PPE 3.4

Redondance au niveau des éléments d'interconnexions réseaux

Table des matières

1 CONTEXTE......................................................................................................................................... 3

1.1 PRÉSENTATION DE L‟ENTREPRISE ............................................................................................ 3

1.2 PRÉSENTATION DU PRESTATAIRE INFORMATIQUE .................................................................. 3

1.3 ENSEIGNEMENTS SUR LE SYSTÈME INFORMATIQUE DE L‟ORGANISATION ............................ 4

2 CAHIER DES CHARGES ............................................................................................................... 6

3 SOLUTION .......................................................................................................................................... 9

3.1 TEST ET COMPARAISON DES SOLUTIONS ................................................................................. 9

3.1.1 Au niveau de la couche 2 .............................................................................................. 9 3.1.1.1 Etherchannel ................................................................................................................................................ 9 3.1.1.2 STP vs RSTP ............................................................................................................................................... 11

3.1.2 Au niveau de la couche 3 ............................................................................................ 14 3.1.2.1 Protocole HSRP .......................................................................................................................................... 14 3.1.2.2 Protocole VRRP.......................................................................................................................................... 16 3.1.2.3 Protocole GLBP .......................................................................................................................................... 17

3.2 CHOIX DE SOLUTIONS ............................................................................................................... 19

3.2.1 Couche 2 ......................................................................................................................... 19 3.2.2 Couche 3 ......................................................................................................................... 19

4 PROJET ...................................................................................................................................... 20

4.1 OBJECTIFS ET BUT DU PROJET ................................................................................................ 20

4.2 PLANNING .................................................................................................................................. 20

4.2.1 Configuration du STP .......................................................................................................... 20 4.2.1.1 Configuration du Switch SW1 .................................................................................................................. 20 4.2.1.2 Implémentation du protocole spanning-tree ........................................................................................ 20

4.2.2 Configuration Etherchannel ............................................................................................... 22 4.2.2.1 Implémentation du protocole Etherchannel sur le Switch COMM1 .................................................. 22 4.2.2.2 Vérification de la création des différents groupes Etherchannel ....................................................... 23 4.2.2.3 Implémentation du protocole Etherchannel sur le Switch COMM2 .................................................. 24 4.2.2.4 Vérification de la création des différents groupes Etherchannel ....................................................... 25

4.2.3 Configuration GLBP ............................................................................................................. 26 4.2.3.1 Configuration du R-Stade ......................................................................................................................... 26 4.2.3.2 Configuration du R-1 ................................................................................................................................ 28

5 CONCLUSION ................................................................................................................................... 30

6 ANNEXES .......................................................................................................................................... 31 6.1 RUNNING-CONFIGURATION DU ROUTEUR R-STADE ....................................................................... 31 6.2 RUNNING-CONFIGURATION DU ROUTEUR R-1 ............................................................................... 33 6.3 RUNNING-CONFIGURATION DU SWITCH ........................................................................................ 35 6.4 RUNNING-CONFIGURATION DES SWITCHS ..................................................................................... 36

1 Contexte :

1.1 Présentation de l’entreprise :

Lors de la construction de ce stade, le réseau qui prenait en charge ses bureaux commerciaux et ses services de sécurité proposait des fonctionnalités de communication de pointe. Au fil des ans, la société a ajouté de nouveaux équipements et augmenté le nombre de connexions sans tenir compte des objectifs commerciaux généraux ni de la conception de l‟infrastructure à long terme. Certains projets ont été menés sans souci des conditions de bande passante, de définition de priorités de trafic et autres, requises pour prendre en charge ce réseau critique de pointe.

StadiumCompany fournit l‟infrastructure réseau et les installations sur le stade. StadiumCompany emploie 170 personnes à temps plein : · 35 dirigeants et responsables · 135 employés

Environ 80 intérimaires sont embauchés en fonction des besoins, pour des événements spéciaux dans les services installations et sécurité.

À présent, la direction de StadiumCompany veut améliorer la satisfaction des clients en ajoutant des fonctions haute technologie et en permettant l‟organisation de concerts, mais le réseau existant ne le permet pas. La direction de StadiumCompany sait qu‟elle ne dispose pas du savoir-faire voulu en matière de réseau pour prendre en charge cette mise à niveau. StadiumCompany décide de faire appel à des consultants réseau pour prendre en charge la conception, la gestion du projet et sa mise en œuvre. Ce projet sera mis en œuvre suivant trois phases. La première phase consiste à planifier le projet et préparer la conception réseau de haut niveau.

La deuxième phase consiste à développer la conception réseau détaillée. La troisième phase consiste à mettre en œuvre la conception.

1.2 Présentation du prestataire informatique :

Après quelques réunions, StadiumCompany charge NetworkingCompany, une société locale spécialisée dans la conception de réseaux et le conseil, de la phase 1, la conception de haut niveau. NetworkingCompany est une société partenaire Cisco Premier Partner. Elle emploie 20 ingénieurs réseau qui disposent de diverses certifications et d‟une grande expérience dans ce secteur. Pour créer la conception de haut niveau, NetworkingCompany a tout d‟abord interrogé le personnel du stade et décrit un profil de l‟organisation et des installations.

