PARCOURS SLAM - jeydubrulle.files.wordpress.com · Contexte de la situation professionnelle1: Mise...

BTS Services informatiques aux organisations Session 2015

E4 – Conception et maintenance de solutions informatiques Coefficient 4

DESCRIPTION D’UNE SITUATION PROFESSIONNELLE

Épreuve ponctuelle Contrôle en cours de formation

PARCOURS SISR PARCOURS SLAM

NOM et prénom du candidat : DUBRULLE Jérémy

N° candidat : M326080121

Contexte de la situation professionnelle1 : Mise en place d’une solution garantissant la tolérance de panne et la disponibilité d'éléments d'interconnexion

Intitulé de la situation professionnelle : Mise en place d'une architecture réseau avec des routeurs et avec tolérance de panne, notamment de par le paramétrage du protocole de routage dynamique EIGRP

Période de réalisation : 1er semestre année 2014/2015 Lieu : PROMEO, 60000 BEAUVAIS Modalité : Seul En équipe

Principale(s) activité(s) concernée(s)2 : Mise en place d'une architecture réseau avec des routeurs et avec tolérance de panne, notamment de par le paramétrage du protocole de routage dynamique EIGRP

Conditions de réalisation2 (ressources fournies, résultats attendus) : Projet réalisé avec 4 routeurs physiques, trois ordinateurs et tous les outils nécessaires à sa réalisation toujours à disposition

Productions associées

Modalités d’accès aux productions 3 : mot de passe enable sur les routeurs : « class » Modalités d’accès à la documentation des productions 4 : un document papier et un électronique rendus au responsable de section

Au verso de cette page, le candidat présente un descriptif détaillé de la situation professionnelle et des productions réalisées sous forme d’un rapport d’activité permettant notamment de mettre en évidence la démarche suivie et les méthodes retenues.

1 Conformément au référentiel du BTS SIO, le contexte doit être conforme au cahier des charges national en matière d’environnement

technologique dans le domaine de spécialité correspondant au parcours du candidat. 2 En référence à la description des activités des processus prévue dans le référentiel de certification. 3 Conformément au référentiel du BTS SIO « Dans tous les cas, les candidats doivent se munir des outils et ressources techniques nécessaires

au déroulement de l’épreuve. Ils sont seuls responsables de la disponibilité et de la mise en œuvre de ces outils et ressources. Les candidats qui

n’en sont pas munis sont pénalisés dans les limites prévues par la grille d’aide à l’évaluation proposée par la circulaire nationale d’organisation. ».

Il s’agit par exemple des identifiant, mot de passe, URL d’un espace de stockage et de la présentation de l’organisation du stockage.

4 Lien vers le document décrivant la situation professionnelle tant au niveau logiciel (par exemple service fourni par la situation, interfaces

utilisateurs, description des classes, de la base de données…) que matériel (par exemple schéma complet de réseau mis en place et

configurations des services).

Routage dynamique EIGRP

DUBRULLE Jérémy /14

PPE N°1 ROUTAGE DYNAMIQUE EIGRP

DUBRULLE Jérémy



SOMMAIRE

I) Contexte

1) Projet

2) Topologie globale

3) Table d’adressage

II) Plan d’action

1) Adressage

2) DHCP

3) EIGRP

a) Configurations standards

b) Authentification

4) Ajustement bande passante

III) Conclusion



I) Contexte

1) Projet

La société Jerdub souhaite modifier la configuration de son parc

informatique. Actuellement, elle n’est basée que sur un site : DALLAS. Elle a pour

objectif de s’étendre et d’ouvrir deux autres sites qui seront situés à SEATTLE et

SAN FRANCISCO. Pour cela, j’ai été engagé en qualité d’ingénieur systèmes et

réseaux, j’ai pour mission de concevoir et mettre en place la nouvelle

architecture réseau.

Voici les configurations et améliorations que je propose :

-Connecter les trois sites distants avec trois routeurs (chacun connecté à une LAN)

interconnectés.

-Ajouter un quatrième routeur connecté aux trois autres qui établira des routes de

secours.

-Paramétrer sur ces routeurs le protocole de routage dynamique EIGRP.

-Ajuster les bandes passantes des liens inter-routeurs afin de prioriser les routes

reliant directement les sites (sans passer par le routeur de secours).

-Sécuriser le protocole EIGRP en y intégrant l’authentification md5 sur chaque

interface reliant à un autre routeur.

-Configurer les trois routeurs directement connectés aux sites de manière à ce

qu’ils fournissent des adresses DHCP aux hôtes sur leur LAN respective.

