Introduction
Dans cette article nous allons présenter la conception et l‟implémentation de l‟architecture réseau. On commence par une présentation générale de la maquette de l‟architecture du projet, puis on va présenter les différentes étapes pour la configuration et le déploiement de l'architecture réseaux, Enfin on va évoquer les étapes afin d‟intégrer une solution d'accès distant VPN permettant aux employés de la société un accès permanent aux ressources de la société d‟une manière sécurisée quel que soit leurs emplacements.
1 Environnement:
Ce paragraphe décrit l'environnement matériel mis à la disposition du présent projet ainsi que l'environnement logiciel qui nous a permis de le réaliser.
- Environnement matériel
Pour la réalisation de notre projet on a besoin de 2 machines:
- Environnement logiciel
Outil de Simulation : GNS 3
GNS3 (Graphical Network Simulator) est un simulateur de réseau graphique qui permet l‟émulation des réseaux complexes. GNS3 permet le même type d‟émulation à l‟aide de Cisco Inter network Operating Systems. Il vous permet d‟exécuter un IOS Cisco dans un environnement virtuel sur votre ordinateur. GNS3 est une interface graphique pour un produit appelé Dynagen. Dynamips est le programme de base qui permet l‟émulation d‟IOS. Dynagen s‟exécute au-dessus de Dynamips pour créer un environnement plus convivial.
Outil de virtualisation : Virtual Box
Il permet aux utilisateurs de créer plusieurs machines virtuelles (VM) et de les utiliser simultanément avec la machine réelle.
Chaque machine virtuelle peut exécuter son propre système d‟exploitation, comme Microsoft Windows, Linux ou variantes BSD. En tant que tel, Virtual Box permet à une machine physique d‟exécuter plusieurs systèmes d‟exploitation simultanément.
Système d'exploitation utilisé:
- Windows server 2008 32 bits
- Windows 7 32 bits
- Windows XP sp2 32 bits
- Ubuntu server 12.04 32bits
- Cent OS 6.3 32 bits
- pfSense 2.1
- Freenas 9.2.1.5 32 bits
- Elastix 2.6 32bits
2 Présentation de la maquette de l’architecture
La maquette de notre projet représente l‟interconnexion des sites de la société à travers un Backbone MPLS. Ces deux sites (Site1 et Site2) se connectent au Backbone MPLS via deux types de technologie WAN à fin d‟assurer la haute disponibilité des liaisons. La liaison principale utilise une fibre optique tant que la liaison de backup utilise le Backbone Frame Relay. Chaque site contient un Pare-feu afin de le délimiter en trois zones :
- Une zone DMZ au niveau de laquelle on trouve les serveurs d‟entreprise privés (serveur voip, serveur annuaire, serveur streaming, serveur de stockage, serveur de sauvegarde et serveur de supervision) et les serveurs d‟entreprise public (serveur DNS et serveur de messagerie). Ces différents services fonctionnent aussi bien en IPv4 et en IPv6 et ils sont distribués sur les deux sites.
- Une zone LAN qui fonctionne en IPv4 et qui contient les machines IPv4.
- Une zone LAN2 fonctionnant en IPv6.
Nous avons aussi configuré une simulation d‟un réseau internet fonctionnant en ipv4 et ipv6
dans laquelle nous avons :
- Une zone d‟hébergement (zone d‟hebergement globalnet) fonctionnant en ipv4 et ipv6 au niveau de laquelle on a mis en place un serveur de messagerie et un serveur DNS
- Configurer deux réseaux d‟internautes l‟un fonctionne en ipv4 et l‟autre en ipv6
Au niveau des pare-feu qui se trouvent dans les sites, nous avons intégré un serveur VPN et nous avons réussi à travers les stations des internautes à se connecter en VPN (accès VPN distant) aux ressources privées (serveurs d‟entreprise) de la société AlliaCom.
3 Schéma d’adressages de l’architecture
Les tableaux ci-dessous regroupent les adresses des différents équipements
3.1 Adressage du Backbone MPLS
3.2 Adressage du Site1
3.3 Adressage Site2
3.4 Adressage du backbone internet
3.5 Nom du domaine
3.6 Adressage des Serveurs
4 Les étapes de la configuration de l’architecture
4.1 Configuration du Backbone MPLS/VPN
Le backbone MPLS est représenté par 11 routeurs Cisco désignés par 3 routeurs Provider Edge (PE1 , PE2 et PEGateway) et 8 routeurs Provider.
Afin de mettre en place la maquette du backbone MPLS nous allons configurer :
- Le protocole OSPF au niveau des routeurs du Backbone MPLS ;
- Le mécanisme MPLS dans les routeurs du backbone MPLS ;
- Les VRF au niveau des routeurs du Backbone MPLS ;
- Le protocole MP-iBGP entre PE1 et PE2, entre PE1 et PE Gateway et entre PE2 et PE Gateway ;
4.1.1 Configuration du protocole OSPF au niveau du Backbone MPLS
Le protocole OSPF est configuré au niveau des routeurs PE et P, pour chaque routeur il faut déclarer les réseaux voisins du backbone MPLS.
