Qiao Wang Charles Duchêne 18 décembre 2013 Compte-rendu du TP no 4 Document version 1.0 F2R – UV301B Routage : peering BGP Sommaire 1. PLAN D’ADRESSAGE • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 2 2. CONFIGURATION DU BANC • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 2 3. IBGP • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • • 4 1 Salle 27, banc 7. 1. PLAN D’ADRESSAGE Donner les adresses des différentes machines : PC1 eth1 : 205.27.7.1 PC2 eth0 : 205.27.7.2 PC2 eth1 : 205.27.17.2 Cisco Fa0/1 : 205.27.17.254 Cisco Fa0/0 : 205.27.0.7 AS : 65107. PC gauche PC droite 205.27.7.1 eth1 eth0 205.27.7.2 Vlan 2 1 2 205.27.17.2 eth0 3 4 eth1 Vlan 3 5 Commutateur 205.27.0.7 0/0 AS : 65107 205.27.17.254 0/1 Routeur Figure 1– Schéma de l’installation 2. CONFIGURATION DU BANC Est-il possible de pinger PC1 depuis le routeur ? Non car le routeur ne connait pas de route vers 205.27.7.0/24. La route vers le PC2 (205.27.17.0/24) est connue car directement connectée. 2 Doit-on mettre toutes les interfaces du Cisco dans l’aire 0 ? Notre routeur sera un routeur de bordure, il ne peut donc pas avoir toutes ses interfaces dans la même aire. Quels sont les préfixes définis dans le RFC1918 ? Les préfixes définis dans le RFC1918 sont privés, il s’agit des préfixes : ◾ 10.0.0.0/8 ; ◾ 172.16.0.0/12 ; ◾ 192.168.0.0/16. Indiquer en les agrégeant au maximum : Les préfixes annoncés par notre client : ◾ ◾ ◾ ◾ ◾ 192.27.96.0/20 ; 206.170.7.0/24 ; 206.171.7.0/24 ; 206.172.7.0/24 ; 206.173.7.0/24. Les préfixes annoncés par d’autres AS : ◾ ◾ ◾ ◾ ◾ ◾ ◾ ◾ 182.1.0.0/16 ; 182.2.0.0/16 ; 182.3.0.0/16 ; 182.4.0.0/16 ; 182.5.0.0/16 ; 182.6.0.0/16 ; 182.7.0.0/16 ; 182.8.0.0/16. Quels sont les attributs ajoutés pour les préfixes commençant par 182.7.0.0/8 ? Pour les préfixes 182.0.0.0/8, on ajoute un autre numéro d’AS dans l’as_path a en comparaison aux autres clients. Pour les préfixes 182.7.0.0/16 (7 étant notre numéro de banc), on appelle la commande set community 65107:300. Il s’agit un attribut optionnel et transitif qui permet de grouper des destinations en une communauté et de leur appliquer les mêmes règles de routage. (Aide : http://www.cisco.com/en/US/tech/tk365/technologies_ configuration_example09186a00801475b2.shtml) a. Pour éviter les boucles et trouver le plus court chemin. 3 3. IBGP Quel trafic voyez-vous entre le PC1 et le routeur Cisco ? On observe un trafic OSPF provenant du PC2. Dans quel état se trouve le peering avec le routeur Cisco ? Le routeur Cisco apparaît dans la liste des voisins du PC1, on a : Neighbor V AS [...] Up/Down State/PfxRcd 205.27.17.254 4 65107 [...] never Active Le peering est configuré mais pas encore actif. Le contexte pour le processus de routage du Cisco apparaît-il dans le fichier de configuration ? est-ce suffisant pour établir le peering ? Un contexte apparaît dans la configuration mais ce n’est pas suffisant pour établir le peering car il reste à définir les voisins. Y a-t-il un changement ? Vérifier les voisins BGP de PC1. Il n’y a aucune changement du côté du PC1. En revanche, après avoir activé le peering sur le routeur Cisco, celui-ci s’active, des paquets sont échangés, Up/Down indique une durée et State passe à 0. Que contient la colonne path ? Que signifie le i à la fin de la ligne ? La colonne path indique le chemin d’AS vers le réseau destinataire. Le i à la fin de la ligne indique que l’entrée a été apprise par IGP. (Aide : http://www.cisco.com/en/US/docs/ios/iproute_bgp/command/ reference/irg_bgp5.html#wp1156281) Est-ce que le client doit nous envoyer des annonces pour les routes dont le préfixe est 10.0.0.0/8 ? Le client ne doit pas nous envoyer ces annonces : les routes dont le préfixe est 10.0.0.0/8 sont des routes privées qui ne doivent sortir du réseau interne, donc ne doivent pas être annoncées en externe ! 