PARCOURS SLAM - jeydubrulle.files.wordpress.com · Contexte de la situation professionnelle1: Mise...
-
Upload
hoangkhanh -
Category
Documents
-
view
217 -
download
0
Transcript of PARCOURS SLAM - jeydubrulle.files.wordpress.com · Contexte de la situation professionnelle1: Mise...
BTS Services informatiques aux organisations Session 2015
E4 – Conception et maintenance de solutions informatiques Coefficient 4
DESCRIPTION D’UNE SITUATION PROFESSIONNELLE
Épreuve ponctuelle Contrôle en cours de formation
PARCOURS SISR PARCOURS SLAM
NOM et prénom du candidat : DUBRULLE Jérémy
N° candidat : M326080121
Contexte de la situation professionnelle1 : Mise en place d’une solution garantissant la tolérance de panne et la disponibilité d'éléments d'interconnexion
Intitulé de la situation professionnelle : Mise en place d'une architecture réseau avec des routeurs et avec tolérance de panne, notamment de par le paramétrage du protocole de routage dynamique EIGRP
Période de réalisation : 1er semestre année 2014/2015 Lieu : PROMEO, 60000 BEAUVAIS Modalité : Seul En équipe
Principale(s) activité(s) concernée(s)2 : Mise en place d'une architecture réseau avec des routeurs et avec tolérance de panne, notamment de par le paramétrage du protocole de routage dynamique EIGRP
Conditions de réalisation2 (ressources fournies, résultats attendus) : Projet réalisé avec 4 routeurs physiques, trois ordinateurs et tous les outils nécessaires à sa réalisation toujours à disposition
Productions associées
Modalités d’accès aux productions 3 : mot de passe enable sur les routeurs : « class » Modalités d’accès à la documentation des productions 4 : un document papier et un électronique rendus au responsable de section
Au verso de cette page, le candidat présente un descriptif détaillé de la situation professionnelle et des productions réalisées sous forme d’un rapport d’activité permettant notamment de mettre en évidence la démarche suivie et les méthodes retenues.
1 Conformément au référentiel du BTS SIO, le contexte doit être conforme au cahier des charges national en matière d’environnement
technologique dans le domaine de spécialité correspondant au parcours du candidat. 2 En référence à la description des activités des processus prévue dans le référentiel de certification. 3 Conformément au référentiel du BTS SIO « Dans tous les cas, les candidats doivent se munir des outils et ressources techniques nécessaires
au déroulement de l’épreuve. Ils sont seuls responsables de la disponibilité et de la mise en œuvre de ces outils et ressources. Les candidats qui
n’en sont pas munis sont pénalisés dans les limites prévues par la grille d’aide à l’évaluation proposée par la circulaire nationale d’organisation. ».
Il s’agit par exemple des identifiant, mot de passe, URL d’un espace de stockage et de la présentation de l’organisation du stockage.
4 Lien vers le document décrivant la situation professionnelle tant au niveau logiciel (par exemple service fourni par la situation, interfaces
utilisateurs, description des classes, de la base de données…) que matériel (par exemple schéma complet de réseau mis en place et
configurations des services).
Routage dynamique EIGRP
DUBRULLE Jérémy Page 2/14
PPE N°1 ROUTAGE DYNAMIQUE EIGRP
DUBRULLE Jérémy
Routage dynamique EIGRP
DUBRULLE Jérémy Page 3/14
SOMMAIRE
I) Contexte
1) Projet
2) Topologie globale
3) Table d’adressage
II) Plan d’action
1) Adressage
2) DHCP
3) EIGRP
a) Configurations standards
b) Authentification
4) Ajustement bande passante
III) Conclusion
Routage dynamique EIGRP
DUBRULLE Jérémy Page 4/14
I) Contexte
1) Projet
La société Jerdub souhaite modifier la configuration de son parc
informatique. Actuellement, elle n’est basée que sur un site : DALLAS. Elle a pour
objectif de s’étendre et d’ouvrir deux autres sites qui seront situés à SEATTLE et
SAN FRANCISCO. Pour cela, j’ai été engagé en qualité d’ingénieur systèmes et
réseaux, j’ai pour mission de concevoir et mettre en place la nouvelle
architecture réseau.
Voici les configurations et améliorations que je propose :
-Connecter les trois sites distants avec trois routeurs (chacun connecté à une LAN)
interconnectés.
-Ajouter un quatrième routeur connecté aux trois autres qui établira des routes de
secours.
-Paramétrer sur ces routeurs le protocole de routage dynamique EIGRP.
-Ajuster les bandes passantes des liens inter-routeurs afin de prioriser les routes
reliant directement les sites (sans passer par le routeur de secours).