Note : A toutes ces modifications s’ajoute un adressage totalement nouveau.



2) Topologie globale

J’ai représenté mon projet par le schéma ci-dessous :

Cette architecture a pour point principal de fournir de la tolérance aux

pannes, d’une part avec la présence d’un quatrième routeur fournissant des

routes de secours en cas de défaillances ; D’autre part avec la configuration d’un

protocole de routage dynamique (en l’occurrence EIGRP) qui va permettre aux

routeurs de s’adapter automatiquement en cas d’événements inattendus sur un

des liens inter-routeurs. De plus la sécurisation de ce protocole va rendre

quasiment impossible des intrusions fortuites de routeurs dans l’ensemble des

réseaux de la société et donc garantir la continuité des services.

SEATTLE

DALLAS

PC-SAN-FRANCISCO PC-SEATTLE

PC-DALLAS

200.0.0.12/30 200.0.0.0/30

200.0.0.8/30

200.0.0.20/30200.0.0.4/30

200.0.0.16/30

64 kb2048 kb2048 kb

2048 kb

64 kb64 kb

.1

.1.10

.13

.1

.14

.17

.21 .1

.18

.5 .2

.9

.22.6

SAN-FRANCISCO

LIAISON SERIE

LIAISON

FASTETHERNET

R-DALLAS

R-SEATTLER-SAN-FRANCISCO

R-INTER

192.168.3.0/24

192.168.1.0/24

192.168.2.0/24



3) Table d’adressage

Voici la table d’adressage associée :

Sites Matériels Interfaces Adresses IP Passerelles

DALLAS

R-DALLAS

S0/1/0 200.0.0.1/30

N/A S0/1/1 200.0.0.10/30

S0/0/0 200.0.0.13/30

Fa0/0 192.168.1.1/24

PC-DALLAS NIC DHCP 192.168.1.1

(DHCP)

SEATTLE

R-SEATTLE

S0/1/0 200.0.0.2/30

N/A S0/0/1 200.0.0.5/30

S0/1/1 200.0.0.18/30

Fa0/0 192.168.2.1/24

PC-SEATTLE NIC DHCP 192.18.2.1

(DHCP)

SAN-

FRANCISCO

R-SAN-FRANCISCO

S0/0/0 200.0.0.14/30

N/A S0/1/1 200.0.0.17/30

S0/1/0 200.0.0.21/30

Fa0/0 192.168.3.1/24

PC-SAN-FRANCISCO NIC DHCP 192.168.3.1

(DHCP)

AUTRES R-INTER

S0/0/1 200.0.0.6/30

N/A S0/1/1 200.0.0.9/30

S0/1/0 200.0.0.22/30



II) Plan d’Action

1) Adressage

Au vu des modifications à effectuer sur l’ensemble de l’architecture réseau

de la société, un nouvel adressage est mis en place. Voici mes décisions

concernant l’adressage, que j’ai également répertoriées plus haut dans la table

d’adressage et sur le schéma :

-pour chaque LAN, un réseau 192.168.X.0/24 (X=1 pour DALLAS – X=2 pour

SEATTLE – X=3 pour SAN FRANCISCO) est attribué, avec la première adresse IP

pour l’interface du routeur.

-pour les liaisons inter-routeurs, 6 réseaux allant de 200.0.0.0/30 à 200.0.0.20/30

sont attribués.

-pour les ordinateurs, l’adressage se fera en DHCP. La configuration est détaillée

ci-après.

2) DHCP

Afin de fournir des adresses automatiquement aux ordinateurs de chaque

LAN, le service DHCP est configuré sur chacun des routeurs donnant accès à une

LAN : R-DALLAS, R-SEATTLE et R-SAN-FRANCISCO.

Les paramètres DHCP sont semblables sur chaque routeur, les informations

suivantes sont distribuées :

-Une étendue qui comprend toutes les adresses IP du réseau de la LAN.

-Une adresse de passerelle qui n’est autre que l’adresse IP de l’interface du

routeur connectée à cette LAN.

Pour vérifier que des adresses du pool DHCP ont bien été attribuées automatiquement aux clients, il faut effectuer la commande show ip dhcp binding

sur le routeur.

On voit que l’adresse 192.168.1.2 a bien été allouée à l’ordinateur dont l’ID

est 01f0.921c.f1ed.ee, il n’y en a qu’une d’allouée puisqu’un seul pc est connecté

sur le réseau 192.168.1.0/24.



