Vous êtes sur la page 1sur 168

Configuration Basique De BGP

September 26, 2013 by Valentin Weber Leave a comment

Vous avez assimil la thorie sur le protocole BGP ?


Voyons comment le mettre en place de manire basique.
Nous verrons plus tard des configurations plus complexes.

1)

La topologie utiliser

Voici la topologie que nous utiliserons tout au long de cette mise en pratique.
Le but sera de voir les configurations de base de BGP.
Trois Autonomous System sont connecter grce BGP.

2)

Configuration de base

La configuration de base mettre en place afin de suivre cet article est la suivante :

Adresses IP

Interfaces Loopback

OSPF sur R1, R2 et R3

Une fois cela fait, vous pouvez passer la suite : la configuration de BGP !

3)

Relations de voisinage BGP

Bien, voyons comment crer une relation de voisinage BGP entre deux routeurs

Relation eBGP
Tout dabord, entrer dans le mode BGP en spcifiant le numro dAS :
R1(config)#routerbgp300

Puis ajouter une relation de voisinage :


R1(configrouter)#neighbor14.0.0.4remoteas100

On spcifie lIP du voisin ainsi que son AS

Il faut maintenant faire de mme sur R4 :


R4(config)#routerbgp100
R4(configrouter)#neighbor14.0.0.1remoteas300

Comme nous lavions dit, BGP est un protocole lent.


Aprs un certain temps, la relation BGP va apparaitre :

Nous pouvons voir la liste des relations comme ceci :

Faisons de mme pour R3 et R5 :


R3(config)#routerbgp300
R3(configrouter)#neighbor35.0.0.5remoteas200

R5(config)#routerbgp200
R5(configrouter)#neighbor35.0.0.3remoteas300

Les relations sont cres. Ce sont des relations eBGP car elles se mettent en
place entre deuxAutonomous System.

Relation iBGP

Il est aussi possible de mettre en place des relations iBGP (au sein dun mme AS).
Nous allons donc mettre en place une relation iBGP entre R1 et R3. Le but est quils
schangent leurs routes BGP sans quil soit ncessaire dutiliser de la redistribution.
Vous pourrez constater quil nest pas ncessaire que les routeurs soient
directement connects pour quune relation se forme.

Pour une relation iBGP, il est conseill dutiliser une IP de Loopback comme IP de
voisin.
Pourquoi ? Car si nous utilisons une IP dinterface, et que celle-ci tombe en panne,
la relation BGP disparait. Bien sr, cela est utile que si notre rseau dispose de liens
redondants vers ce voisin.
Si nous avions un lien direct entre R1 et R3 (en plus du lien R1 -> R2 -> R3), et que
nous utilisions 10.0.23.3 comme IP de voisin pour R3, la relation BGP disparaitrait si
le lien R1 -> R2 -> R3 tombait (alors quil reste le lien R1 R3).

Ici nous navons quun lien reliant R1 et R3. Mais voyons tout de mme comment
faire une relation de voisinage avec une IP de Loopback.
Sur R1 et R3, ajouter une interface de Loopback. Ne pas oublier dinclure cette
interface dans le processus OSPF.

R1(config)#interfaceloopback0
R1(configif)#ipaddress1.1.1.1255.255.255.255
R1(config)#routerospf1
R1(configrouter)#network1.1.1.10.0.0.0area0

R3(config)#interfaceloopback0
R3(configif)#ipaddress3.3.3.3255.255.255.255
R3(config)#routerospf1
R3(configrouter)#network3.3.3.30.0.0.0area0

Ensuite, configurer la relation BGP :


R1(config)#routerbgp300
R1(configrouter)#neighbor3.3.3.3remoteas300

R3(config)#routerbgp300
R3(configrouter)#neighbor1.1.1.1remoteas300

Un Show ip bgp summary vous montrera que la relation nest pas UP :

Cela tient au fait que quand R3 envoie un message R1, le message a pour source
10.0.23.3 (lIP de linterface qui envoie le message).
Or R1 sattend recevoir des messages de 3.3.3.3

Il faut donc changer la source des messages pour cette relation de voisinage :
R1(configrouter)#neighbor3.3.3.3updatesourceloopback0
R3(configrouter)#neighbor1.1.1.1updatesourceloopback0

Un peu de patience et la relation devrait apparaitre.