-Sécuriser le protocole EIGRP en y intégrant l’authentification md5 sur chaque
interface reliant à un autre routeur.
-Configurer les trois routeurs directement connectés aux sites de manière à ce
qu’ils fournissent des adresses DHCP aux hôtes sur leur LAN respective.
Note : A toutes ces modifications s’ajoute un adressage totalement nouveau.
Routage dynamique EIGRP
DUBRULLE Jérémy Page 5/14
2) Topologie globale
J’ai représenté mon projet par le schéma ci-dessous :
Cette architecture a pour point principal de fournir de la tolérance aux
pannes, d’une part avec la présence d’un quatrième routeur fournissant des
routes de secours en cas de défaillances ; D’autre part avec la configuration d’un
protocole de routage dynamique (en l’occurrence EIGRP) qui va permettre aux
routeurs de s’adapter automatiquement en cas d’événements inattendus sur un
des liens inter-routeurs. De plus la sécurisation de ce protocole va rendre
quasiment impossible des intrusions fortuites de routeurs dans l’ensemble des
réseaux de la société et donc garantir la continuité des services.
SEATTLE
DALLAS
PC-SAN-FRANCISCO PC-SEATTLE
PC-DALLAS
200.0.0.12/30 200.0.0.0/30
200.0.0.8/30
200.0.0.20/30200.0.0.4/30
200.0.0.16/30
64 kb2048 kb2048 kb
2048 kb
64 kb64 kb
.1
.1.10
.13
.1
.14
.17
.21 .1
.18
.5 .2
.9
.22.6
SAN-FRANCISCO
LIAISON SERIE
LIAISON
FASTETHERNET
R-DALLAS
R-SEATTLER-SAN-FRANCISCO
R-INTER
192.168.3.0/24
192.168.1.0/24
192.168.2.0/24
Routage dynamique EIGRP
DUBRULLE Jérémy Page 6/14
3) Table d’adressage
Voici la table d’adressage associée :
Sites Matériels Interfaces Adresses IP Passerelles
DALLAS
R-DALLAS
S0/1/0 200.0.0.1/30
N/A S0/1/1 200.0.0.10/30
S0/0/0 200.0.0.13/30
Fa0/0 192.168.1.1/24
PC-DALLAS NIC DHCP 192.168.1.1
(DHCP)
SEATTLE
R-SEATTLE
S0/1/0 200.0.0.2/30
N/A S0/0/1 200.0.0.5/30
S0/1/1 200.0.0.18/30
Fa0/0 192.168.2.1/24
PC-SEATTLE NIC DHCP 192.18.2.1
(DHCP)
SAN-
FRANCISCO
R-SAN-FRANCISCO
S0/0/0 200.0.0.14/30
N/A S0/1/1 200.0.0.17/30
S0/1/0 200.0.0.21/30
Fa0/0 192.168.3.1/24
PC-SAN-FRANCISCO NIC DHCP 192.168.3.1
(DHCP)
AUTRES R-INTER
S0/0/1 200.0.0.6/30
N/A S0/1/1 200.0.0.9/30
S0/1/0 200.0.0.22/30
Routage dynamique EIGRP
DUBRULLE Jérémy Page 7/14
II) Plan d’Action
1) Adressage
Au vu des modifications à effectuer sur l’ensemble de l’architecture réseau
de la société, un nouvel adressage est mis en place. Voici mes décisions
concernant l’adressage, que j’ai également répertoriées plus haut dans la table
d’adressage et sur le schéma :
-pour chaque LAN, un réseau 192.168.X.0/24 (X=1 pour DALLAS – X=2 pour
SEATTLE – X=3 pour SAN FRANCISCO) est attribué, avec la première adresse IP
pour l’interface du routeur.
-pour les liaisons inter-routeurs, 6 réseaux allant de 200.0.0.0/30 à 200.0.0.20/30
sont attribués.
-pour les ordinateurs, l’adressage se fera en DHCP. La configuration est détaillée
ci-après.
2) DHCP
Afin de fournir des adresses automatiquement aux ordinateurs de chaque
LAN, le service DHCP est configuré sur chacun des routeurs donnant accès à une
LAN : R-DALLAS, R-SEATTLE et R-SAN-FRANCISCO.
Les paramètres DHCP sont semblables sur chaque routeur, les informations
suivantes sont distribuées :
-Une étendue qui comprend toutes les adresses IP du réseau de la LAN.
-Une adresse de passerelle qui n’est autre que l’adresse IP de l’interface du
routeur connectée à cette LAN.
Pour vérifier que des adresses du pool DHCP ont bien été attribuées automatiquement aux clients, il faut effectuer la commande show ip dhcp binding
sur le routeur.
