BGP catalyst

De Le wiki des TPs RSM
TP
Routage:Peering BGP


Ce TP permet de gérer le routage avec BGP, de voir les interactions avec le routage interne et maitriser les annonces entre systèmes autonomes.

Le but de ces Travaux Pratiques est d'étudier le protocole BGP. Le réseau que nous allons construire représente le réseau d'un fournisseur d'accès. Le PC1 va jouer le rôle d'un routeur PE qui est en relation avec les clients du fournisseur. LE PC1 va être configuré pour annoncer les routes en BGP. Le routeur PC2 va jouer le rôle d'un routeur P de coeur de réseau. Le routeur Cisco va permettre le peering avec les autres bancs. Le réseau d'interconnexion de la salle jouant le rôle d'un GIX (Global Internet Exchange).


Sommaire

Cadre général

La salle TP possède un précâblage pour réseau local (cf. figure suivante). Un hub central permet de relier l'ensemble des bancs.

Attention.png L'utilisation d'un hub permet à chaque banc de voir le trafic produit par les autres bancs, si cette configuration n'est pas optimale, elle permet de mieux comprendre les échanges protocolaires. Il faudra par contre faire attention aux adresses source et destination des trames reçues

La configuration des salles est la suivante :

Plan.salle.B27.png   Plan.salle.B30.png
Attention.png Les connecteurs des câbles Ethernet peuvent être endommagés à cause des manipulations fréquentes dans la salle de TP. Lorsque vous câblez un équipement, vérifiez que les LED s'allument correctement des deux cotés.


Question.jpg
Notez le numéro de la salle (B27 ou B30), il sera nécessaire pour la définition du plan d'adressage.

Identification du matériel

L'ensemble du matériel utilisé pour les TPs réseaux est regroupé dans une baie au centre du banc.

Red arrow.png Identifier dans la baie:

  • 4 stations de travail (PC) Dell
  • 1 commutateur (switch) Cisco Catalyst 3560
  • 1 routeur Cisco 1841
  • 1 baie de brassage
  • 1 commutateur (switch) TP-Link
  • 1 commutateur clavier-vidéo-souris (KVM)
  • 1 faisceau de câbles réseaux verts

Baie facade.png

Le commutateur KVM permet de mutualiser l'écran, le clavier et la souris de la position située à droite du banc de travail entre les stations de travail 2,3,4. L’écran de gauche ainsi que le clavier et la souris sont totalement dédiés à la station de travail 1. Dans ce TP, les stations 3 et 4 sont inutilisées. Le commutateur KVM doit donc être en position 2 pour afficher la console du PC2 sur l'écran de droite.

Les équipements réseaux utilisés dans ce TP sont le routeur Cisco 1841 et le commutateur Cisco 3560. Le commutateur TP-Link n'est pas utilisé. Ces équipements seront configuré à travers leur console série, chacune connectée sur une station de travail différente :

  • Console série Commutateur Cisco sur le PC 1 (à gauche)
  • Console série Routeur Cisco sur le PC 2 (à droite)

Afin de faciliter les branchements, les interfaces réseaux à l’arrière des stations de travail sont déportées sur la baie de brassage. Pour connecter l'interface d'un des équipements réseaux (routeur ou switch) à l'une des interfaces des PCs, il suffit de connecter l'un des câbles réseaux verts d'un côté à la prise de l'équipement réseau et de l'autre à la prise de la baie de brassage correspondant à l'interface réseau du PC.

Attention.png Chaque câble réseau est identifié à travers une bague de couleur numérotée à chaque extrémité.

Pour les TPs réseaux, nous n'utiliserons que les deux premières interfaces des PCs 1 et 2. Ces interfaces sont reprises sur la baie de brassage de la façon suivante :

  • PC 1 Interface 0 => Baie de brassage Prise 1
  • PC 1 Interface 1 => Baie de brassage Prise 2
  • PC 2 Interface 0 => Baie de brassage Prise 7
  • PC 2 Interface 1 => Baie de brassage Prise 8

La prise 5 de la baie de brassage permet de connecter l'interface réseau d'un équipement ou d'un PC au réseau d'interconnexion de la salle.