Relation eBGP avec IP de Loopback


Finissons par une petite particularit, la mise en place de relation eBGP avec une IP
de Loopback.
Si vous faites ceci, il faut ajouter une commande (en plus de la relation de voisinage
avec IP de Loopback). La voici en exemple pour R5 :
R3(configrouter)#neighbor5.5.5.5ebgpmultihop2

Il est ncessaire dutiliser cette commande, car par dfaut, une relation eBGP ne
peut pas stablir sur une distance de plus de 1 saut.
Il faudra appliquer la mme commande sur R5.
Il faut aussi que les deux routeurs sachent comment joindre lIP de Loopback. Dans
lexemple, R5 doit avoir une route vers 3.3.3.3 (et inversement pour R5).

Lutilisation dune IP de Loopback pour une relation eBGP est utile si vous possdez
un lien redondant (double lien) vers le voisin.

4)

Distribution de route

Solution 1 : La commande Network


Les relations de voisinage sont en place, cest une bonne chose.
Par contre, il manque quelque chose :

Les routes ne sont pas redistribues par BGP.


La commande Neighbor ne fait qutablir la relation BGP.
Pour annoncer des rseaux (les inclurent dans le processus BGP), voici la
procdure :
R4(config)#routerbgp100
R4(configrouter)#network40.0.0.0mask255.255.255.0
R4(configrouter)#network40.0.1.0mask255.255.255.0
R4(configrouter)#network40.0.2.0mask255.255.255.0

Contrairement aux autres protocoles, la commande Network ne fait quajouter


des rseaux au processus. Elle ne permet pas de crer une relation avec un voisin.
Voici le rsultat :

A ce stade, vous vous demandez surement pourquoi nous navons pas annonc le
rseau 40.0.0.0 /22.
Simplement parce que BGP ne peut annoncer une route que si elle est prsente
dans la table de routage.
Or, voici la table de routage de R4 :

La route 40.0.0.0 /22 nexiste pas. Nous ne pouvons donc pas lannoncer avec BGP.

Ensuite, annoncez les rseaux de R5 :


R5(configrouter)#network50.0.0.0mask255.255.255.0
R5(configrouter)#network50.0.1.0mask255.255.255.0
R5(configrouter)#network50.0.2.0mask255.255.255.0

Solution 2 : la redistribution
La deuxime solution consiste utiliser la redistribution de route.
Ici rien de bien nouveau. Voyons tout de mme un exemple pour BGP.

Nous allons ajouter deux interfaces de Loopback sur R5, de manire crer de
nouvelles routes.
R5(config)#interfaceloopback3
R5(configif)#ipaddress50.1.0.1255.255.255.0
R5(configif)#interfaceloopback4
R5(configif)#ipaddress50.1.1.1255.255.255.0

Le but est que R5 annonce ces routes en BGP.

Profitons-en pour faire une redistribution propre :


R5(config)#accesslist10permit50.1.0.00.0.0.255
R5(config)#accesslist10permit50.1.1.00.0.0.255

R5(config)#routemapBGPRedistribution
R5(configroutemap)#matchipaddress10

R5(config)#routerbgp200
R5(configrouter)#redistributeconnectedroutemapBGPRedistribution

Voici le rsultat :

5)
Distribution des routes par
iBGP
Nous avons mis en place la distribution de route par BGP.
R4 annonce ses routes R1, et R5 annonce ses routes R3.

Mais il y a un problme que vous aurez peut tre remarqu : R1 et R3 ne schange


pas de route par BGP.
La relation iBGP entre R1 et R3 ne semble pas permettre la redistribution des routes
apprises par eBGP.
Vous pouvez voir cela sur la table de routage juste au-dessus.R3 ne connait pas les
rseaux 40.0.0.0 /22
En ralit, R1 connait les routes, mais il ne les places pas dans sa table de routage.