Créée en 1989, NetworkingCompany est une société spécialiste en infrastructures systèmes et vente de matériel informatique pour professionnels de la vidéo.

Employant aujourd‟hui 20 ingénieurs réseau, l‟activité de NetworkingCompany s‟établit à 1,8 millions d'euros de chiffre d‟affaires. Son cœur de métier se situe au niveau de l‟infrastructure informatique afin de garantir les besoins des activités « métiers ». NetworkingCompany est l‟une des seules sociétés de services informatique qui accompagne réellement et jusqu‟au bout ses clients dans le choix et la mise en œuvre de solutions.

NetworkingCompany intervient en mode Projet (Engagement de résultats), Régie (Engagement de moyens) et Infogérance des environnements Windows. Son outil de compétitivité et de productivité réside dans la capitalisation de son savoir-faire, le haut niveau de certification de ses partenariats ainsi qu‟une veille technologiques active.

NetworkingCompany a développé une expertise forte dans les domaines de la virtualisation, les infrastructures d‟accès (Application delivery), l‟industrialisation du poste de travail (Itil, Supervision, Télédistribution), les annuaires et la gestion de l‟identité. Reconnu depuis 25 ans comme une entreprise innovante, et avec aujourd‟hui plus de 300 collaborateurs, cette société répond avec flexibilité et efficacité à tous les besoins, qu‟ils émanent de PME ou de grands comptes. Enfin, NetworkingCompany est en partenariat avec de nombreux gros groupes du monde de l‟informatique, tout comme Microsoft, CISCO, HP, Huawei ou encore DELL, pour ne citer que les plus importants.

1.3 Enseignements sur le système informatique de l’organisation :

Organisation de StadiumCompany :

Nombre de serveurs : 9 dont : (web, DHCP, commerce électronique, comptabilité(x3), paie)

Utilisateurs : - 35 dirigeants

- 135 employés - environs 80 intérimaires - équipe A (90 personnes : 4 dirigeants, 12 entraineurs, 14 employé, 60

joueurs) - équipe B - équipe visiteurs - restaurant - fournisseur de concessions - équipe B (4 dirigeants, 8 entraineurs, 12 employé, 40 joueurs) - équipe visiteurs : - fournisseur de concessions 5 employé 2 employé a temps partiel :

intérimaire non défini - restaurant de luxe : 4 dirigent, 2 employé, - 20 loges de luxe - 2 sites distants

Services : DNS, DHCP, web - dirigeants : PC et téléphones connecter à un PABX - personnel et sécurité : 50 téléphones et PC réparti dans le stade - 12 téléphones analogiques répartis dans le stade qui prennent en charges la

télécopie, et d‟autres offrant un accès direct aux services de police et pompier. - locaux connecté par fibre optiques

- équipe A : 15 bureaux dont 5 partagé 24 PC et 28 téléphones dans ces bureaux ; vestiaire 5 téléphone, salon des joueurs : 15 téléphones

- équipe B : 12 bureaux dont 3 partagé, 19 PC et 22 téléphones, vestiaires 5 téléphones, salon des joueurs 15 téléphones

- équipe visiteur : salon et vestiaire doté de 10 téléphones - fournisseur de concession : 2 bureau privée 5 PC et 7 téléphones, 32 stand

permanent non équipé pour le moment. - restaurant de luxe : 4 bureau privé, 6 téléphones + 2 utilisé en salle pour les

réservations - 20 loges de luxe : 20 téléphones - zone de presse : 10 téléphones analogique, 2 ports de données réseaux +

Wireless AP - 2 sites distant : connecter Via VPN (router FAI x3 pour gérer la connexion

StadiumCompany dispose d‟un routeur de périmètre.

Pas d‟information sur les processus, contrats et chartes informatiques.

2 Cahier des charges :

Cette année, vous allez intégrer la division du stade de StadiumCompany. Vous serez chargé de la maintenance des systèmes et réseaux informatiques.

StadiumCompany est composé de plusieurs sites : Site 1 : Stade (hébergement informatique, siège social et centre administratif) Site 2 : Billetterie (vente des billets) Site 3 : Magasin (vente des souvenirs)

Les différentes solutions retenues pour l‟étude du projet d‟un point de vue général de StadiumCompany pourront faire l‟objet de documentations techniques suivant la complexité de la mise en œuvre.

Mission 1 : Vous intégrez le service informatique du centre administratif de stade. Sur ce site sont effectuées toutes les opérations concernant la gestion du personnel, et l‟administration du stade. On y trouve 7 grands services : - Service Administration (170 personnes) - Service Equipes (164 personnes) - Service WiFi (100 personnes) - Service Caméra IP (80 caméras) - Service VIP-Presse (80 personnes) - Service Fournisseurs (44 personnes) - Service Restaurant (14 personnes)

Le réseau de StadiumCompany doit comporter plusieurs périmètres de sécurité

- Adressage réseau et attribution de noms faciles à mettre à niveau : 172.20.0.0/22 - Un système de cloisonnement du réseau devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations rapidement et aisément - Solution permettant l‟interconnexion des différents sites (stade, billetterie et magasin) - Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes. La solution doit se faire avec les équipements réseau CISCO.