Brassage TP réseau2.png

Plan d'adressage

Dans ce TP, nous allons travailler avec des adresses publiques pour éviter toute confusion avec les adresses privées qui devront être filtrées lors des annonces. Le préfixe "emprunté" sera le 205/8.

Le plan d’adressage est le suivant :

  • entre PC1 et PC2, le préfixe sera 205.TP._.0/24 (où TP désigne la salle 27 ou 30 et _ le numéro du banc.
    • PC1 aura l'identifiant d'interface 1
    • PC2 aura l'identifiant d'interface 2
  • entre PC2 et le routeur Cisco le préfixe sera 205.TP.1_.0/24
    • PC2 aura l'identifiant d'interface 2
    • le router Cisco aura l'identifiant d'interface 254
  • le réseau d'interconnexion aura le préfixe 205.TP.0.0/24
    • l'identifiant d'interface du routeur Cisco sur ce réseau correspondra au numéro du banc.

Le numéro d'AS pour vos machine sera 6510_.

Stylo.png
Donner les adresses des différentes machines :




  • PC1 eth1 :


  • PC2 eth0 :


  • PC2 eth1 :


  • Cisco Fa0/1 :


  • Cisco Fa0/0 :


Configuration du banc

Configuration du commutateur

Cablage-TP-BGP.png

Sur le commutateur, nous allons utiliser les ports suivants :

  • le port Fa0/1 servira pour le mirroring, il sera connecté à la carte eth0 du PC1
  • les ports Fa0/2 et Fa0/3 seront dans le vlan2, ils connecteront respectivement la carte eth1 du PC1 et eth0 du PC2.
  • les ports Fa0/4 et Fa0/5 seront dans le vlan3, ils connecteront la carte eth1 du PC2 et le port Fe0/1 du routeur cisco.

Le port Fe0/0 du routeur sera connecté directement sur le réseau d'interconnexion de la salle.

Red arrow.png Sur le PC de gauche, ouvrir une fenêtre terminal root et lancer minicom cisco. Taper les commandes suivantes :

Switch>enable
Switch#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)#interface range fastEthernet 0/2 - 3
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 2
Switch(config-if-range)#exit
Switch(config)#interface range fastEthernet 0/4 - 5
Switch(config-if-range)#switchport mode access
Switch(config-if-range)#switchport access vlan 3
Switch(config-if-range)#exit
Switch(config)#monitor session 1 source vlan 2
Switch(config)#monitor session 1 destination interface fastEthernet 0/1
Switch(config)#end
Switch#

Red arrow.png Vérifiez la configuration en tapant :

Switch#sh interfaces status



Configuration du PC1

Red arrow.png Sur le PC1, ouvrez une nouvelle fenêtre terminal root et configurez l'interface eth1 :

# ifconfig eth1 205.TP._.1/24
# ifconfig eth1



Red arrow.png Activer l'interface eth0, puis lancer une capture wireshark sur cette interface

Configuration du PC2

Red arrow.png Sur le PC2, ouvrez une nouvelle fenêtre terminal root et configurez les interfaces eth0 et eth1 :

# ifconfig eth0 205.TP._.2/24
# ifconfig eth1 205.TP.1_.2/24
# ifconfig

Red arrow.png Vérifiez la connectivité entre PC1 et PC2 en tapant sur PC2 :

# ping 205.TP._.1

Configuration du Cisco

Red arrow.png sur le PC2, ouvrez une nouvelle fenêtre terminal root et lancez la commande minicom cisco :

Would you like to enter the initial configuration dialog? [yes/no]: no


Press RETURN to get started!
...
Router>ena
Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#interface fastEthernet 0/1
Router(config-if)#ip address 205.TP.1_.254 255.255.255.0
Router(config-if)#no shutdown
Router(config-if)#end
Router#

Red arrow.png Vérifiez la connectivité entre PC2 et le cisco en tapant depuis le routeur :

Router#ping 205.TP.1_.2

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 205.27.12.2, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
Router#
Stylo.png
Est-il possible de pinger PC1 depuis le routeur ?


Mise en place d'un plan de routage

Nous allons activer sur chacun des routeurs le protocole OSPF pour permettre une connectivité totale à l'intérieur de l'aire.