Il ny a pas de chevron devant la route. Elle nest donc pas mise dans la table de
routage.
Mais pourquoi donc ?
Il y a deux raisons.

1er raison : Un routeur napprend pas une route par iBGP (et ne la redistribue pas)
tant quil na pas appris cette mme route par un protocole de routage interne (type
OSPF).

Dans notre topologie, R1 napprendra pas la route pour 50.0.0.0 /24 par iBGP (donc
venant de R3), tant quil na pas reus une MAJ OSPF contenant une route vers cette
mme destination.

Cette rgle tait valable sur les anciens routeurs Cisco. Pour lannuler, il faut entrer
la commande no auto-summary .
Un Show run vous permettra de savoir si la commande est active par dfaut.
Si ce nest pas le cas, il faut lentrer sur R1 et R3.

2e raison : Quand eBGP annonce une route, il change le Next-Hop. Quand iBGP
annonce une route, il ne change pas le next hop.
Quest-ce que cela pose comme problme ?
Et bien R3 va annoncer une route R1, ayant pour destination 50.0.0.0 /24, et pour
Next Hop 35.0.0.5.
Hors R1 na pas la moindre ide de comment joindre 35.0.0.5.
Il ne va donc pas placer cette route dans sa table de routage.
La commande Show bgp vous permet de voir les routes avec leurs Next-Hop.

Il va donc falloir changer le Next-Hop au moment o R3 annonce les routes R1.

La manipulation est simple :


R3(config)#routerbgp300
R3(configrouter)#neighbor1.1.1.1nexthopself

R3 va changer le Next-Hop par son IP quand il va redistribuer des routes R1.

Pareil pour R1 :
R1(config)#routerbgp300
R1(configrouter)#neighbor3.3.3.3nexthopself

Voyons si cela a march :

En effet, R1 connait maintenant les routes redistribues par R3 (et inversement


pour R1).
Au passage, vous noterez que R4 a aussi appris les routes (pareil pour R5).

6)
Les trous noirs causs par
BGP
Aviez-vous remarqu que vous avez cr un trou noir ? Ou plutt que je vous ai fait
crer un trou noir ?
Bon certes, le terme est un peu fort, mais tout de mme.

Pour constater les dgts, faite un ping depuis R4 vers 50.0.0.1.


Normalement, il devrait passer, non ?

Et bien non
Et pourquoi ? Car R2 ne connait pas la route vers 50.0.0.0 /22.

Et pourquoi ne connait-il pas la route ? Car celle-ci a t annonce en BGP. La MAJ


est venue de R5, elle est passe par R3 puis a travers R2 (sans que celui-ci ne la
prenne en compte), puis elle est arrive R1 (puis R4).
Au final, R2 a bien reu la MAJ. Sauf que comme il nutilise pas BGP (et donc quil
na pas de relation de voisinage), il ne la pas assimil. Il sest content de la dirig
vers sa destination (R1).

Mais comment empcher le trou noir ?


3 solutions :

Mettre en place un lien direct entre R1 et R3

Redistribuer les routes BGP dans OSPF (R2 va donc les assimiler)

Mettre en place BGP sur R2

La mise en place dun lien est la solution la plus simple est la plus performante. Il
faut tout de mme que le cblage soit ralisable.
La redistribution de route est une bonne solution si R2 est capable de supporter
toutes les routes. Dans cet exemple, il ny a pas beaucoup de route. Mais imaginez
une topologie avec de trs grandes tables de routage (ce qui arrive quand on se
connecte un FAI).
Il faut donc voir si R2 possde suffisamment de ressources.
De plus, le routeur de destination doit connaitre la route de retour.
Par exemple, pour aller de R1 R5, la redistribution permet R1 de connaitre
50.0.0.0 /22, mais il faut que R5 connaisse la route pour revenir 10.0.12.0 /24.

Il en est de mme pour lutilisation de BGP. A la diffrence prs que BGP conserve
toutes les routes reues. Si R1 et R3 envoient des routes pour la mme direction, R2
va toutes les conserver. Puis il va mettre la meilleure dans la table de routage.
Si R1 et R3 envoient des routes similaires, cette solution est plus gourmande que la
redistribution.