Ci-dessous un exemple de configuration pour le routeur PE :
4.1.2 Vérification des routes OSPF
La figure ci-dessous représente la table du routage du routeur IPv4 de PE1, en utilisant la commande « show ip route ». La lettre O définit les routes découvertes par le protocole OSPF.
Vérification des routes OSPF
4.1.3 Configuration du mécanisme MPLS
MPLS est configuré au niveau de tous les routeurs du backbone MPLS. Nous commençons par l‟activation de MPLS sur chaque interface puis par l‟activation du protocole d‟échange de label LDP.
Ci-dessous un exemple de configuration pour le routeur PE1
4.1.4 Vérification des interfaces des voisins LDP et MPLS
La commande « show mpls ldp neighbor »permet de visualiser les voisins.
Vérification des interfaces des voisins LDP et MPLS
La commande show mpls forwarding-table permet de visualiser la table de forwarding du MPLS (TFIB).
Vérification de la table TFIB
4.1.5 Implémentation du Traffic Engineering
Nous avons configuré la technologie d‟ingénierie de trafic au niveau du backbone MPLS, c‟est un ensemble de fonction permettant de contrôler l‟acheminement du trafic dans le réseau afin d‟optimiser l‟utilisation des ressources et de réduire les risques de congestion.
Implémentation du traffic Engineering
4.1.6 Configuration des tunnels
Nous avons Configuré trois tunnels explicites au niveau du routeur PE1 vers le routeur PE2 du Site d'AlliaCom.
L‟exemple ci-dessous décrit la configuration d‟un tunnel explicite au niveau du routeur PE1.
4.1.7 Vérification de l’établissement des tunnels :
La commande « show mpls traffic-eng tunnels brief » permet de visualiser la liste des tunnels créés.
4.1.8 Configuration des VRFs (Virtual Routing and Forwarding)
Les VRFs sont configurés au niveau des routeurs PE afin d‟isoler le trafic entre les sites clients. Grâce à la notion de VRF le routeur PE peut gérer plusieurs tables de routage.
Ci-dessous la configuration des VRFs sur PE1.
Nous avons configuré de la même manière deux VRFs intitulés CUST et CUST2 au niveau du routeur PE2 important les routes VPN de l‟autre site et de la PEgateway, et un VRF intitulé ISP au niveau du routeur PEGateway export toutes les routes VPN des deux clientx .
La commande « show vrf » permet de visualiser les VRFs configurés au niveau des PEs
4.1.9 Configuration du protocole OSPF et OSPFv3 entre CE1 et PE1
Nous avons activé les protocoles OSPF et OSPFv3 au niveau du routeur client CE1 et au niveau de PE1 vrf CUST.
L‟exemple ci-dessous montre une configuration du routeur CE1 en ipv4 :
Alors que l‟exemple suivant montre une configuration du routeur CE1 en ipv6 :
L‟exemple suivant montre une configuration du routeur PE1 en ipv4 :
Alors que l‟exemple ci-dessous montre une configuration du routeur PE1 en ipv6 :
4.1.10 Vérification des routes OSPF et des routes OSPF3
La commande « show ip route vrf CUST » permet d‟afficher la table de routage ipv4 du VRF CUST au niveau du routeur PE1.
Vérification des routes OSPF
La commande « show ipv6 route vrf CUST » permet d‟afficher la table de routage ipv6 de VRF CUST au niveau du routeur PE1.
4.1.11 Configuration de la technologie WAN de backup Frame Relay
Nous avons configuré la technologie Frame-Relay comme une liaison de backup au cas où la liaison entre le routeur PE1 et le routeur CE1 tombe en panne.
- Configuration d’un mappage statique
Malgré l‟utilité du protocole ARP inverse, il n‟est pas toujours fiable. La meilleure pratique consiste à mapper les adresses IP avec les DLCI, de manière statique
Nous décrivons ci-dessous une configuration du mappage statique au niveau des routeurs PE1 et CE2 en ipv4 :
Ainsi qu‟une configuration du mappage statique au niveau des routeurs PE1 et CE2 en ipv6
4.1.12Vérification du mappage statique
La commande « show frame-relay map » permet de vérifier le mappage statique
4.1.13 Configuration du protocole EIGRP et EIGRP v6 entre CE2 et PE1
Nous avons configuré les protocoles EIGRP et EIGRP v6 au niveau de CE2 et de PE1 VRF CUS2. Afin d‟échanger les routes ipv4 et ipv6.
Nous décrivons ci-dessous un exemple d'une configuration du routeur CE2 en ipv4 :
Ainsi qu‟un exemple d‟une configuration du routeur CE2 en ipv6 :
Comme le routeur PE1 a une configuration propre à la notion de VRF, nous avons configuré les protocoles EIGRP et EIGRP v6 dessus afin qu‟il accepte les routes de CE2 puis il les convertit en route VPN
Nous décrivons ci-dessous un exemple d‟une configuration du routeur PE1 en ipv4
Ainsi la configuration du routeur PE1 en ipv6 :
4.1.14 Vérification des routes EIGRP et EIGRP6
La commande « show ip route vrf CUST2 » permet d‟afficher la table de routage de VRF CUST2 du routeur PE1 en ipv4. Nous précisons que les lettres D et D EX précèdent les routes découvertes par le protocole EIGRP.