On voit que l’adresse 192.168.1.2 a bien été allouée à l’ordinateur dont l’ID
est 01f0.921c.f1ed.ee, il n’y en a qu’une d’allouée puisqu’un seul pc est connecté
sur le réseau 192.168.1.0/24.
Routage dynamique EIGRP
DUBRULLE Jérémy Page 8/14
3) EIGRP
a) Configurations standards
En ce qui concerne le routage, j’ai décidé de mettre en place le protocole
de routage dynamique EIGRP. Il repose sur un algorithme appelé DUAL (Diffused
Update Algorithm). Le matériel utilisé étant de marque Cisco Systems (routeur
1841), il est possible d’utiliser ce protocole propriétaire Cisco. Il est configuré
avec les caractéristiques suivantes :
-Tous les routeurs sont configurés dans l’autonomous system 1.
-La « summarisation » automatique est désactivée.
-Afin que chaque routeur puisse communiquer sur l’ensemble de l’infrastructure
réseau, tous les liens directement connectés à chacun d’entre eux sont
renseignés : les liaisons série inter-routeurs et les 3 réseaux LAN en 192.168.X.0.
Ainsi tous ces réseaux seront annoncés dans les paquets échangés par le
protocole EIGRP (paquets UPDATE propageant les informations de routage).
-Les interfaces FastEthernet0/0 directement connectées aux LAN sont configurées
en passive-interface sur R-DALLAS, R-SEATTLE et R-SAN-FRANCISCO. Ainsi elles
ne peuvent plus envoyer de paquet HELLO ni en recevoir, ce qui est utile
puisqu’il n’y a pas de matériel de niveau 3 dans ces réseaux (susceptibles de
transmettre ce genre de paquets).
b) Authentification
Pour assurer la continuité des services, il est important de mettre en place
l’authentification EIGRP sur tous les routeurs. Et en particulier sur les interfaces
série, pas sur les « passives ». Elle permet d’empêcher un routeur intrus de
s’introduire sur un des réseaux et de participer au processus EIGRP. En effet,
lorsqu’elle est configurée, les paquets EIGRP (Hello, Update, Ack, …) transmis
contiennent 2 éléments :
-le message en clair.
-un « hash » (c’est un dire un cryptage à l’aide de l’algorithme md5) du
message effectué à partir d’une clé.
Routage dynamique EIGRP
DUBRULLE Jérémy Page 9/14
&
Message EIGRP
Hash
CONTIENT
+
EIGRP
Paquet EIGRP transmis
Message EIGRP Clé secrète
CREE A PARTIR DE
Routage dynamique EIGRP
DUBRULLE Jérémy Page 10/14
Cette clé secrète est à paramétrer sur les routeurs. Elle doit être la même
sur les interfaces de 2 routeurs voisins (sur un même sous-réseau) car une fois le
paquet reçu, le routeur va recalculer le « hash » à partir du message en clair et de
la clé configurée sur son interface. Si les clés sont différentes, et par conséquent
que le « hash » recalculé n’est pas identique, le paquet est supprimé. Donc si un
routeur s’introduit de manière inattendue sur un réseau, il ne pourra pas
communiquer avec les autres s’il n’a pas de clé configurée ou si elle n’est pas
identique à celle de ses voisins. C’est un moyen efficace de sécuriser son
infrastructure réseau au niveau 3.
En ce qui concerne l’architecture de la société Jerdub, j’ai configuré tous
les routeurs à l’identique pour l’authentification EIGRP. Tout d’abord il faut
générer la clé, et pour cela il faut au préalable créer la « key-chain » : cisco ; Puis
indiquer le « key-id » : 1 (ces deux premiers paramètres ne doivent pas
nécessairement être identique sur chaque routeur mais cela rend plus simple la
configuration) ; Et enfin on entre la « key-string » (clé servant au hachage) : c1sc0.
On voit sur la capture les configurations que j’ai faites, la « key-string » est
affichée de manière cryptée.
Il faut ensuite paramétrer les interfaces pour qu’elles entrent dans le
processus d’authentification EIGRP en indiquant d’utiliser le hachage md5, puis
en renseignant ensuite le nom de la « key-chain » (contenant la clé).
Les deux commandes entourées sont entrées sur chaque interface participant au
processus.
Après cela, il est important de vérifier si la communication entre les
routeurs est fonctionnelle. Cela n’est possible que si la configuration de
l’authentification est en place sur chaque matériel de niveau 3. Pour cela, on peut
demander au routeur d’afficher les logs d’échanges de paquets EIGRP.
Routage dynamique EIGRP
DUBRULLE Jérémy Page 11/14
Cela se fait par la commande debug eigrp packets, il est possible de cibler un
type de paquet, sur l’image j’ai ciblé les paquets HELLO. On peut voir que le
message reçu est authentifié par l’algorithme md5.
