Configuration avancée du Frame Relay

Partie 1:

Vous allez créer la topologie suivante sous GNS3:

1) Commencer par configurer le commutateur Frame Relay avant de câbler les routeurs au commutateur sur les interfaces spécifiées sur la figure, sachant qu'il existe :

- un premier circuit virtuel permanent pvc entre le routeur SiteCentral et le routeur Agence1,

port source : port 1 de FR / DLCI =16      port destination : port 2 de FR / DLCI =16

- un deuxième circuit virtuel permanent pvc entre le routeur SiteCentral et le routeur Agence2,

port source : port 1 de FR / DLCI =17      port destination : port 3 de FR / DLCI =16

2) Sur les routeurs, configurer :

- le hostname

- les adresses des interfaces FastEthernet et série

- l'encapsulation Frame-Relay sur les interfaces du WAN Frame Relay

3) Routage statique:

Routes sur SiteCentral:

Le routeur SiteCentral doit pouvoir transférer des paquets destinés au LAN de Agence1 soit par s0/0, soit par s1/0 en passant par le commutateur FR. Mais une seule route doit être opérationnelle, celle qui passe par le commutateur.

a- Pour cela, rajouter une métrique égale à 50 (distance administrative, DA) à la fin de la commande "ip route..." pour la route qui traverse le WAN 172.30.1.0/30 afin qu'elle soit la moins préférée. En fait, une route statique possède par défaut une distance égale à 1. Plus la DA est grande, moins la route est préférée.

b- Créer une route vers le LAN de Agence2.

c- Vérifier par "show ip route" et "show running-config" que les routes existent bien.

Routes sur Agence1:

Créer deux routes statiques à destination du LAN du SiteCentral, celle qui passe par la WAN 172.30.1.0/30 sera la moins préférée (rajouter 50 comme métrique à cette route).

Vérifier leur existence.

Routes sur Agence2:

Créer une route statique à destination du LAN du SiteCentral et vérifier qu'elle a été rajoutée correctement.

4) Configurer les machines hôtes .

Hôte	@IP	Préfixe réseau	Passerelle par défaut
C1	192.168.1.10	/24	192.168.1.254
C2	192.168.3.10	/24	192.168.3.254
C3	192.168.4.10	/24	192.168.4.254

Test de connectivité:

·         ping de C3 à C2

·         ping de C1 à C2

5) Sur Agence1, désactiver s0/1.

6) Faire "show ip route" sur Agence1, quelle est à présent la route opérationnelle vers 192.168.1.0/24?

7) Sur SiteCentral, quel est l'état de s0/1?

Sur quelle route va-t-il continuer à envoyer les données vers 192.168.3.0/24?

Envoyer un ping depuis C2 vers C1. Que se passe-t-il?

Partie 2: Solution au problème de routage

Dans ce qui suit, l'objectif est de séparer l'interface physique de la configuration des circuits virtuels.

La solution consiste à créer des "sous-interfaces" Frame Relay au niveau de l'interface s0/1 du routeur SiteCentral. C'est comme si on va éclater l'interface physique s0/1 en d'autres interfaces, soit une interface (dite sous-interface) par pvc donc par DLCI configuré sur la liaison avec le commutateur FR.

Pour une meilleure maintenance des pvc, on vous invite à nommer une sous-interface comme suit:

nom_interface_physique.dlci

Dans notre cas, on a deux pvc, donc on créera 2 sous-interfaces : s1/0.16 et s1/0.17.

On doit spécifier le type de la sous-interface, point-to-point ou point-to-multipoint.

Vu qu'on va simuler le fonctionnement d'une LS pour un pvc, on choisira point-to-point.

Chaque sous-interface sera configurée avec une adresse IP comme si elle était sur un réseau IP à part!

Pour chaque sous-interface, on doit spécifier le dlci, ce n'est pas optionnel. En fait, l'inverse-arp ne fonctionne pas dans le cas des sous-interfaces.