Libre vous de choisir la solution adquate.


Vous devriez tre capable de faire fonctionner les trois.

Pour ma part, je vais faire simple. Je vais placer un lien entre R1 et R3.
Nanmoins, je vous encourage tenter unes des deux autres solutions.
Il y a un ou deux piges viter. La mise en place peut donc tre intressante.
Il faut bien faire attention. Pour que les solutions fonctionnent il faut que les routes
soient connues de tous les routeurs.

Voici pour la mise en place dun lien :


Ajouter le lien :

Configurer les interfaces.


Mettre en place OSPF entre R1 et R3 (pour que le meilleur chemin vers 3.3.3.3 soit
le lien Ethernet).
Inclure les rseaux 14.0.0.0 /24, 35.0.0.0 /24 et 10.0.13.0 /24 dans le processus
BGP.

Voici le rsultat :

Introduction BGP
September 26, 2013 by Valentin Weber Leave a comment

Vous tes-vous dj demand quel protocole de routage est utilis sur internet ? La
rponse est BGP.
Ce protocole est prvu pour raliser du routage entre des AS (Autonomous System).
Il est aussi prvu pour fonctionner sur de trs grands rseaux.
A travers cette srie darticle, nous allons tudier son fonctionnement, comment le
mettre en place, etc

1)

Caractristiques de base

Il existe 2 types de protocole de routage : les IGP (Interior Gateway Protocol) et les
EGP (Exterior Gateway Protocol).
Les IGP assurent le routage au sein des AS (Autonomous System). Par exemple :
RIP, EIGRP, OSPF.
Les EGP assurent le routage entre les AS.

BGP est du type EGP. Cest dailleurs le seul protocole de ce type.

Pour rappel, un AS est un ensemble de rseaux sous une mme autorit. Par
exemple, un rseau dentreprise est un AS. BGP permet de connecter cet AS
internet, et donc dautres AS.

Il est utile de connaitre le fonctionnement de BGP pour :

Travailler chez un oprateur internet

Grer un point dchange entre oprateurs

Se connecter plusieurs FAI

Le mettre en place dans le cur de rseau dune trs grande entreprise

BGP est du type Path Vector. Cest un driv du type vecteur de distance.

La mtrique utilise est trs complexe, et ladministrateur de lAS pourra en


quelque sorte choisir la mtrique utiliser. Il ne sagit pas dune mtrique simple,
mais dune liste dattributs associs la route. Nous verrons les dtails plus tard.
BGP utilise TCP sur le port 179. Cest donc TCP qui se charge denvoyer les Ack.
La convergence sur un rseau BGP est trs lente.
Imaginez ce qui se passerait sur internet avec une convergence rapide.
Le moindre changement serrait immdiatement rpliqu dans le monde entier !

Aussi, les MAJ de routage sont envoyes quand il y a du changement, et seulement


ce qui a chang est envoy.

2)

Relation de voisinage BGP

Pour tablir une relation de voisinage BGP entre 2 routeurs, il faut la configurer
manuellement sur les deux routeurs.
Contrairement dautres protocoles o les voisins se dtectent automatiquement,
en BGP il faut renseigner ladresse du voisin, de manire tablir la connexion.
Comme dit prcdemment, la session utilise le protocole TCP.
Voici les tats dune connexion :

Idle : Premier stade dune session BGP. Quand une ouverture de session est
demande (configuration, dmarrage du routeur), le routeur initie une session
TCP, puis passe en mode Connect (pour attendre la rponse)

Connect : Le routeur attend une rponse (TCP Syn-Ack) du voisin ou une


demande ltablissement de connexion TCP. En effet, les deux routeurs vont
vouloir tablir une session en mme temps. Une seule session sera conserve
(celle initie par le routeur avec le plus haut ID). Il y aura donc un routeur
chef de la relation de voisinage. Quand la session est tablie, on envoie le
message Open et on passe en mode Open Sent

Active (facultatif): La tentative de connexion avec le voisin a chou


(Timeout). Le routeur fait une nouvelle tentative. En cas dchec, il retombe en

mode Idle. En cas de succs, on passe en mode Open Sent. Ce statut nest donc
atteint quen cas dchec en mode Connect.