Red arrow.png Sur chacun des PC, lancer le script TPgen pour produire le fichier de configuration quagga adapté en remplaçant TP par le numéro de la salle (27 ou 30) et banc par le numéro de votre banc (1 à 8) :

# cd /home/user/TPs/TP_Routage
# ./TPgen TP banc
Salle TP generation de la configuration pour le banc _

Red arrow.png Sur les deux PC lancez :

 # cp zebra.conf /etc/quagga/
 # service zebra start
 # cp ospfd.conf /etc/quagga/
 # service ospfd start

Red arrow.png Sur chacun des PC, configurez le daemon ospfd pour qu'il annonce les routes internes

#telnet 127.0.0.1 ospfd
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.

Hello, this is Quagga (version 0.99.5).
Copyright 1996-2005 Kunihiro Ishiguro, et al.


User Access Verification

Password:zebra (n'apparaît pas à l'écran)
ospfd> en
ospfd# conf t
ospfd(config)# router ospf
ospfd(config-router)# network 205.TP.0.0/16 area 0.0.0.0
ospfd(config-router)# end
Stylo.png
Doit-on mettre toutes les interfaces du cisco dans l'aire 0 ?


Red arrow.png Sur le cisco, tapez :

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#router ospf 1
Router(config-router)#network 205.TP.1_.0 0.0.0.255 area 0.0.0.0
Router(config-router)#end
Router#

Red arrow.png Activez le mode routeur sur les PC1 et PC2 :

# echo 1 > /proc/sys/net/ipv4/ip_forward

Red arrow.png Vérifiez la connectivité en pingant PC1 depuis le cisco :

Router#ping 205.TP._.1

Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 205.27.2.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/2/8 ms
Router#

Préparation de la mise en place du peering BGP

Le PC1 va nous servir a émuler le monde extérieur. Nous allons émuler deux aspects:

  • un client de votre ISP (ASN 200_ où _ représente le numéro de votre banc) qui va vous envoyer un ensemble de route que nous devrons filtrer.
  • un AS distant qui sera visible par plusieurs bancs.

Le fichier de configuration /home/user/TPs/TP_Routage/bgpd.conf contient les instructions pour générer ce trafic.

Red arrow.png Visualiser le fichier de configuration

# cat /home/user/TPs/TP_Routage/bgpd.conf (bgpd.conf est spécifique à chaque banc de TP)
hostname bgpd
password zebra
!
!bgp mulitple-instance
!
router bgp 65102
 neighbor 205.27.12.254 remote-as 65102
!
 address-family ipv4 unicast
  network 10.27.0.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.1.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.2.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.3.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.4.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.5.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.6.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.7.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.8.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.9.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.10.0 mask 255.255.255.0 route-map AS-CLIENT
  network 10.27.11.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.16.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.17.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.18.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.19.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.20.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.21.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.22.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.23.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.24.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.25.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.26.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.27.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.28.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.29.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.30.0 mask 255.255.255.0 route-map AS-CLIENT
  network 192.27.31.1 mask 255.255.255.0 route-map AS-CLIENT
  network 206.170.2.1 mask 255.255.255.0 route-map AS-CLIENT
  network 206.171.2.1 mask 255.255.255.0 route-map AS-CLIENT
  network 206.172.2.1 mask 255.255.255.0 route-map AS-CLIENT
  network 206.173.2.1 mask 255.255.255.0 route-map AS-CLIENT
  network 182.1.0.0 mask 255.255.0.0 route-map AS-PEERING1
  network 182.2.0.0 mask 255.255.0.0 route-map AS-PEERING2
  network 182.3.0.0 mask 255.255.0.0 route-map AS-PEERING3
  network 182.4.0.0 mask 255.255.0.0 route-map AS-PEERING4
  network 182.5.0.0 mask 255.255.0.0 route-map AS-PEERING5
  network 182.6.0.0 mask 255.255.0.0 route-map AS-PEERING6
  network 182.7.0.0 mask 255.255.0.0 route-map AS-PEERING7
  network 182.8.0.0 mask 255.255.0.0 route-map AS-PEERING8
  exit-address-family
!
route-map AS-CLIENT permit 10
 set as-path prepend 2002
 set origin igp
!
route-map AS-PEERING1 permit 10
 set as-path prepend 102 112
 set origin igp
!
route-map AS-PEERING2 permit 10
 set as-path prepend 202 212
 set community 65102:300
 set origin igp
!
route-map AS-PEERING3 permit 10
 set as-path prepend 302 312
 set origin igp
!
route-map AS-PEERING4 permit 10
 set as-path prepend 402 412
 set origin igp
!
route-map AS-PEERING5 permit 10
 set as-path prepend 502 512
 set origin igp
!
route-map AS-PEERING6 permit 10
 set as-path prepend 602 612
 set origin igp
!
route-map AS-PEERING7 permit 10
 set as-path prepend 702 712
 set origin igp
!
route-map AS-PEERING8 permit 10
 set as-path prepend 802 812
 set origin igp
!
log stdout