Mission 2 : Le StadiumCompany possède le nom de domaine StadiumCompany.com Les principaux serveurs sont hébergés au stade au centre d'hébergement informatique. Selon les cas, certains services sont répliqués sur les sites eux- mêmes. Par exemple, les services d'annuaire Active Directory sont généralement répliqués sur le site de stade.

Le réseau de magasin et le réseau de billetterie sont tous composés de la même manière : - X Postes pour les employés

- Le site de stade dispose d'un service Active Directory, d'un service DHCP, et d'un DNS primaire sur une machine sous Windows 2012 Server. Celle-ci permet aussi le stockage des fichiers utilisateurs. Un serveur RSync et DNS Secondaire sous Linux Debian.

Annuaire du site de stade : Les utilisateurs sont authentifiés via le serveur Active Directory du domaine stadiumcompany.local. Il est configuré en regroupant les utilisateurs par service. Les UO suivantes sont présentes sur le serveur : Admin, WiFi, ……

Chaque UO contient les utilisateurs du service concerné, un groupe d'utilisateurs dont le nom est au format G_xxxx où xxxx=le nom du service, un groupe regroupant les utilisateurs avec pouvoir du service GP_Admin (directeurs et responsables notamment) et une GPO permettant de d'imposer des contraintes d'utilisation et d'habilitations sur les machines du réseau.

Extrait d'une GPO : service équipes → gpo_equipes - L‟accès au panneau de configuration, aux paramètres réseau est interdit - Un script de démarrage Equipesstart.bat permet la connexion des lecteurs réseaux accédant aux dossiers partagés. - Les utilisateurs démarrent avec un bureau imposé (barre de menu, fond d‟écran...) …

Les utilisateurs ont des logins construits sur la base suivante - pnom – p=première lettre du prénom et nom=nom de famille. S‟il y a homonymie un chiffre de 1 à 10 sera ajouté. Chaque utilisateur possède un dossier personnel et un profil centralisé. Une stratégie de complexité des mots de passe est définie au niveau domaine.

DNS :

Les serveurs DNS sont configurés pour résoudre la zone directe stadiumcompany.local et la zone inverse du 172.20.0.x/24 Le serveur primaire est hébergé sur une machine Windows 2012 Server et le DNS secondaire sur une Linux Debian.

DHCP :

Une plage est définie sur le 172.20.0.x/24 avec des options de routeur renvoyant vers la passerelle/pare-feu IPCOP. Les serveurs DNS sont aussi transmis via les options DHCP.

Mission 3 Solution permettant l‟administration à distance sécurisées et la sécurisation des interconnexions · La sécurité du système d‟information devra être renforcée entre les différents sites · Sécurisation des interconnexions entre le site du stade et les sites distants Billetterie et Magasin.

· La solution retenue devra être administrable à distance via un accès sécurisé par SSH

Mission 4 :

Solution permettant la redondance des services, la tolérance de panne et l‟équilibrage des charges des éléments d‟interconnexions de niveau 2 et 3. · La durée de l‟interruption de service doit être minimale · Solution permettant d‟améliorer la continuité de service des services existants en cas de panne de Commutateurs et liaisons d‟accès (FAI) · Agrégation des liens entre les commutateurs et augmentation de la bande passante.

3 Solution :

3.1 Test et comparaison des solutions :

3.1.1 Au niveau de la couche 2 :

3.1.1.1 Etherchannel :

Etherchannel est une technique permettant l‟agrégation de lien. Il est souvent utilisé pour augmenter la bande passante entre deux switchs. Voyons ensemble comment ce protocole fonctionne, puis comment le mettre en place.

Utilité de l’Etherchannel :

Comme nous venons de le dire, l‟Etherchannel consiste en une agrégation de lien. Le principe est simple. Il s‟agit de combiner plusieurs liens pour obtenir un lien virtuel de meilleure capacité. Prenons l‟exemple suivant :

Nous avons ici des switchs avec des ports 100 Mbps. Il y a un lien entre les switchs. Ces derniers pourront donc communiquer à une vitesse de 100 Mbps. Pour bénéficier d‟une meilleure bande passante, nous pouvons faire une agrégation de lien. Nous aurions alors une topologie de ce type :

Bien entendu, sans aucune configuration, Spanning Tree se chargerait de désactiver l‟un des liens. En configurant l‟Etherchannel, les deux switchs ne verront plus qu‟un seul lien virtuel. Ce lien virtuel aura une capacité de 200 Mbps. L‟Etherchannel peut regrouper jusqu‟à 8 liens. Autre avantage de l‟agrégation de lien, la redondance. Si l‟un des liens tombe, les autres seront toujours là pour assurer la connectivité. La bande passante sera simplement réduite.

