0.0 0.0.0.0 150.56.78.1 global ip route vrf CLIENT-002 0.0.0.0 0.0.0.0 150.56.78.1 global
Routeur PE2 :
ip route vrf CLIENT-001 0.0.0.0 0.0.0.0 150.56.78.1 global ip route vrf CLIENT-002 0.0.0.0 0.0.0.0 150.56.78.1 global
Routeur PE3 :
ip route vrf CLIENT-001 0.0.0.0 0.0.0.0 150.56.78.1 global ip route vrf CLIENT-002 0.0.0.0 0.0.0.0 150.56.78.1 global
A présent si l’on vérifie la table de routage d’une VRF :
PE1#sh ip route vrf CLIENT-001 Routing Table: CLIENT-001 Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, + - replicated route Gateway of last resort is 150.56.78.1 to network 0.0.0.0 S* 0.0.0.0/0 [1/0] via 150.56.78.1 130.12.0.0/16 is variably subnetted, 4 subnets, 2 masks C 130.12.40.0/30 is directly connected, Ethernet0/1 L 130.12.40.2/32 is directly connected, Ethernet0/1 B 130.12.41.0/30 [200/0] via 10.100.0.2, 03:40:48 B 130.12.42.0/30 [200/0] via 10.100.0.3, 03:41:03 O 192.168.0.0/24 [110/20] via 130.12.40.1, 01:54:45, Ethernet0/1 B 192.168.1.0/24 [200/1] via 10.100.0.2, 01:53:30 B 192.168.2.0/24 [200/1] via 10.100.0.3, 01:51:39
Ce qui nous permet à un client d’avoir une connectivité vers ses autres sites mais aussi vers Internet :
C1-S0#ping 192.168.2.254 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.2.254, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms C1-S0#traceroute 192.168.2.254 Type escape sequence to abort. Tracing the route to 192.168.2.254 1 130.12.40.2 0 msec 0 msec 4 msec 2 130.12.42.1 [MPLS: Labels 18/16 Exp 0] 0 msec 0 msec 0 msec 3 130.12.42.2 [MPLS: Label 16 Exp 0] 0 msec 4 msec 0 msec 4 130.12.42.1 0 msec 0 msec * C1-S0#ping 8.8.8.8 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms C1-S0#traceroute 8.8.8.8 Type escape sequence to abort. Tracing the route to 8.8.8.8 1 130.12.40.2 0 msec 0 msec 0 msec 2 10.0.100.5 0 msec 0 msec 0 msec 3 150.56.78.1 0 msec 0 msec *
Félicitation vous venez de monter un réseau VPN MPLS type Opérateur Télécom ! J’espère que ce long tutoriel vous aura aidé :).