Le fichier de configuration précédent est pour le banc 2 de la salle 27, mais chaque banc possède un fichier à peu près identique. Le tableau suivant donne les annonces reçues par chacun d'entre eux.

Banc 1 Banc 2 Banc 3 Banc 4 Banc 5 Banc 6 Banc 7 Banc 8
10.27.0/24 10.27.0/24 10.27.0/24 10.27.0/24 10.27.0/24 10.27.0/24 10.27.0/24 10.27.0/24
10.27.1/24 10.27.1/24 10.27.1/24 10.27.1/24 10.27.1/24 10.27.1/24 10.27.1/24 10.27.1/24
10.27.2/24 10.27.2/24 10.27.2/24 10.27.2/24 10.27.2/24 10.27.2/24 10.27.2/24 10.27.2/24
10.27.3/24 10.27.3/24 10.27.3/24 10.27.3/24 10.27.3/24 10.27.3/24 10.27.3/24 10.27.3/24
10.27.4/24 10.27.4/24 10.27.4/24 10.27.4/24 10.27.4/24 10.27.4/24 10.27.4/24 10.27.4/24
10.27.5/24 10.27.5/24 10.27.5/24 10.27.5/24 10.27.5/24 10.27.5/24 10.27.5/24 10.27.5/24
10.27.6/24 10.27.6/24 10.27.6/24 10.27.6/24 10.27.6/24 10.27.6/24 10.27.6/24 10.27.6/24
10.27.7/24 10.27.7/24 10.27.7/24 10.27.7/24 10.27.7/24 10.27.7/24 10.27.7/24 10.27.7/24
10.27.8/24 10.27.8/24 10.27.8/24 10.27.8/24 10.27.8/24 10.27.8/24 10.27.8/24 10.27.8/24
10.27.9/24 10.27.9/24 10.27.9/24 10.27.9/24 10.27.9/24 10.27.9/24 10.27.9/24 10.27.9/24
10.27.10/24 10.27.10/24 10.27.10/24 10.27.10/24 10.27.10/24 10.27.10/24 10.27.10/24 10.27.10/24
10.27.11/24 10.27.11/24 10.27.11/24 10.27.11/24 10.27.11/24 10.27.11/24 10.27.11/24 10.27.11/24
192.27.0/24 192.27.16/24 192.27.32/24 192.27.48/24 192.27.64/24 192.27.80/24 192.27.96/24 192.27.112/24
192.27.1/24 192.27.17/24 192.27.33/24 192.27.49/24 192.27.65/24 192.27.81/24 192.27.97/24 192.27.113/24
192.27.2/24 192.27.18/24 192.27.34/24 192.27.50/24 192.27.66/24 192.27.81/24 192.27.98/24 192.27.114/24
192.27.3/24 192.27.19/24 192.27.35/24 192.27.51/24 192.27.67/24 192.27.83/24 192.27.99/24 192.27.115/24
192.27.4/24 192.27.20/24 192.27.36/24 192.27.52/24 192.27.68/24 192.27.84/24 192.27.100/24 192.27.116/24
192.27.5/24 192.27.21/24 192.27.37/24 192.27.53/24 192.27.69/24 192.27.85/24 192.27.101/24 192.27.117/24
192.27.6/24 192.27.22/24 192.27.38/24 192.27.54/24 192.27.70/24 192.27.86/24 192.27.102/24 192.27.118/24
192.27.7/24 192.27.23/24 192.27.39/24 192.27.55/24 192.27.71/24 192.27.87/24 192.27.103/24 192.27.119/24
192.27.8/24 192.27.24/24 192.27.40/24 192.27.56/24 192.27.72/24 192.27.88/24 192.27.104/24 192.27.120/24
192.27.9/24 192.27.25/24 192.27.41/24 192.27.57/24 192.27.73/24 192.27.89/24 192.27.105/24 192.27.121/24
192.27.10/24 192.27.26/24 192.27.42/24 192.27.58/24 192.27.74/24 192.27.90/24 192.27.106/24 192.27.122/24
192.27.11/24 192.27.27/24 192.27.43/24 192.27.59/24 192.27.75/24 192.27.91/24 192.27.107/24 192.27.123/24