3) EIGRP

a) Configurations standards

En ce qui concerne le routage, j’ai décidé de mettre en place le protocole

de routage dynamique EIGRP. Il repose sur un algorithme appelé DUAL (Diffused

Update Algorithm). Le matériel utilisé étant de marque Cisco Systems (routeur

1841), il est possible d’utiliser ce protocole propriétaire Cisco. Il est configuré

avec les caractéristiques suivantes :

-Tous les routeurs sont configurés dans l’autonomous system 1.

-La « summarisation » automatique est désactivée.

-Afin que chaque routeur puisse communiquer sur l’ensemble de l’infrastructure

réseau, tous les liens directement connectés à chacun d’entre eux sont

renseignés : les liaisons série inter-routeurs et les 3 réseaux LAN en 192.168.X.0.

Ainsi tous ces réseaux seront annoncés dans les paquets échangés par le

protocole EIGRP (paquets UPDATE propageant les informations de routage).

-Les interfaces FastEthernet0/0 directement connectées aux LAN sont configurées

en passive-interface sur R-DALLAS, R-SEATTLE et R-SAN-FRANCISCO. Ainsi elles

ne peuvent plus envoyer de paquet HELLO ni en recevoir, ce qui est utile

puisqu’il n’y a pas de matériel de niveau 3 dans ces réseaux (susceptibles de

transmettre ce genre de paquets).

b) Authentification

Pour assurer la continuité des services, il est important de mettre en place

l’authentification EIGRP sur tous les routeurs. Et en particulier sur les interfaces

série, pas sur les « passives ». Elle permet d’empêcher un routeur intrus de

s’introduire sur un des réseaux et de participer au processus EIGRP. En effet,

lorsqu’elle est configurée, les paquets EIGRP (Hello, Update, Ack, …) transmis

contiennent 2 éléments :

-le message en clair.

-un « hash » (c’est un dire un cryptage à l’aide de l’algorithme md5) du

message effectué à partir d’une clé.



&

Message EIGRP

Hash

CONTIENT

+

EIGRP

Paquet EIGRP transmis

Message EIGRP Clé secrète

CREE A PARTIR DE



Cette clé secrète est à paramétrer sur les routeurs. Elle doit être la même

sur les interfaces de 2 routeurs voisins (sur un même sous-réseau) car une fois le

paquet reçu, le routeur va recalculer le « hash » à partir du message en clair et de

la clé configurée sur son interface. Si les clés sont différentes, et par conséquent

que le « hash » recalculé n’est pas identique, le paquet est supprimé. Donc si un

routeur s’introduit de manière inattendue sur un réseau, il ne pourra pas

communiquer avec les autres s’il n’a pas de clé configurée ou si elle n’est pas

identique à celle de ses voisins. C’est un moyen efficace de sécuriser son

infrastructure réseau au niveau 3.

En ce qui concerne l’architecture de la société Jerdub, j’ai configuré tous

les routeurs à l’identique pour l’authentification EIGRP. Tout d’abord il faut

générer la clé, et pour cela il faut au préalable créer la « key-chain » : cisco ; Puis

indiquer le « key-id » : 1 (ces deux premiers paramètres ne doivent pas

nécessairement être identique sur chaque routeur mais cela rend plus simple la

configuration) ; Et enfin on entre la « key-string » (clé servant au hachage) : c1sc0.

On voit sur la capture les configurations que j’ai faites, la « key-string » est

affichée de manière cryptée.

Il faut ensuite paramétrer les interfaces pour qu’elles entrent dans le

processus d’authentification EIGRP en indiquant d’utiliser le hachage md5, puis

en renseignant ensuite le nom de la « key-chain » (contenant la clé).

Les deux commandes entourées sont entrées sur chaque interface participant au

processus.

Après cela, il est important de vérifier si la communication entre les

routeurs est fonctionnelle. Cela n’est possible que si la configuration de

l’authentification est en place sur chaque matériel de niveau 3. Pour cela, on peut

demander au routeur d’afficher les logs d’échanges de paquets EIGRP.



Cela se fait par la commande debug eigrp packets, il est possible de cibler un

type de paquet, sur l’image j’ai ciblé les paquets HELLO. On peut voir que le

message reçu est authentifié par l’algorithme md5.

4) AJUSTEMENT BANDE PASSANTE

Au vu de la topologie que j’ai décidée de mettre en place, il est cohérent

de privilégier certaines routes d’un dispositif à un autre, plus courte et/ou plus

rapide. Par exemple, un paquet allant de PC-SEATTLE à PC-DALLAS doit passer

par R-SEATTLE puis directement R-DALLAS. Deux autres routes peuvent

également l’y mener en cas de défaillance. Elles permettent d’avoir de la

tolérance aux pannes.