4) AJUSTEMENT BANDE PASSANTE
Au vu de la topologie que j’ai décidée de mettre en place, il est cohérent
de privilégier certaines routes d’un dispositif à un autre, plus courte et/ou plus
rapide. Par exemple, un paquet allant de PC-SEATTLE à PC-DALLAS doit passer
par R-SEATTLE puis directement R-DALLAS. Deux autres routes peuvent
également l’y mener en cas de défaillance. Elles permettent d’avoir de la
tolérance aux pannes.
EIGRP, et en particulier l’algorithme DUAL, calcule le chemin qu’il doit
prendre en se basant sur le métric, et la route qui a le plus bas métric jusqu’à la
destination est privilégiée. Ce métric est calculé selon 2 critères : le délai et la
bande passante, et selon cette formule :
METRIC = 256 * (BANDE PASSANTE + DELAI)
(10 000 000 / Plus petite bande passante) (Somme des délais / 10)
Le délai est de 20000 microsecondes pour les liaisons séries et la bande
passante d’environ 1544 kilobits par seconde par défaut. En toute logique, la
route allant de PC-SEATTLE à PC-DALLAS en passant simplement par R- SEATTLE
et R-DALLAS a un métric plus bas que celle passant par R-INTER ou par R-SAN-
FRANCISCO car ces dernières comptent 40 000 de délai contre 20 000 pour la
première. Mais afin d’assurer que chaque route entre 2 routeurs reliés à une LAN
soit privilégiée, j’ai choisi d’ajuster la bande passante de chaque lien de ce
genre, en l’augmentant à 2048 kbps. Et en passant tous les liens directement
connectés à R-INTER à 64 kbps, simulant un lien de secours RNIS. Ce type de lien
est utile dans les cas où toutes les routes usuelles sont hors services, il permet
alors d’assurer le trafic des flux mais avec un débit bien moindre.
Les ajustements sont décrits sur le schéma suivant.
Routage dynamique EIGRP
DUBRULLE Jérémy Page 12/14
64 kb
2048 kb2048 kb
2048 kb
64 kb
64 kb
R-INTER
R-SAN-FRANCISCO R-SEATTLE
R-DALLAS
Chemin Préférentiel
Métric = 1 762 000
Chemin Secondaire
Métric = 2 274 000
Chemin de dernier recours
Métric = 41 024 000
1
2
3
.2.5
.18
.6
.9
.22
.1.10
.13
.14.21
.17
Routage dynamique EIGRP
DUBRULLE Jérémy Page 13/14
Pour être certain que les paramètres appliqués soient effectifs, on peut
d’abord vérifier le métric de chaque route dans une table de routage. C’est un
moyen théorique de s’assurer que certaines routes sont prioritaires.
Mais il est aussi possible de s’assurer de cela par un moyen pratique en
provoquant des pannes sur des liens. Ainsi on observera si les paquets
empruntent les routes souhaitées.
Voici un tracert de PC-SEATTLE à PC-DALLAS :
Le paquet passe par sa passerelle en 192.168.2.1 (R-SEATTLE) puis par l’interface
de R-DALLAS (chemin du schéma).
Si l’on rend le lien entre R-DALLAS et R-SEATTLE inutilisable en coupant
l’interface en .1 de R-DALLAS, cela donne ce tracert :
Le paquet passe alors par R-SAN-FRANCISCO en .17, puis ensuite R-DALLAS en
.13 (chemin du schéma).
Et enfin si en plus de couper l’interface en .1 de R-DALLAS, son interface
.13 est également coupée :
On voit que le paquet passe alors par R-INTER en .6 puis R-DALLAS en .10. Le
routeur R-INTER est donc bien utilisé en dernier recours (chemin du schéma).
1
2
3
Routage dynamique EIGRP
DUBRULLE Jérémy Page 14/14
De par la réalisation de ce projet, je peux affirmer qu'il est possible de
mettre en place de la tolérance de panne de manière efficace. La présence de
plusieurs routeurs et le paramétrage d'EIGRP assurent la redondance de
l'infrastructure. De plus, la sécurisation du protocole EIGRP empêche les
potentielles intrusions sur les réseaux et garantit une meilleure disponibilité des
services.
D'un point de vue personnel, ce projet a tout d'abord renforcé ma
connaissance des routeurs et des protocoles qui y sont associés. En effet, la mise
en place d'une architecture complète et de protocoles sur et avec du matériel
physique m'a permis de mettre en pratique ce que j'ai acquis durant ces deux
années de BTS. De plus, le fait d'avoir réalisé ce projet dans un délai relativement
court, avec les problèmes rencontrés lors des paramétrages et tests, va je pense
me servir pour les futurs projets que j'accomplirai.
III) Conclusion