192.27.12/24 192.27.28/24 192.27.44/24 192.27.60/24 192.27.76/24 192.27.92/24 192.27.108/24 192.27.124/24
192.27.13/24 192.27.29/24 192.27.45/24 192.27.61/24 192.27.77/24 192.27.93/24 192.27.109/24 192.27.125/24
192.27.14/24 192.27.30/24 192.27.46/24 192.27.62/24 192.27.78/24 192.27.94/24 192.27.110/24 192.27.126/24
192.27.15/24 192.27.31/24 192.27.47/24 192.27.63/24 192.27.79/24 192.27.95/24 192.27.111/24 192.27.127/24
206.170.1/24 206.170.2/24 206.170.3/24 206.170.4/24 206.170.5/24 206.170.6/24 206.170.7/24 206.170.8/24
206.171.1/24 206.171.2/24 206.171.3/24 206.171.4/24 206.171.5/24 206.171.6/24 206.171.7/24 206.171.8/24
206.172.1/24 206.172.2/24 206.172.3/24 206.172.4/24 206.172.5/24 206.172.6/24 206.172.7/24 206.172.8/24
206.173.1/24 206.173.2/24 206.173.3/24 206.173.4/24 206.173.5/24 206.173.6/24 206.173.7/24 206.173.8/24
182.1/16 182.1/16 182.1/16 182.1/16 182.1/16 182.1/16 182.1/16 182.1/16
182.2/16 182.2/16 182.2/16 182.2/16 182.2/16 182.2/16 182.2/16 182.2/16
182.3/16 182.3/16 182.3/16 182.3/16 182.3/16 182.3/16 182.3/16 182.3/16
182.4/16 182.4/16 182.4/16 182.4/16 182.4/16 182.4/16 182.4/16 182.4/16
182.5/16 182.5/16 182.5/16 182.5/16 182.5/16 182.5/16 182.5/16 182.5/16
182.6/16 182.6/16 182.6/16 182.6/16 182.6/16 182.6/16 182.6/16 182.6/16
182.7/16 182.7/16 182.7/16 182.7/16 182.7/16 182.7/16 182.7/16 182.7/16
182.8/16 182.8/16 182.8/16 182.8/16 182.8/16 182.8/16 182.8/16 182.8/16
Stylo.png
On suppose que tous les préfixes que vous recevez, à part ceux définis dans le RFC1918, sont légaux:
  • Quels sont les préfixes définis dans le RFC1918 ?


En vous aidant du fichier de configuration de BGP sur le PC1 (donné pour le banc 2 de la salle 27), indiquer en les agrégeant au maximum :

  • les préfixes annoncés par votre client :


  • les préfixes annoncés par d'autres AS :


Comme vous pouvez le voir dans le fichier, la configuration du routeur bgp est faite pour PC1. L'ajout d'annonces BGP se fait par l'intermédiaire de la commande network qui a un comportement différent si on la compare à OSPF ou RIP. Ici network permet de dire les réseaux qui peuvent être annoncé (dans les autres protocoles, elle indique les interfaces qui sont actives). La commande route-map suivit d'un nom permet d'ajouter des attributs BGP aux prefixes annoncés. La suite du fichier de configuration montre les attributs annoncés.

Stylo.png
Quels sont les attributs ajoutés pour les préfixes commançant par 182._.0.0/8 ?


iBGP

Dans un premier temps, nous allons étudier le trafic BGP entre deux routeurs et voir comment s'établit le peering.