3.1.1.1.1 Link Aggregation avec EtherChannel :

Un EtherChannel permet d'agréger de 1 à 8 ports physiques, il y a la possibilité de modifier la méthode de load-balancing sur ces ports. Un EtherChannel peut être de niveau 2 ou niveau 3, de protocole standard LACP (Link Aggregation Control Protocol) IEEE 802.3ad, propriétaire Cisco PAgP (Port Aggregation Protocol) ou forcé. Les ports doivent être avoir le même duplex, speed et VLAN information. Attention, en fonction des modèles de switchs/IOS/protocole, un etherchannel sur des ports des switchs différent.

Protocole Mode Description

PAGP

LACP

-

3.1.1.1.2 PAGP – Port Agregation Protocol :

PAgP est un protocole propriétaire Cisco, c‟est-à-dire que contrairement à LACP, qui peut fonctionner sur différents matérielles, PagP lui ne fonctionne que sur des équipements CISCO. Son fonctionnement est assez similaire à celui de LACP.

PAGP est le protocole de négociation propriétaire Cisco. En choisissant ce protocole, il est possible de configurer les ports dans 2 modes différents : On : sert à déclarer une agrégation active Désirable : C‟est un mode qui fait la demande avec le switch d‟en face pour créer l‟agrégation Auto : C‟est un mode qui attend la négociation pour devenir une agrégation. A noter que si nous ne voulons pas utiliser de protocole de négociation, le port devra être mis en mode ON, pour forcer l‟agrégation de lien.

Auto

Ce mode PAgP met l'interface en négociation passive, c'est-à- dire qu'elle répond aux packets PAgP reçus mais n-initialise pas la négociation (défaut).

Desirable Ce mode de PAgP place l'interface en mode active, elle initialisera les négociations en envoyant des packets PAgP.

Passive Ce mode LACP place l'interface en négociation passive (défaut).

Active Ce mode LACP place l'interface en négociation active.

On Ce mode force l'interface en EtherChannel sans négociation, sans PAgP et sans LACP.

Off Désactive l'EtherChannel.

Avec PAGP, si le port est en mode Auto, une agrégation de lien sera créée si le port d‟en face est en mode Desirable. Si le port d‟en face est en mode Auto, aucune agrégation n‟est créée.

Si le port est configuré en mode Desirable, une agrégation sera créée à condition que le port d‟en face soit en mode Auto ou Desirable. Attention, il n‟est pas possible d‟avoir un port en mode ON d‟un côté, et d‟utiliser un protocole de négociation (PAGP ou LACP) de l‟autre côté d‟une agrégation. A partir du moment où nous utilisons le mode ON pour créer une agrégation de lien, aucun protocole de négociation ne sera utilisé. Les ports en face devront donc être en mode ON eux aussi.

3.1.1.1.3 LACP – Link Agregation Control Protocol

LACP est un protocole standardisé par l‟IEEE, c‟est-à-dire que ce protocole est supporté par un grand nombre de constructeur diffèrent. Il permet le contrôle de l‟agrégation de plusieurs liens physiques en un lien logique. Le protocole va échanger des paquets LACP pour s‟assurer que l‟équipement directement connecté est bien configuré pour utiliser LACP, et soit configuré de la même manière (vitesse, mode duplex, etc…).

LACP est un protocole standard (802.3AD) très similaire à PAGP. La seule différence est le nom des modes de port.

Nous retrouvons donc deux modes de ports :

Passive : correspond au mode Auto de PAGP : création d‟une agrégation si le port en face est en Active. Active : correspond au mode Desirable de PAGP : création d‟une agrégation si le port d‟en face est en Passive ou Active.

Il conviendra donc de choisir un protocole de négociation (de préférence LACP car il est standard) puis de choisir le mode des ports. Par sécurité, le mieux est d‟utiliser le mode Desirable (ou Active) des deux côtés.

Il est aussi tout à fait possible de se passer de protocole de négociation, en utilisant le mode ON. Attention, en cas de mauvaise configuration, cela peut parfois mener à des boucles réseau, que même Spanning Trre ne pourra empêcher. Le mode ON est donc à utiliser avec précaution.

3.1.1.2 STP vs RSTP :

3.1.1.2.1 Le Spanning Tree Protocol (STP) :

L'algorithme original de Spanning Tree a été décrit par Radia Perlman alors employée par Digital Equipment Corporation, il est nommé DEC STP. En 1990, l'IEEE publié le premier standard 802.1D basé sur le travail de Perlman. Les ports des commutateurs où STP est actif sont dans l'un des états suivants : Listening : le commutateur « écoute » les BPDU et détermine la topologie réseau.

Learning : le commutateur construit une table faisant correspondre les adresses MAC aux numéros des ports. Forwarding : un port reçoit et envoie des données, opération normale. Blocking : un port provoquant une boucle, aucune donnée n'est envoyée ou reçue mais le port peut passer en mode forwarding si un autre lien tombe. Disabled : désactivé, un administrateur peut manuellement désactiver un port s'il le souhaite.