Open Sent : Le message Open a t envoy. Il contient diverses infos


(version BGP, ID du routeur, numro dAS, Hold Down Timer). A la rception du
message Open du voisin, si tout convient, le routeur envoie un KeepAlive au et
passe en Open Confirm.

Open Confirm : Attente du KeepAlive du voisin, avant de passer en


Established.

Established : La relation de voisinage est tablie. Les routeurs peuvent


schanger des routes.

Voici un petit schma rsumant le processus (sans le passage en mode Active) :

3)

Types de messages BGP

Voyons les diffrents types de messages qui existent en BGP.


Nous avons dj abord certains dentre eux.
Open packet : Il permet de dmarrer une relation de voisinage. Cest le

premier message envoy aprs quune session TCP soit tablie. Il contient entre
autre la version BGP, lID du routeur (lIP dune des interfaces), le numro de
lAS local, et le Hold Down Timer (temps max entre deux messages BGP avant
de clore la session). Le message Open peut aussi contenir des informations
additionnelles.
Keep Alive : Permet de maintenir la relation BPG. Comme BGP nenvoie des

MAJ que lors ce que cest ncessaire (aprs un changement), il est fort probable
que les routeurs ne discutent pas pendant longtemps (si il ny a pas de
changement). Pour sassurer que la relation de voisinage tient toujours (et que
le voisin est toujours l), des Keep Alive sont envoys. En gnrale, le temps
entre deux Keep Alive reprsente 1/3 du Hold Down Timer Max. Si on ne reoit
pas de Keep Alive ou de Update, et que le Hold Down Timer est atteint, la
relation est arrte. Par dfaut le Hold Down Timer est de 180 secondes chez
Cisco. Donc 60 secondes entres les Keep Alive.
Update : Permet dannoncer de nouvelles routes, ou den retirer. Quand on

annonce une nouvelle route, on donne lAS Path avec. Il sagit du chemin que
va emprunter le paquet pour arriver destination. Si le routeur qui reoit la
route pour une destination voit son propre AS dans lAS Path, il va refuser la
route (car cela causerait une boucle de routage).
Notification : Informe le voisin quil y a un problme. La relation BGP est

arrte (ainsi que la session TCP) et le routeur repasse en mode Idle.

4)

Types de tables BGP

BGP utilise 3 tables pour fonctionner.

Neighbor Table : contient la liste des voisins qui on est connect. Les relations
sont tablies la main.
Voici un exemple de table de voisinage :

Les champs contenus dans la table sont les suivants :

Neighbor : lID du voisin

V : la version BGP

AS : le numro de lAutonomous System du voisin

MsgRcvd : nombre de messages reus (Update, KeepAlive)

MsgSent : nombre de messages envoys

TblVer : dernire version de la table de routage envoye ( comparer avec la


version locale)

InQ : nombre de messages en file dattente venant du voisin

OutQ : nombre de message en file dattente, envoyer chez le voisin

Up/Down : depuis combien de temps la relation est UP

State/PfxRcd : nombre de prfixes reus par le voisin

La deuxime table est la BGP Table. Elle contient la liste de toutes les routes reus,
et ce depuis tous les voisins. En effet, si lon a plusieurs voisins, il se peut que lon
reoive plusieurs fois la mme route (mais venant dun voisin diffrent).
Voici un exemple :

Les champs contenus dans la table sont les suivants :

* : ltoile signifie que la route est valide

> : le chevron signifie que cest la meilleure route disponible pour cette
destination (ici nous navons quune route, donc il ny a pas le choix)

Network : le rseau de destination

Next Hop : prochain saut pour joindre la destination

Metric : un des attributs constituant la mtrique totale

LocPrf : un des attributs constituant la mtrique totale

Weight : un des attributs constituant la mtrique totale

Path : les AS par lesquels il faudra passer (ici il ny en a que 1 : le 200)

La troisime table est la table de routage, ce qui est logique. Son fonctionnement
ne change pas de dhabitude.

Pour chaque destination apprise par BGP, la meilleure route sera place dans la
table de routage.