1) Sur le routeur SiteCentral et en mode de configuration globale, faire:

SiteCentral(config)#int s1/0

SiteCentral(config-if)#no ip address

SiteCentral(config-if)#logging event subif-link-status

SiteCentral(config-if)#exit

/*garder l'encapsulation frame-relay */

SiteCentral(config)#int s1/0.16 point-to-point

SiteCentral(config-subif)#description PVC-avec-agence1

SiteCentral(config-subif)#ip address 192.168.2.1 255.255.255.252

SiteCentral(config-subif)#frame-relay   interface-dlci   16

SiteCentral(config-fr-dlci)#exit

SiteCentral(config-subif)#no shutdown

SiteCentral(config-subif)#exit

SiteCentral(config)#int s1/0.17 point-to-point

SiteCentral(config-subif)#description PVC-avec-agence2

SiteCentral(config-subif)#ip address 192.168.2.5 255.255.255.252

SiteCentral(config-subif)#frame-relay   interface-dlci   17

SiteCentral(config-fr-dlci)#exit

SiteCentral(config-subif)#no shutdown

SiteCentral(config-subif)#exit

2) Modifier l'adresse de s1/0 de Agence2 à 192.168.2.6/30

3) Modifier les routes statiques sur SiteCentral et Agence2 afin de tenir compte des nouvelles @ attribuées aux sous-interfaces.

4) Sur Agence1, activer s1/0.

Test de connectivité:

·         ping de C2 à C3

·         ping de C2 à C1

5) Sur Agence1, désactiver s1/0.

6) Faire "show ip route" sur Agence1, quelle est à présent la route opérationnelle vers 192.168.1.0/24?

7) Sur SiteCentral, quel est l'état de s1/0? quel est l'état de s1/0.16?

Sur quelle route SiteCentral  va-t-il envoyer les données vers 192.168.3.0/24?

Test de connectivité:

·         ping de C2 à C1

·         vérifier par la commande trace 

CONFIGURATION DE BASE FRAME RELAY

1-       Utiliser GNS3 pour réaliser la topologie ci-dessus.

2-      Configure l’encapsulation Frame Relay dans les interfaces séries. Activer les interfaces

Siege(config)#INT S1/0 Siege(config-if)#encapsulation frame-relay Siege(config-if)#no shutdown

Même chose pour les routeurs Agence 1 et Agence 2

3-      Interpréter ” show  frame-relay pvc”  et “ show interface serial1/0”

1-       Analyser AVEC WIRESHARK le traffic entre le routeur du siege (DTE) et le Switch Fr1(DCE)

1-       Configurer les adresses IP sous les interfaces séries (utiliser la plage 192.168.2.0/29)

2-      Interpréter « show frame Relay map »

7- Analyser à partir de wireshark les messages  inverse ARP à partir de l’interface S1/0 du siège

Le protocole de résolution d’adresse inverse (ARP inverse) permet aux extrémités distantes d’une liaison Frame Relay de se découvrir de manière dynamique et offre une méthode dynamique de mappage d’adresses IP avec des DLCI

a)Requête Inverse ARP envoyé sur la circuit virtuel (DLCI16) pour faire le mappage de la DLCI 16 avec l’adresse IP

b) Réponse inverse ARP permettant de récupérer l’adresse logique correspondante  à la DLCI 16 (192.168.2.2)

8-      Tester la communication entre les routeurs

Analyse Wireshark  requête/réponse d’écho

À quoi sert de mapper une adresse IP avec un DCLI ? ………………………………………………………………………………………

8-      Configurer les adresses IP des interfaces LAN des routeurs

9-      Ajouter des routes statiques nécessaires pour la communication entre tous les lans, vérifier par le teste ping.

10-   Configurer un mappage statique au lieu du mappage dynamique

Malgré l’utilité du protocole ARP inverse, il n'est pas toujours fiable. La meilleure pratique consiste à mapper les adresses IP avec les DLCI, de manière statique

a)       Désactiver l’ARP inverse

b)      Effacement du mappage dynamique enregistrer dans la table inverse arp

§  Vérifier la communication entre les routeurs

c)       Ajouter le mappage statique

Le mot clé broadcast de la commande ci-après envoie le trafic multidiffusion ou de diffusion destiné à cette liaison sur le DLCI. La plupart des protocoles de routage nécessitent le mot clé broadcast pour fonctionner correctement sur Frame Relay. Vous pouvez utiliser le mot clé broadcast pour plusieurs DLCI sur la même interface. Le trafic est alors répliqué sur l’ensemble des PVC.

Le DLCI est-il mappé avec l’adresse IP locale ou avec celle de l’autre extrémité du PVC ? _____________________________________________________________________________

d)      Vérification du mappage statique

                             

TP Configuration Tunnel IPSEC

Rappels

Ø  IPSec est un standard de l'IETF qui emploie des mécanismes de chiffrement de niveau 3 (réseau) afin d'assurer :

• l'authentification (signature)
• la confidentialité (chiffrement) et
• l'intégrité des données (hashage)

Ø  Il existe 2 modes de fonctionnement pour IPSec:

• mode tunnel = dans ce cas on ajoute à la fois les entêtes ESP/AH mais aussi une nouvelle entête IP
• mode transport =seule l'entête ESP/AH est ajoutée ; les adresses IPs sont conservées intactes et non chiffrées

Ø  Internet Key Exchange permet la négociation des paramètres de sécurité et l'établissement des clés authentifiées ; il utilise udp/500.