Le délai de transition entre les modes Listening vers Learning et Learning vers Forwarding est nommé forward delay, il est fixé par le root bridge et vaut 15 secondes par défaut.

Quand un client tel qu'un ordinateur, une imprimante ou un serveur est connecté au réseau, son port se mettra automatiquement d'abord en mode listening puis en mode learning, avant de se mettre en mode forwarding.

3.1.1.2.2 Le Rapid Spanning Tree Protocol (RSTP) :

En 1998, l'IEEE publie le document 802.1w qui accélère la convergence du protocole STP après un changement de topologie. Il est inclus dans standard IEEE 802.1D- 2004. Tandis que le STP classique peut prendre de 30 à 50 secondes pour converger après un changement de topolgie, RSTP est capable de converger en 3 fois la valeur du délai Hello (6 secondes par défaut) États des ports RSTP : Root : le port vers le root bridge. Designated : le port qui transmet les trames sur un segment. Alternate : un port distinct du root port vers le root bridge. Backup : un autre port vers un segment connecté au pont.

Le fonctionnement général de RSTP est semblable à celui du STP classique. Les différences sont les suivantes : -une défaillance du root bridge est détectée en 3 délais hello, c'est-à-dire 6 secondes avec les valeurs par défaut, -les portes qui ne sont pas connectées à d'autres commutateurs (edge ports) peuvent basculer immédiatement dans l'état forwarding. -RSTP continue à observer l'arrivée de BPDU sur ces portes pour s'assurer qu'aucune boucle n'est possible. -Si un BPDU est observé, la porte bascule dans le statut non edge.

-Contrairement au STP classique, RSTP réagit aux annonces BPDU qui proviennent du root bridge. -Un bridge RSTP diffuse son information RSTP sur ses designated ports. -Si un bridge reçoit un BPDU indiquant un meilleur root bridge, il place tous les autres ports dans l'état Discarding et informe ce bridge de ce qu'il est le meilleur chemin vers le root. -En recevant cette information, celui-ci peut faire transiter le port vers ce bridge immédiatement dans l'état Forwarding sans passer par les états Listening et Learning, puisqu'aucune boucle n'est possible. Ceci constitue une amélioration majeure en termes de vitesse de convergence.

-RSTP conserve des informations au sujet d'un chemin alternatif vers le root bridge, ainsi qu'un chemin de Backup vers les segments, ceci permet une transition rapide en cas de problème sur une liaison. -le RSTP est plus ou moins rétro compatible avec le STP, mais une hétérogénéité de cette configuration sur un parc de switch entrainera inévitablement la propagation du fonctionnement en STP classique de l‟ensemble de ces switchs, les switchs STP n‟interprétant pas les BPDUs générées par les switchs opérant le RSTP.

3.1.1.2.3 Différences entre Rapid STP (802.1w) et STP (802.1d) :

STP (802.1d) Rapid STP (802.1w)

En topologie stable seul le root envoie BPDU et relayé par d'autres.

En topologie stable tout ponts génèrent BPDU chaque Hello (2 sec) : utilisés comme "keepalives" mécanisme.

Les États du port

Disable Blocking Listening Learning Forwarding

Discarding (remplace disabled, blocking et listening) Learning Forwarding

Pour éviter battement, il faut 3 secondes pour un port de migrer d'un protocole à l'autre (STP / RSTP) dans un segment mixte.

Les rôles des ports

Root (Forwarding) Designated (Forwarding) Non-Designated (Blocking)

Root (Forwarding) Designated (Forwarding) Alternate (Discarding) Backup (Discarding)

Une configuration supplémentaire pour faire un port de nœud d'extrémité d'un port rapide (en cas d'une BPDU reçue).

- Un port de bord (port de nœud final) est un type de lien intégré, qui dépend du duplex: Point-à- point pour le duplex intégral et partagé en half- duplex).

Changements de topologie et la convergence

Utilise des minuteries pour la convergence (annoncé par le root): Helle (2 sec) Max Age (20 sec = 10 Hello manqués) Forward delay timer (15 sec)

- Présente proposition et processus d'entente pour la synchronisation (<1 sec). - Bonjour, Max Age et Forward delay timer utilisés uniquement pour la compatibilité ascendante avec la norme STP.

Transition lente (de 50sec) : Blocking (20s) => listening (15s) => learning (15s) => forwarding

Une transition plus rapide sur le point-à-point et les ports de pointe seulement : Moins états - Aucun état Learning, ne pas attendre d'être informé par d'autres, au contraire, cherche activement des échecs possibles par

RLQ (Demande lien Query), un mécanisme de rétroaction.

Utilisez seulement 2 bits à partir de l'octet de drapeau

Utilise 6 bits de l'octet de drapeau (de type BPDU 2 / version 2)

Le pont qui découvrent un changement dans le réseau informer le root, qui à son tour informe tous les autres par l'envoi de BPDU avec peu de TCA

TC est inondé par le réseau, tous les ponts générer TC (changement de topologie) et informe ses voisins quand il est au courant d'un changement de topologie et

immédiatement supprimer les anciennes entrées DB.