5)

Multihoming

Le principe du Multihoming cest dtre connect plusieurs FAI.

Cela permet davoir de la redondance (haute disponibilit), et de faire de la


rpartition de charge.
Cela un intrt sur les paquets entrants et sortants :
Paquet sortant : nous pouvons rpartir la charge sur les deux FAI. Nous pourrons
alors profiter de nos deux lignes internet. De plus, selon le rseau de destination
joindre (sur Internet), il est possible quun FAI offre une meilleure route. Nous
pourrons alors le favoriser dans le choix du Next Hop.
Sans BGP, nous pouvons tout de mme faire de la rpartition de charge, par contre,
nous ne pouvons pas savoir quel FAI offre le meilleur chemin (il faudra choisir au
hasard).

Paquet entrant : nous pouvons aussi rpartir la charge en entre en annonant la


moiti de nos sous rseaux internes un FAI, et lautre moiti au deuxime FAI.

Dans lexemple donne, nous pouvons annoncer 170.50.2.0 /25 au FAI 1, et


170.50.2.128 /25 au FAI 2.

Si nous avons deux routeurs qui font face internet, nous pouvons privilgier lun
ou lautre en fonction du rseau interne joindre. Ainsi, un paquet venant dinternet
sera automatiquement dirig vers le routeur (dentre sur notre rseau) offrant le
meilleur chemin.

Voyons maintenant les 3 faons dimplmenter BGP pour se connecter Internet

Cas No 1 : route par dfaut


Ici nous avons deux FAI, qui nous envoient chacun une route par dfaut.
Il nest donc pas possible de favoriser un FAI ou un autre en fonction du rseau
joindre.
Par contre, nous pouvons tout de mme utiliser les deux FAI simultanment
(rpartition de charge), ou en garder un en secours.
Nous pouvons aussi influencer le choix du FAI pour les paquets entrants (voir
prcdemment), selon les rseaux (internes) que lon annonce aux FAI.
Cette solution ne consomme que trs peu de ressource.

Cas No 2 : MAJ partielles


Ici les FAI nous envoient une partie de leur table de routage (table de routage de
tout internet).
Nous pouvons choisir les routes (pour quelles destinations) que nous souhaitons
recevoir.
Par exemple, si nous avons des bureaux distants ou des serveurs dans un Data
Center, nous y enverrons rgulirement du trafic. Nous souhaitons donc savoir quel
FAI nous offre le meilleur chemin vers ces destinations favorites.

Pour les autres destinations, nous choisirons alatoirement un des FAI.

Cas No 3 : MAJ compltes


Ici les 2 (ou plus) FAI nous envoient chacun leur table de routage complte (table de
routage de tout internet.
Nous pourrons donc choisir le meilleur FAI pour chaque paquet sortant.
Cette solution consomme beaucoup de ressource. Surtout beaucoup de RAM
(plusieurs centaines de MO)

Redistribution De Route : Configuration


September 26, 2013 by Valentin Weber Leave a comment

Nous avons vu le but de la redistribution, les problmes poss par celle-ci, puis nous
avons fait un aperu des mthodes qui existent pour redistribuer les routes.
Passons au plus intressant, la pratique !
Nous allons implmenter les solutions vues prcdemment, dans une topologie.
Nous verrons la Distribution List, la Prefix List et les Route Maps.

1)

Topologie

La topologie que nous allons utiliser est presque la mme que dans larticle traitant
de la thorie.

Nous retrouvons 3 rseaux : un OSPF, un EIGRP, et un RIP.


Comme toujours, les IP des interfaces sont celles du rseau associ + ID du routeur.
Exemple pour R3 S0/1 : 10.0.34.3 /24

2)

Configuration de base

Voici la liste des choses mettre en place avant de commencer :


-

IP des interfaces

Interfaces Loopback

Configurons ensuite le routage.