4 Est-ce que l’ordre est important pour définir des listes d’accès ? L’ordre des listes d’accès est en effet important puisque Cisco applique une règle de « first match », dès qu’une instruction s’appliquant est trouvée, le routeur applique l’instruction sans chercher par la suite une règle plus spécifique. (Aide : http://www.cisco.com/en/US/docs/ios/12_2/security/configuration/ guide/scfacls.html). Que pensez-vous d’un ISP qui définit un filtre pour interdire les préfixes non autorisés ? Quel impact sur la multidomiciliation ? Il est logique qu’un ISP interdise les préfixes non autorisés, cependant, cela aura un impact sur la multidomiciliation parce que chacun des ISP n’offrira qu’une route et en cas de panne de l’un deux, aucun chemin ne sera déjà connu. En prenant en compte l’agrégation possible, quelles seraient les règles de filtrage pour ne prendre en compte que les préfixes autorisés par l’ISP ? ◾ ◾ ◾ ◾ ◾ access-list access-list access-list access-list access-list 1 1 1 1 1 permit permit permit permit permit 192.27.96.0 206.170.7.0 206.171.7.0 206.172.7.0 206.173.7.0 0.0.15.255 ; 0.255.255.255 ; 0.255.255.255 ; 0.255.255.255 ; 0.255.255.255. Quelle est l’adresse IP du routeur Cisco pour son interface sur le réseau d’interconnexion ? L’adresse est 205.27.0.7/24. Pourquoi un même préfixe apparaît plusieurs fois dans la base de données BGP ? Quelle annonce sera mise dans la table de routage ? Les préfixes en 182 sont annoncés par le PC1 et les Cisco des deux autres bancs, on a donc 3 annonces pour ces préfixes. Dans la table de routage, c’est le préfixe annoncé par le PC1 qui est mis car il a le plus court chemin d’AS. Pourquoi le champ Next Hop ne correspond pas à l’adresse du routeur BGP qui a fait l’annonce ? Il s’agit de l’adresse du routeur Cisco des bancs collègues et non l’adresse de leurs PC1. En effet, le champ Next Hop correspond à l’adresse du routeur eBGP. Est-il possible d’agréger les entrées commençant par 206 ? Il n’est pas possible d’agréger les entrées 206 puisqu’il s’agit de /24 discontinus. 5 Quels préfixes peuvent être agrégés ? En quel préfixe / longueur de préfixe ? On peut avoir ces agrégations : ◾ 192.27.96.0/20. Quel est le netmask équivalent à cette longueur de préfixe ? Pour /20 : 255.255.240.0. Pour /24 : 255.255.255.0. Quel est le chemin d’AS ? On regarde 192.27.112.0/20 : 65108, (aggregated by 205.27.8.1). Pourquoi ce réseau est-il inconnu de PC1 ? Les préfixes BGP ne sont pas redistribués. Il faut synchroniser les bases de données entre l’IGP (OSPF) et l’EGP (BGP). Pourquoi cela ne marche-t-il pas ? Nous avons fait un traceroute, le chemin s’arrête sur le PC 2 qui ne connaît pas de route. Dans quels types de LSA sont stockées les routes externes ? PC1 ne risque-t-il pas de les redistribuer à ses clients ? Les routes BPG sont stockées dans des LSA de type 5. PC1 ne redistribuera pas les routes à ses clients tant qu’on ne lui indique pas explicitement de le faire. Est-il est possible d’atteindre l’interface externe de votre routeur Cisco depuis PC2 ? Il est désormais possible d’atteindre l’interface externe de notre routeur depuis le PC2 et donc depuis le PC1. Est-il possible d’atteindre l’interface externe d’autres routeurs Cisco depuis PC2 ? depuis PC1 ? Depuis le PC2, il est possible d’atteindre l’interface externe des routeurs d’autres bancs (ping 205.27.0.6 et ping 205.27.0.8 fonctionnent par exemple). Ce n’est cependant pas le cas depuis PC1 puisque nous avons configuré la redistribution des routes du sousréseau : le routeur de l’autre banc n’est pas capable de répondre. Pour pouvoir pinguer depuis PC1, il faut redistribuer toutes les annonces. 6 Est-il possible d’atteindre l’interface externe des autres routeurs Cisco depuis PC2 ? Depuis PC2, cela fonctionnait déjà (cf. question précédente). En revanche, maintenant que nous avons configuré la redistribution des routes en OSPF, PC1 peut joindre l’interface externe des routeurs des autres bancs Est-il possible de joindre un préfixe annoncé par un autre banc ? pourquoi ? On teste : ping 192.27.112.1 connect: Network is unreachable. Cela signifie qu’aucune route n’est connue : les préfixes appris avec BGP ne sont pas redistribués avec l’IGP. Après avoir modifié la configuration du routeur Cisco, on obtient : ping 192.27.112.1 PING 182.27.112.1 (192.27.112.1) 56(84) bytes of data. La commande n’aboutit pas car il n’existe pas de machine ayant cette adresse IP, cependant, la sortie de la commande nous assure que le préfixe est désormais connu. Vérifiez vos annonces sur le routeur Cisco d’un autre ISP. Votre annonce est-elle choisie ? Notre annonce n’est pas choisie car la commande précédente visait à allonger artificiellement le chemin d’AS pour que la route apparaisse comme étant moins avantageuse. 7 Campus de Rennes 2, rue de la Châtaigneraie CS 17607 35576 Cesson Sévigné Cedex France +33 (0)2 99 12 70 00 www.telecom-bretagne.eu
© Copyright 2024 ExpyDoc