La commande « show ipV6 route vrf CUST2 » permet d‟afficher la table de routage de VRF CUST2 du routeur PE1 en ipv6.
4.1.15 Configuration du protocole RIP et RIPng
Nous avons activé les protocoles Rip version 2 et RIPng entre CE1 et CE2 afin d‟échanger entre eux les routes ipv4 et ipv6
L‟exemple ci-dessous détaille les étapes d‟activation du protocole RIP au niveau des routeurs CE1 et CE2.
4.1.16 Vérification des routes RIP et RIPng
La commande « show ip route» permet d‟afficher la table de routage des routeurs clients CE1 et CE2 en ipv4.
La capture d‟écran ci-dessous montre la table de routage RIP de CE2 en ipv4 :
La commande « show ipv6 route» permet d‟afficher la table de routage des routeurs clients CE1 et CE2 en ipv6. Nous précisons que les Lettres R précèdent les routes découvertes par le protocole RIPng.
La capture d‟écran ci-dessous montre la table de routage RIPng de CE2 en ipv6
4.1.17 Configuration du protocole BGP (Border Gateway Protocol)
La configuration de ce protocole sera faite au niveau des trois routeurs du Backbone MPLS en ipv4 et en ipv6 : PE1, PE2, PEGateway.
Un exemple de configuration pour le routeur PE1 est décrit ci-dessous.
4.1.18 Vérification des routes BGP
La commande « show ip route vrf CUST » permet d‟afficher la table de routage ipv4 de la VRF CUST1 du routeur PE1. Nous précisons que la lettre B précède les routes VPN du site 2 envoyé par le protocole MP-BGP
La commande « show ipv6 route vrf CUST » permet d‟afficher la table de routage ipv6 de la VRF CUST1 du routeur PE1.
4.1.19 Test du backup Frame Relay
- Avant rupture de la connexion fibre optique
Lorsque la liaison fibre optique est fonctionnelle entre les routeurs PE2 et CE3 le routeur client CE4 du Site2 connait bien les réseaux du Site1 et le route par défaut vers l‟Internet à travers les mises à jour RIP en IPv4 et RIPng en IPv6 comme le montrent les figures ci-après:
Table de routage de la CE2 en IPv4
Table de routage IPv6 du CE2
D‟après ces deux tables de routages, on remarque que le chemin principal pour transmettre l‟information vers un des réseaux du site 1 est à travers la fibre optique, c‟est à dire si je vais envoyer une trame du site2 vers n‟importe quelle adresse appartenant au site 1, le chemin principal sera à travers la liaison fibre optique (connexion entre CE3 et PE2). La liaison à travers le backbone frame relay n‟est pas utilisée pour la transmission vu que la distance administrative de l‟OSPF (AD=110) est inférieure à la distance administrative du protocole rip (AD=120) et que la distance administrative du rip (AD=120) est supérieure à la distance administrative d‟une route externe EIGRP (AD=170).
Si on désactive la connexion fibre optique, le chemin principal de la transmission serait à travers le backbone Frame relay vu que le routeur CE4 ne va pas recevoir des mises à jour rip concernant les réseaux des sites distant (vu que la connexion fibre est désactivée), donc il y a un seul chemin pour arriver au site distant c‟est à travers le backbone Frame relay. D‟autre part, le routeur CE3 va router la trame au routeur CE4 vu que la liaison fibre optique est désactivée.
Donc d‟après l‟analyse des tables de routage, on voit bien que la liaison frame relay est une connexion de backup.
4.2 Configuration du backbone internet
4.2.1 Configuration du VRF et du protocole BGP
Nous avons configuré un VRF intitulé ISP au niveau du routeur PEGateway qui va importer tous les réseaux VPN des sites de la société
Voici un exemple de la configuration du VRF au niveau du routeur PEGateway.
Voici un exemple de la configuration du protocole MP-BGP au niveau du routeur PEGateway
4.2.2 Configuration de la surcharge Nat
Nous avons configuré la surcharge Nat pour autoriser l‟accès internet aux employés de la société alliacom sur les routeurs PEGateway
4.2.3 Configuration du Nat Statique
Nous avons configuré le Nat Statique au niveau des routeurs PEGateway afin de rendre les serveurs (DNS, messagerie) hébergé au niveau de la zone DMZ du site 1 ainsi que le firewall accessible via internet
4.2.4 Vérification de la translation d’adresse
La commande « sh ip nat translations » permet d‟afficher la translation des adresses privées en adresses publiques.
4.2.5 Configuration des routes Statique
Nous avons configuré des routes statiques au niveau du routeur internet connecté à la gateway internet
Voici un exemple de configuration des routes statique au niveau du routeur ISP
4.2.6 Vérification des routes statiques
Tout au long de cette article, nous avons présenté la maquette générale de notre projet qui se présente par trois parties :
- L'interconnexion de deux sites à travers un Bacbone MPLS
- Simulation d‟un réseau internet
Dans l'article suivant suivant on va présenter l‟intégration des différents services de notre projet