OSPF
R1(config)#routerospf1
R1(configrouter)#routerid1.1.1.1

R1(configrouter)#network172.16.30.00.0.0.255area0
R1(configrouter)#network172.16.31.00.0.0.255area0
R1(configrouter)#network172.16.32.00.0.0.255area0
R1(configrouter)#network172.16.33.00.0.0.255area0
R1(configrouter)#network10.0.13.00.0.0.255area0
R1(configrouter)#network10.0.12.00.0.0.255area0

R2(config)#routerospf1
R2(configrouter)#routerid2.2.2.2
R2(configrouter)#network10.0.12.00.0.0.255area0

R3(config)#routerospf1
R3(configrouter)#routerid3.3.3.3
R3(configrouter)#network10.0.13.00.0.0.255area0

EIGRP
R2(config)#routereigrp1
R2(configrouter)#noautosummary
R2(configrouter)#network10.0.25.00.0.0.255

R3(config)#routereigrp1
R3(configrouter)#noautosummary
R3(configrouter)#network10.0.34.00.0.0.255

R4(config)#routereigrp1
R4(configrouter)#noautosummary
R4(configrouter)#network10.0.34.00.0.0.255
R4(configrouter)#network10.0.45.00.0.0.255

R5(config)#routereigrp1
R5(configrouter)#noautosummary
R5(configrouter)#network10.0.25.00.0.0.255

R5(configrouter)#network10.0.45.00.0.0.255

R4(configrouter)#network172.16.20.00.0.0.255
R4(configrouter)#network172.16.21.00.0.0.255
R4(configrouter)#network172.16.22.00.0.0.255
R4(configrouter)#network172.16.23.00.0.0.255

RIP
R5(config)#routerrip
R5(configrouter)#version2
R5(configrouter)#network10.0.56.0

R6(config)#routerrip
R6(configrouter)#version2
R6(configrouter)#network10.0.56.0
R6(configrouter)#network172.16.0.0

(Il faudra un peu de temps R5 pour recevoir la routes 172.16.0.0 /16)

La configuration de base est prte.


Avant de passer la redistribution, vrifier que les routes se sont bien propages.

3)

Redistribution basique

Passons aux choses srieuses !


Nous allons commencer par redistribuer les routes OSPF dans EIGRP

La configuration doit seffectuer sur R2 et R3.

Pour redistribuer les routes OSPF dans EIGRP, il faut aller dans le mode EIGRP
(attention ne pas se tromper).
Il est trs important de spcifier la mtrique quand on redistribue des routes dans
EIGRP (de mme pour RIP). Sans une mtrique choisie, les routes sont annonces
avec une mtrique infinie.
Pour OSPF, une mtrique de 20 est utilise si rien nest spcifi.
Pour BGP, la mtrique est conserve.

Il faut ensuite faire de mme pour R3 :

Allons voir sur R4 si la redistribution a fonctionn :

Les routes ayant le prfix EX sont des routes externes, cest--dire les routes
que nous avons importes dans EIGRP.

Parfait !
Faisons de mme en important les routes EIGRP dans OSPF

La commande est presque la mme que prcdemment.


Le mot cl Subnet permet de ne pas rsumer les routes quand elles sont
redistribues.
Le metric-type permet de dfinir si la mtrique doit grandir aprs redistribution.
Un Metric-type de 1 signifie que la mtrique augmente aprs la redistribution (
chaque fois quun routeur annonce cette route)
Un Metric-type de 2 signifie que la mtrique reste la mme aprs redistribution
(tous les routeurs recevant cette route verrons une mtrique de 50)

Ne pas oublier de faire de mme sur R3 (mme si ce nest pas obligatoire).

Voyons le rsultat sur R1 :

Parfait, il connait les routes venant dEIGRP !

Finissons par la redistribution entre RIP et EIGRP

Vrifions si R6 connait toutes les routes

En effet.
Libre vous de faire divers test pour vous assurer du bon fonctionnement de la
redistribution.

4)

Distribution List

Nous venons de voir la redistribution basique.


Voyons maintenant une premire technique permettant de contrler la
redistribution.
La Distribution List se base sur une ACL pour savoir si oui ou non il faut redistribuer
une route.

Prenons un exemple : nous ne voulons pas quune route vers le rseau


172.16.33.0 /24 soit redistribue.
Nous allons donc faire une ACL nautorisant que les routes voulues (ou bien une ACL
interdisant la route non voulue).