Red arrow.png Lancer wireshark, sur l'interface eth0 du PC1, vérifier que cette interface est bien sur le vlan2 en mode mirroring

Red arrow.png Sur le PC1, tapez :

# cp /home/user/TPs/TP_Routage/bgpd.conf /etc/quagga
# service bgpd start
# telnet 127.0.0.1 bgpd
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'. 

Hello, this is Quagga (version 0.99.5).
Copyright 1996-2005 Kunihiro Ishiguro, et al.


User Access Verification

Password:zebra
bgpd> ena
bgpd#


Question.jpg
Quel trafic voyez vous entre PC1 et le routeur Cisco ?


Red arrow.png Sur le PC1, dans la fenêtre BGP, tapez :

bgpd# sh ip bgp summary



Question.jpg
Dans quel état se trouve le peering avec le routeur Cisco ?


Red arrow.png Sur le routeur Cisco, lancer le processus BGP, en tapant :

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#router bgp 6510_
Router(config-router)#end
Router#write
Question.jpg
Le contexte pour le processus de routage du Cisco apparaît-il dans le fichier de configuration ? Est-ce suffisant pour établir le peering ?


Question.jpg
Y a-t-il un changement ? vérifier les voisins BGP de PC1.


Red arrow.png Sur le routeur Cisco, configurez le peering avec PC1

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#router bgp 6510_
Router(config-router)#neighbor 205.TP._.1 remote-as 6510_
Router(config-router)#end
Router#write
*Aug 27 13:07:37.454: %SYS-5-CONFIG_I: Configured from console by console
Router#

Red arrow.png Vérifier l'état du peering

Router#sh ip bgp summary



Red arrow.png Visualiser la table BGP

Router#sh ip bgp



Stylo.png
Que contient la colonne path ? que signifie le i à la fin de la ligne ?





Nous pouvons utiliser des expressions régulières sur les chemins d'AS pour visualiser qu'une partie de la liste.

Red arrow.png Sur le routeur Cisco, taper :

Router#sh ip bgp regexp .* 6510X$ (X est le numéro d'un autre banc de TP)



Pour visualiser les préfixes dont l'origine est l'AS 6510X

Red arrow.png Sur le routeur Cisco, taper :

Router#sh ip bgp regexp .* 6510X



pour avoir la liste des préfixes dont les annonces passent par l'AS 6510X.

Filtrage des annonces

Stylo.png
Est-ce que le client doit nous envoyer des annonces pour les routes dont le

préfixe est 10.0.0.0/8 ?




Une première solution pour filtrer les annonces non conformes du client consiste à configurer le Cisco avec la commande distribute-list pour refuser les préfixes 10/8.

Red arrow.png Dans le fenêtre BGP de PC1, taper les commandes suivantes :

bgpd# conf t
bgpd(config)# router bgp 6510_
bgpd(config-router)# neighbor 205.TP.1_.254 distribute-list 1 out
bgpd(config-router)# exit
bgpd(config)# access-list 1 deny 10.0.0.0 0.255.255.255
bgpd(config)# access-list 1 permit any
bgpd(config)# exit
bgpd# 

Cette commande filtre quand le cisco reçoit des annonces du PC station. Ce filtre est défini par un numéro (ici 1). Cette valeur fait référence à une liste d’accès définie après. Cette liste comprend deux entrées. La première teste si le préfixe est 10/8. Si c’est le cas, cette annonce est refusée, sinon toutes les autres annonces sont autorisées. La deuxième ligne est obligatoire, car dans les politiques de sécurité du Cisco, tout ce qui n’est pas explicitement autorisé est interdit.

Attention.png En réalité, il aurait été plus logique d'utiliser distribute-list 1 in pour refuser ces préfixes qui viennent du client. Mais dans notre émulation du client, nous avons ajouté dans le fichier de configuration ces préfixe, la seule chose que nous pouvons faire c'est d'empêcher de les envoyer aux pairs
Stylo.png
Est-ce que l’ordre est important pour définir des listes d’accès ?