EIGRP, et en particulier l’algorithme DUAL, calcule le chemin qu’il doit

prendre en se basant sur le métric, et la route qui a le plus bas métric jusqu’à la

destination est privilégiée. Ce métric est calculé selon 2 critères : le délai et la

bande passante, et selon cette formule :

METRIC = 256 * (BANDE PASSANTE + DELAI)

(10 000 000 / Plus petite bande passante) (Somme des délais / 10)

Le délai est de 20000 microsecondes pour les liaisons séries et la bande

passante d’environ 1544 kilobits par seconde par défaut. En toute logique, la

route allant de PC-SEATTLE à PC-DALLAS en passant simplement par R- SEATTLE

et R-DALLAS a un métric plus bas que celle passant par R-INTER ou par R-SAN-

FRANCISCO car ces dernières comptent 40 000 de délai contre 20 000 pour la

première. Mais afin d’assurer que chaque route entre 2 routeurs reliés à une LAN

soit privilégiée, j’ai choisi d’ajuster la bande passante de chaque lien de ce

genre, en l’augmentant à 2048 kbps. Et en passant tous les liens directement

connectés à R-INTER à 64 kbps, simulant un lien de secours RNIS. Ce type de lien

est utile dans les cas où toutes les routes usuelles sont hors services, il permet

alors d’assurer le trafic des flux mais avec un débit bien moindre.

Les ajustements sont décrits sur le schéma suivant.



64 kb

2048 kb2048 kb

2048 kb

64 kb

64 kb

R-INTER

R-SAN-FRANCISCO R-SEATTLE

R-DALLAS

Chemin Préférentiel

Métric = 1 762 000

Chemin Secondaire

Métric = 2 274 000

Chemin de dernier recours

Métric = 41 024 000

1

2

3

.2.5

.18

.6

.9

.22

.1.10

.13

.14.21

.17



Pour être certain que les paramètres appliqués soient effectifs, on peut

d’abord vérifier le métric de chaque route dans une table de routage. C’est un

moyen théorique de s’assurer que certaines routes sont prioritaires.

Mais il est aussi possible de s’assurer de cela par un moyen pratique en

provoquant des pannes sur des liens. Ainsi on observera si les paquets

empruntent les routes souhaitées.

Voici un tracert de PC-SEATTLE à PC-DALLAS :

Le paquet passe par sa passerelle en 192.168.2.1 (R-SEATTLE) puis par l’interface

de R-DALLAS (chemin du schéma).

Si l’on rend le lien entre R-DALLAS et R-SEATTLE inutilisable en coupant

l’interface en .1 de R-DALLAS, cela donne ce tracert :

Le paquet passe alors par R-SAN-FRANCISCO en .17, puis ensuite R-DALLAS en

.13 (chemin du schéma).

Et enfin si en plus de couper l’interface en .1 de R-DALLAS, son interface

.13 est également coupée :

On voit que le paquet passe alors par R-INTER en .6 puis R-DALLAS en .10. Le

routeur R-INTER est donc bien utilisé en dernier recours (chemin du schéma).

1

2

3



De par la réalisation de ce projet, je peux affirmer qu'il est possible de

mettre en place de la tolérance de panne de manière efficace. La présence de

plusieurs routeurs et le paramétrage d'EIGRP assurent la redondance de

l'infrastructure. De plus, la sécurisation du protocole EIGRP empêche les

potentielles intrusions sur les réseaux et garantit une meilleure disponibilité des

services.

D'un point de vue personnel, ce projet a tout d'abord renforcé ma

connaissance des routeurs et des protocoles qui y sont associés. En effet, la mise

en place d'une architecture complète et de protocoles sur et avec du matériel

physique m'a permis de mettre en pratique ce que j'ai acquis durant ces deux

années de BTS. De plus, le fait d'avoir réalisé ce projet dans un délai relativement

court, avec les problèmes rencontrés lors des paramétrages et tests, va je pense

me servir pour les futurs projets que j'accomplirai.

III) Conclusion

PARCOURS SLAM - jeydubrulle.files.wordpress.com · Contexte de la situation professionnelle1: Mise...

Documents

Transcript of PARCOURS SLAM - jeydubrulle.files.wordpress.com · Contexte de la situation professionnelle1: Mise...