Si un pont non-root ne reçoit pas de Hello pour 10 * Hello (Annoncé depuis la racine), commence à réclamer le rôle de root en générant son propre Hello.

Attendre 3 * Hello sur un port root (annoncé de la root) avant de décider d'agir.

Attendez jusqu'à ce que TC atteindre le root + temporisateur court (~ délai Forward) expire, puis clignote toutes les entrées de DB root

Supprimer DB immédiatement locale, sauf MAC du port de réception des changements de topologie (proposition)

3.1.2 Au niveau de la couche 3 :

3.1.2.1 Protocole HSRP :

Le protocole HSRP (Hot Standby Routing Protocol) est un protocole propriétaire de continuité de service implémenté dans les routeurs Cisco pour la gestion des “liens de secours”. Le protocole HSRP présente aussi son semblable normalisé qui se nomme VRRP. Celui-ci étant normalisé, il est disponible sur les routeurs d‟autres marques que Cisco. Il permet à partir de deux routeur physique (un en actif et l‟autre en standby) de mettre en place un routeur virtuel afin d‟augmenter la tolérance aux pannes.

3.1.2.1.1 Principe de fonctionnement du protocole HSRP :

Le principe de fonctionnement de HSRP est que tous les routeurs émulent une adresse IP virtuelle qui sera utilisée comme passerelle par défaut par les équipements du réseau. Chacun des routeurs configurera son protocole HSRP avec un niveau de priorité. Celui qui disposera du plus grand se verra élu et sera actif. Les autres seront passifs en attendant la perte du premier routeur. La communication liée au protocole HSRP entre les routeurs se fait par l'envoi de paquets Multicast à l'adresse IP 224.0.0.2 vers le port UDP 1985. Cela permet principalement d'élire le routeur actif et de vérifier sa présence.

Tout ceci se fait par la mise en commun de plusieurs routeurs physiques qui, par un système d‟élection basé sur des priorités attribuées à chacun assurerons la relève

entre eux d‟un routeur à un autre. Plus précisément, la technologie HSRP permettra aux routeurs situés dans un même groupe qu‟on appelle „‟standby group‟‟de former un routeur virtuel qui sera l‟unique passerelle des hôtes du réseau local. En se „‟cachant‟‟ derrière ce routeur virtuel aux yeux des hôtes. Les routeurs assurent qu‟il y est toujours un routeur qui garantisse le trafic pour l‟ensemble du groupe. Un routeur dans ce groupe est élu comme « actif » et ce sera lui qui fera transiter les requêtes du réseau local. Pendant que le routeur actif travail, il envoie également des messages aux autres routeurs indiquant qu‟il est toujours « vivant » et opérationnel. L‟élection se fait un peu comme pour le spanning-tree, en prenant en compte une priorité. Cette priorité est réalisé grâce à la configuration du paramètre “priority” sur le routeur compris entre 1 et 255 (255 étant le plus prioritaire) et de l‟adresse IP de l‟interface (par défaut la priorité est à 100). À priorités égales, la plus haute adresse IP sera élue. Plusieurs groupes HSRP peuvent exister au sein d‟un même routeur sans que cela ne pose problème (depuis l‟IOS 10.3). Seuls les routeurs du même numéro de groupe s‟échangeront les messages HSRP. Si le routeur principal tombe, il sera automatiquement après un temps de décalage de 9 secondes, remplacé par un routeur qui était alors jusque-là en mode « passif » et lui aussi membre du groupe HSRP. Aux yeux des utilisateurs ce changement de passerelle sera totalement invisible car ils auront toujours pour unique passerelle le routeur virtuel que forment les routeurs membres du groupe HSRP.

Schéma d‟un réseau HSRP :

Le routeur virtuel aura donc toujours la même adresse IP et adresse MAC aux yeux des hôtes du réseau même si en réalité il y a un changement du chemin par lequel

transitent les paquets. En réalité, le routeur que voient les utilisateurs est un routeur virtuel composé de plusieurs routeurs qui travaillent via le protocole HSRP. Formant un groupe dans lequel un routeur sera désigné comme étant en mode actif et qui travaillera réellement et les autres se tiendront prêt à prendre la relève si besoin. Ce qui permet une continuité de service si un routeur venait à tomber.

3.1.2.1.2 Avantage de HSRP :

Ø Assure la redondance et la continuité de service Ø Adresse IP virtuel Ø Compatible sur tous les équipements réseau Cisco

3.1.2.1.3 Limite de HSRP :

Ø L‟Authentification des requêtes est envoyée en claire sur le réseau Ø Ne gère pas l‟équilibrage des charges Ø Le trafic des messages hello sont envoyer aux routeurs en multicast (sécurité) Ø Protocole propriétaire de Cisco qui donc ne fonctionne que sur du matériel

Cisco

3.1.2.2 Protocole VRRP :

Virtual Router Redundancy Protocol est un protocole standard dont le but est d'augmenter la disponibilité de la passerelle par défaut des hôtes d'un même réseau.