Ce filtre n’est pris en compte que lorsque le Cisco reçoit des annonces du PC. Dans notre cas, il faut attendre que la durée de vie de l’annonce soit expirée pour que l’entrée disparaisse de la table de routage. Pour accélérer la convergence, relancer le processus d’echange BGP.

Red arrow.png Dans la fenêtre BGP de PC1, taper :

bgpd# clear ip bgp 6510_

Red arrow.png Vérifier sur le Cisco que les entrées 10/8 ne sont ni dans sa table de routage, ni dans la base de données BGP.


Stylo.png
Que pensez-vous d'un ISP qui définit un filtre pour interdir les préfixes non autorisés. Quel impact sur la multi-domiciliation ?


Stylo.png
En prenant en compte l’agrégation possible, quelles seraient les règles de filtrage pour prendre en compte que les préfixes autorisés par l’ISP ?

Red arrow.png Dans la fenêtre BGP du PC1, modifier la liste d’accès pour prendre en compte votre nouvelle politique de filtrage :

bgpd# conf t
bgpd(config)# no access-list 1
bgpd(config)# access-list 1 permit ......... (les préfixes à autoriser dépendent de vos bancs de TP) 



bgpd(config)# end bgpd# clear bgp 6510_
Attention.png Toujours à cause de l'émulation du client sur le PC1, il faut autoriser également les annonces pour le prefixe 182/8. Dans une configuration normale, elles ne viendraient pas de la même source et ne seraient pas impactées par le filtre mis en place.

Peering entre bancs

Nous devons définir une politique d’échange d’informations de routage pour garantir une connectivité totale. Dans un premier temps, nous allons utiliser la règle suivante. Chaque banc va établir un peering avec le banc de numéro supérieur et inférieur. Le dernier banc fera un peering avec le premier banc. De cette manière nous allons créer une boucle d'annonces dans la salle.

Stylo.png
Quelle est l'adresse IP du routeur Cisco pour son interface sur le réseau d'interconnexion ?


Red arrow.png Configurer le cisco pour prendre en compte cette politique de peering.

  • Configurer l'adresse de l'interface Fe0/0 du routeur Cisco.
  • Etablir le peering avec le banc de numéro inférieur.
  • Etablir le peering avec le banc de numéro supérieur.

Red arrow.png Sur le Cisco affichez la table BGP

Question.jpg
Pourquoi un même préfixe apparaît plusieurs fois dans la base de données

BGP ? Quelle annonce sera mise dans la table de routage ?


Stylo.png
Pourquoi le champ Next Hop ne correspond pas à l'adresse du routeur BGP qui a fait l'annonce ?


Aggregation

Pour réduire la taille des tables, nous allons aggréger les annonces que nous envoyons à nos pairs sur le lien d'interconnexion.

Stylo.png
  • Est-il possible d’agréger les entrées commençant par 206 ?




  • Quels préfixes peuvent être agrégés ? En quel préfixe/longueur de préfixe ?




  • Quel est le netmask équivalent à cette longueur de préfixe ?



Red arrow.png Dans la fenêtre BGP du PC1, tapez :

bgpd# conf t
bgpd(config)# router bgp 6510_
bgpd(config-router)# aggregate-address P.P.P.P n.n.n.0 summary-only
bgpd(config-router)# end

P.P.P.P et n.n.n.0 représentent le préfixe et le netmask (non inversé) que vous avez précédemment calculés.

Red arrow.png Visualiser les annonces aggrégées d'un autre banc en tapant, dans la fenêtre BGP de PC1, la commande :

bgpd# sh ip bgp 192.TP.XX.0/20




Question.jpg
Quel est le chemin d'AS ?


Synchronisation

Nous allons étudier la connectivité de notre réseau pour voir s'il est possible de joindre tous les préfixes. Comme nous n'avons pas toujours associé d'adresses aux préfixes annoncés, la commande ping ne pourra pas être utilisée pour vérifier la connectivité. Nous utiliserons la commande traceroute qui donnera la liste des routeurs traversés. Elle permettra également, au cas où, de voir où bloque le routage.