Ø  Lors de la négociation, le peer qui initie l'IKE envoie ses paramètres de sécurité et la machine d'en face doit chercher un matche parmi les siens. Il choisit par ordre de priorité les paramètres communs pour le chiffrement, le hash, l'authentification et les paramètres Diffie-Hellman.

• Diffie-Hellman : protocole de génération de clé partagée. Il ne permet pas de vérifier l'identité de chaque paire, donc il est vulnérable à une attaque de type man-in-the-middle.
• ESP (Encapsulating Security Payload) permet le chiffrement, l'authentification et l'intégrité des données ; IP proto n°50
• AH (Authentication Header) est un mécanisme d'authentification et d'intégrité des données ; IP proto n°51

Ø  Un tunnel IPSEC se monte en deux phase, appelées phases IKE:

• phase 1 : permet d’établir une session ISAKMP, qui va utiliser le protocole Diffie Hellman pour échanger une clé qui va servir à chiffrer les données transitant par ce tunnel ISAKMP.
• phase 2 : permet d’utiliser le tunnel ISAKMP afin d’échanger de manière sécurisée les paramètres pour le tunnel IPSEC.

Mode Tunnel

1) Configurer le protocole de routage EIGRP sur les routeurs R1 et R3

2) Configuration ISAKMP ( phase 1 )

Pour configurer ISAKMP, utiliser les commandes suivantes:

!activer ISAKMP

R1(config)#crypto isakmp enable

!Créer une politique ISAKMP: Plus petit est le nombre,

!plus prioritaire est la politique

!Il faut que les deux paires aient une politique avec les même paramètres

R1(config)#crypto isakmp policy 100

R1(config-isakmp)#authentication pre-share

R1(config-isakmp)#exit

!Renseigner le mot de passe pour la session ISAKMP pour le pair distant

R1(config)#crypto isakmp key 6 isakmpPassword address 44.0.0.6

3) Effectuer la même chose sur R2 (en remplaçant l’ip dans la commande crypto isakmp key)

4) Configuration IPSEC ( phase 2 )

Trois étapes:

·         Création d’un transform set, indiquant les protocoles de sécurité à utiliser: AH Pour l’authentification, ESP pour le cryptage et/ou l’authentification. On peut utiliser AH, AH+ ESP ou ESP seulement.

·         Création d’une access-list identifiant le trafic à chiffrer. Le trafic permis pas cette ACL sera chiffré dans le tunnel IPSEC, le reste non…

·         Création d’une crypto-map spécifiant le pair distant, le transform set, et l’access list.

Commandes Sur R1:

!Définition d'un transform set sans chiffrement

R1(config)# crypto ipsec transform-set IPSECSET ah-md5-hmac esp-3des

R1(cfg-crypto-trans)#tunnel mode

R1(cfg-crypto-trans)#exit

!Creation de l'ACL

R1(config)# ip access-list extended cryptoacl

!uniquement le traffic entre mes 2 sites, à adapter selon ce qu'on veut chiffrer

R1(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.3.0 0.0.0.255

R1(config-ext-nacl)#exit

!creation d'une crypto map pour ipsec + isakmp.

!Le numero 1 permets d'avoir plusieurs paramètes dans une même crypto map

!Cela permet d'avoir par exemple plusieurs tunnels depuis une interface car

!on ne peut avoir plus d'une crypto map par interface

R1(config)# crypto map ipsecmap 1 ipsec-isakmp

R1(config-crypto-map)# set peer 44.0.0.6

R1(config-crypto-map)# set transform-set IPSECSET

R1(config-crypto-map)# match address cryptoacl

R1(config-crypto-map)#exit

R1(config)#int S1/0

!application de la crypto map

R1(config-if)# crypto map ipsecmap

R1(config-if)#exit

5) Même chose sur R2 en changeant l’adresse IP du peer, et en permutant les adresses source et destination dans l'ACL

6) Faire un PING entre R1 et R2, en ayant bien les adresses sources des réseaux 192.168.1.0, le trafic va être sécurisé via IPSEC (utilisation de AH).

7) A faire aussi sur R2

8) Faire une capture du trafic. faire un ping et décrie la nouvelle encapsulation.