3.1.2.2.1 Principe de fonctionnement VRRP :

Le principe est de définir la passerelle par défaut pour les hôtes du réseau comme étant une adresse IP virtuelle référençant un groupe de routeurs. VRRP est comme HSRP un protocole qui fournit une solution de continuité de service pour la redondance de passerelles par défaut. Pour chaque réseau, les interfaces des routeurs seront associées à un groupe VRRP (le même n° de groupe pour toutes les interfaces qui doivent assurer le même rôle). A ce groupe on associe une adresse IP virtuelle. La redondance est mise en place par le biais du protocole ARP. Lorsque l‟hôte doit envoyer une trame à sa passerelle, il émet une requête ARP et celle-ci répond en fournissant son adresse MAC.

Dans le cas de VRRP, les routeurs vont associer une adresse MAC particulière à l‟adresse IP virtuelle sous la forme 00:00:5E:00:01:XX (où XX est le n° du groupe VRRP). Pour l‟hôte, ce sera cette adresse MAC qui identifiera sa passerelle. De leur côté les routeurs dialoguent par multicast à l‟adresse (224.0.0.18) afin d‟élire quel routeur devra se charger de traiter la trame destinée à l‟adresse MAC VRRP. Cette adresse MAC virtuel est associé à un des routeurs du groupe grâce à un système d‟élection basé sur la priorité un routeur avec la priorité la plus forte ce voit élire routeur maitre et les autres routeurs comme routeur backup. Schéma d‟un réseau VRRP :

3.1.2.2.2 Avantage VRRP : Ø Assure la redondance et la continuité de service Ø Standardisé donc compatible avec n‟importe quel équipement réseau Ø Rapidité de réactivité du routeur backup inférieur à 4 secondes Ø Adresse IP et Mac virtuelle

3.1.2.2.3 Inconvénient VRRP :

Ø Authentification par mot de passe en claire sur le réseau Ø Adresse Mac virtuel unique

3.1.2.3 Protocole GLBP :

Gateway Load Balancing Protocol est un protocole propriétaire Cisco permettant de mettre en place de la redondance et de la répartition de charge sur plusieurs routeurs en utilisant une seule adresse IP virtuelle, associée à plusieurs adresses MAC virtuelles. GLBP utilise l'adresse IP multicast 224.0.0.102 pour l'envoi des paquets Hello et le numéro de port UDP 3222.

3.1.2.3.1 Principe de fonctionnement de GLBP :

Le protocole HSRP est très utile mais ne permet pas la mise en place de Load- Balancing entre les routeurs membres du groupe HSRP. Si un routeur est choisi comme routeur “maitre” vers lequel tous les paquets vont transiter tant qu‟il sera

opérationnel, les autres routeurs “passifs” sont eux totalement inutiles tant qu‟il n‟y a pas de panne sur le routeur maitre.

Avec le protocole GLBP qui reprend le principe de continuité de service (Tolérance aux pannes), il y a également une notion de Répartition de charge. Les routeurs membres du groupe virtuel vont se répartir le traitement des paquets et leur routage afin d‟alléger la charge de chacun tout en assurant une continuité du service sur la même IP si un des routeurs du groupe vient à tomber sa charge sera répartie sur les autres routeurs disponible. Cela permet d‟utiliser la totalité des ressources disponibles plutôt que d‟en laisser une partie en mode standby.

Le principe d‟élection des routeurs est légèrement différent de HSRP et VRRP dans la mesure ou GLBP n‟élu pas un routeur actif mais un AVG (active virtual gateway ou passerelle active virtuelle) et des AVF (Active Virtual Forwarder). Le routeur avec la priorité la plus forte ou l‟adresse IP la plus forte du groupe prendra le statut de « AVG ». Ce routeur va intercepter toutes les requêtes ARP effectuées par les clients pour avoir l‟adresse MAC de la passerelle par défaut, et grâce à l‟algorithme d‟équilibrage de charge précédemment configuré (généralement l‟algorithme Round Robin), il va renvoyer l‟adresse MAC virtuelle d‟un des routeurs du groupe GLBP.

C‟est aussi le routeur AVG qui va attribuer les adresses MAC virtuelles aux routeurs du groupe, Ainsi ils ont le statut « AVF ». Un maximum de 4 adresses MAC virtuelle est défini par groupe, les autres routeurs ayant des rôles de backup en cas de défaillance des AVF. Les routeurs communiquent entre eux par multicast (224.0.0.102) en s‟échangeant des messages HELLO. Si l‟un d‟eux manque à l‟appel il disparaît de la rotation au niveau des réponses ARP et si c‟est l‟AVG qui disparaît, c‟est l‟AVF avec la plus grande priorité qui prendra sa place. Avec GLBP les requêtes d‟authentification son crypté, il y a trois type

d‟authentification : Authentification par mot de passe

Authentification par key-string (activer le chiffrement mdp sur chaque routeur) Authentification par key-chain (activer le chiffrement mdp sur chaque routeur)

Schéma d‟un réseau GLBP :

3.1.2.3.2 Avantage GLBP :

Ø Assure la redondance et la continuité de service Ø Assure la répartition des charges (load balancing) Ø Adresse IP virtuelle Ø Jusqu‟à 4 adresses Mac virtuelle possible par groupe GLBP Ø Requête d‟authentification cryptée

3.1.2.3.3 Inconvénient GLBP :

Ø Protocole propriétaire Cisco donc compatible que pour les équipements Cisco

3.2 Choix de solutions :

3.2.1 Couche 2 :

Nous déploierons le protocole STP ainsi que le PAGP.