Red arrow.png Depuis le PC1, taper :

~# ping 205.TP.0._



Stylo.png
Pourquoi ce réseau est inconnu de PC1


Red arrow.png Sur le routeur cisco tapez les commandes suivantes pour redistribuer en BGP le prefixe d'interconnexion

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# router bgp 6510_
Router(config-router)# redistribute connected
Router(config-router)# end
Router# write

Red arrow.png Vérifiez que le préfixe est dans la table BGP de PC1




Red arrow.png Vérifier que le préfixe est dans la table de routage de PC1




Red arrow.png Pingez a nouveau l'interface externe de votre routeur d'interconnexion




Question.jpg
Pourquoi cela ne marche pas ?


Red arrow.png Sur le routeur cisco, tapez :

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# router ospf 1
Router(config-router)# redistribute connected subnets
Router(config-router)# end
Router# write

Red arrow.png Sur le routeur Cisco, vérifiez que les tables OSPF contiennent des informations sur le réseau d'interconnexion, en tapant :

Router#sh ip ospf database



Stylo.png
Dans quels types de LSA sont stockées les routes externes ? PC1 ne risque-t-il pas de les redistribuer à ses clients ?




Question.jpg
Est-ce qu'il est possible d'atteindre l'interface externe de votre routeur cisco depuis PC2 ?



Question.jpg
Est-ce qu'il est possible d'atteindre l'interface externe des autres routeurs cisco depuis PC2 ? depuis PC1?


Red arrow.png Sur le routeur Cisco, taper :

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# router bgp 6510_
Router(config-router)# redistribute ospf 1
Router(config-router)# end
Router# write
Question.jpg
Est-ce qu'il est possible d'atteindre l'interface externe des autres routeurs cisco depuis PC2 ?



Question.jpg
Est-il possible de joindre un préfixe annoncé par un autre banc ? pourquoi ?


Red arrow.png Sur le routeur cisco tapez :

Router# conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# router ospf 1
Router(config-router)# redistribute bgp 6510_ subnets
Router(config-router)# end
Router# write

Communautés

Nous avons indiqué à nos client que s'ils utilisent la chaîne communautaire AS:300 la route serait annoncée comme backup, c'est à dire moins prioritaire. Pour ce faire, nous allons utiliser la commande route-map pour modifier la liste des attributs.

Red arrow.png Sur le routeur cisco creer une liste pour les communautés :

Router#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)#ip community-list 10 permit 6510_:300

Red arrow.png Sur le routeur cisco, toujours en mode configuration creer une route-map pour ajouter trois fois votre numéro d'AS, si l'annonce contient la communauté précédemment définie :

Router(config)#route-map LONG permit 10
Router(config-route-map)#match community 10
Router(config-route-map)#set as-path prepend 6510_ 6510_ 6510_
Router(config-route-map)#exit
Router(config)#

Red arrow.png Sur le routeur cisco, toujours en mode configuration , ajouter cette règle pour le peering avec les deux voisins sur le réseau d'interconnexion :

Router(config)#router bgp 6510_
Router(config-router)#neighbor 205.TP.0.X route-map LONG out (X correspond au numéro de votre banc - 1)
Router(config-router)#neighbor 205.TP.0.Y route-map LONG out (X correspond au numéro de votre banc + 1)
Router(config-router)#end

Red arrow.png Sur le routeur cisco, relancer bgp en tapant :

Router#clear ip bgp *
Question.jpg
Vérifiez vos annonces sur le routeur cisco d'un autre ISP. Votre annonce est-elle choisie ?


Remise à zéro des bancs

Red arrow.png Déconnectez tous les câbles réseaux entre les équipements et la baie de brassage.

Red arrow.png Sur le routeur et le commutateur, effacez les configurations avec la commande suivante :

Switch#write erase
Erasing the nvram filesystem will remove all configuration files! Continue? [confirm] <return>
[OK]
Erase of nvram: complete
Switch#
3d23h: %SYS-7-NV_BLOCK_INIT: Initialized the geometry of nvram
Switch#reload

System configuration has been modified. Save? [yes/no]: no
Proceed with reload? [confirm]<return>
...
Would you like to terminate autoinstall? [yes]: yes


        --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no
Switch>

Red arrow.png Eteignez les PCs avec la commande :

# shutdown

Broadcast message from root@pc-b27-21 (pts/3) (Mon Aug 11 17:44:28 2008): 

The system is going down for reboot NOW!
Outils personnels