3.2.2 Couche 3 :

Nous mettrons en place HSRP

4 Projet :

4.1 Objectifs et but du projet :

Mise en place de la redondance des services, la tolérance de panne et l‟équilibrage des charges des éléments d‟interconnexions de niveau 2 et 3

4.2 Planning :

4.2.1 Configuration du STP :

4.2.1.1 Configuration du Switch SW1

4.2.1.2 Implémentation du protocole spanning-tree

Activation du spanning-tree sur l‟ensemble des vlan :

Vérification du spanning-tree sur le switch :

Vérification physique sur la configuration de la mise en route du spanning-tree.

On remarque qu‟après un certain délai (50 seconde) le port fa 0/2 a été bloqué par l‟activation du protocole spanning-tree.

4.2.2 Configuration Etherchannel :

Le but final de la mise en place du protocole Etherchannel est d‟arrivé à avoir toute les interfaces active afin d‟activer l‟agrégation de lien comme ceci :

Mais avant l‟activation du protocole Etherchannel seul le mode STP est activer et l‟agrégation de lien n‟est pas mis en place comme on peut le constater ci-dessous :

4.2.2.1 Implémentation du protocole Etherchannel sur le Switch COMM1 :

Mise en place d’un groupe Etherchannel pour chaque vlan

4.2.2.2 Vérification de la création des différents groupes Etherchannel :

4.2.2.3 Implémentation du protocole Etherchannel sur le Switch COMM2 :

Mise en place d’un groupe Etherchannel pour chaque vlan

4.2.2.4 Vérification de la création des différents groupes Etherchannel :

Une fois le protocole Etherchannel activer sur les deux switchs on peut constater que l‟agrégation de lien à bien eu lieu en observant les voyant lumineux sur les switch qui indique que tous les liens sont bien UP et qu‟il n‟y a aucun blocage de port :

4.2.3 Configuration GLBP :

4.2.3.1 Configuration du R-Stade :

4.2.3.1.1 Implémentation du protocole GLBP :

Sous interface du vlan 10

Sous interface du vlan 20

Sous interface du vlan 30

Sous interface du vlan 40

Sous interface du vlan 50

Sous interface du vlan 100

Sous interface du vlan 200

4.2.3.1.2 Mise en place des access-list

Activation des access-list

4.2.3.2 Configuration du R-1

4.2.3.2.1 Implémentation du protocole GLBP

4.2.3.2.2 Mise en place des access-list

Activation des access-list

4.2.3.2.3 Test avec un client Windows :

5 Conclusion :

Nous avons mis en place des solutions permettants la redondance des services, la tolérance de panne et l‟équilibrage des charges des éléments d‟interconnexions de niveau 2 et 3. · La durée de l‟interruption de service doit être minimale · Solution permettant d‟améliorer la continuité de service des services existants en cas de panne de Commutateurs et liaisons d‟accès (FAI) · Agrégation des liens entre les commutateurs et augmentation de la bande passante.

Compétences validées :

A.1.1.1 Analyse du cahier des charges d'un service à produire A.1.2.1 Élaboration et présentation d'un dossier de choix de solution technique A.1.2.2 Rédaction des spécifications techniques de la solution retenue (adaptation d'une solution existante ou réalisation d'une nouvelle solution A.1.2.3 Évaluation des risques liés à l'utilisation d'un service A.1.2.4 Détermination des tests nécessaires à la validation d'un service A.1.3.1 Test d'intégration et d'acceptation d'un service A.1.3.4 Déploiement d'un service A.1.4.1 Participation à un projet A.3.1.1 Proposition d'une solution d'infrastructure A.3.1.2 Maquettage et prototypage d'une solution d'infrastructure A.3.1.3 Prise en compte du niveau de sécurité nécessaire à une infrastructure A.3.2.1 Installation et configuration d'éléments d'infrastructure

A.3.3.1 Administration sur site ou à distance des éléments d'un réseau, de serveurs, de services et d'équipements terminaux A.4.1.9 Rédaction d'une documentation technique A.5.1.2 Recueil d'informations sur une configuration et ses éléments A.5.1.5 Évaluation d'un élément de configuration ou d'une configuration A.5.2.1 Exploitation des référentiels, normes et standards adoptés par le prestataire informatique A.5.2.2 Veille technologique A.5.2.4 Étude d‟une technologie, d'un composant, d'un outil ou d'une méthode

6 Annexes :

6.1 Running-configuration du routeur R-Stade

6.2 Running-configuration du routeur R-1

6.3 Running-configuration du Switch

6.4 Running-configuration des switchs :