R2(config)#accesslist1permit172.16.30.00.0.0.255

R2(config)#accesslist1permit172.16.31.00.0.0.255
R2(config)#accesslist1permit172.16.32.00.0.0.255
R2(config)#accesslist1permit10.0.12.00.0.0.255
R2(config)#accesslist1permit10.0.13.00.0.0.255

Le Deny All qui est automatiquement plac la fin, se chargera de refuser le reste.

R2(config)#routereigrp1
R2(configrouter)#distributelist1out

Noublions pas de faire la mme chose sur R3 :


R3(config)#accesslist1permit172.16.30.00.0.0.255
R3(config)#accesslist1permit172.16.31.00.0.0.255
R3(config)#accesslist1permit172.16.32.00.0.0.255
R3(config)#accesslist1permit10.0.12.00.0.0.255
R3(config)#accesslist1permit10.0.13.00.0.0.255

R3(config)#routereigrp1
R3(configrouter)#distributelist1out

Puis vrifions le rsultat sur R5 :

Plus aucune trace de la route vers 172.16.32.0 /32


Au passage les rseaux sont en /32 cause des interfaces Loopback

La commande ip ospf network point-to-point sur les interfaces Loopback rsout


ce problme

5)

Prefix List

La Prefix List ressemble un peu la distribution List. Son fonctionnement est


relativement simple.
Voici un exemple :
R2(config)#ipprefixlistPL_EIGRPToOSPFseq10permit172.16.20.0/21ge24
le26

Tout dabord, il faut donner un nom la Prefix List


Ensuite, on choisit un numro de squence. Celui-ci permet de crer plusieurs
entres dans une Prefix List. Elles seront parcourues du plus bas numro de
squence au plus haut (un peu la manire dune ACL)
Ensuite nous choisissons Permit ou Deny
Nous choisissons ensuite le sous-rseau concern
Les 2 dernires options sont facultatives
ge 24 le 32 signifie que le masque de la route redistribue doit tre au minimum
de 24, et au maximum de 32
Par exemple :
172.16.20.0 /24 -> OK
172.16.20.0 /26 -> OK
172.16.20.0 /23 -> Non

Voici la configuration appliquer R2 et R3 :


R2(config)#ipprefixlistPL_EIGRPToOSPFseq10permit172.16.20.0/21ge24
le26
R2(config)#ipprefixlistPL_EIGRPToOSPFseq20deny0.0.0.0/0le32

La deuxime entre permet de refuser tout le reste


R2(config)#routerospf1
R2(configrouter)#distributelistprefixPL_EIGRPToOSPFout

Une fois cela appliqu R2 et R3, allons voir sur R1 si le rsultat est bon :

Les routes vers 172.16.20.0 /21 sont toujours l


Par contre, il ny a plus les routes vers 10.0.34.0 /24 et 10.0.45.0 /24
Ajoutons une permission pour ces routes ( faire sur R2 et R3) :
R2(config)#ipprefixlistPL_EIGRPToOSPFseq15permit10.0.34.0/24
R2(config)#ipprefixlistPL_EIGRPToOSPFseq16permit10.0.25.0/24

Si vous souhaitez tester le filtrage par masque, changer celui dune interface
Loopback de R4 :
R4(configif)#ipaddress172.16.23.1255.255.255.224

Voyons le rsultat :

Pas de route vers 172.16.23.0 /27, et les routes vers 10.0.25.0 /24 et 10.0.34.0 /24
ont rapparu !

6)

Route Map Basique

Les routes Map sont une solution plus avances que la Distribution List ou la Prefix
List.
Elles permettent de faire beaucoup plus de chose.
Nous allons tudier certaines des possibilits se rapportant la redistribution de
route.

Chaque entre dune Route Map a un numro de squence.


Les entres sont parcourues du plus bas au plus haut numro de squence, jusqu
trouver une correspondance.

Il y a un Deny ALL implicite la fin de la Route Map.

Voici la structure dune Route Map :


R2(config)#routemapNameSeqNumber
R2(configroutemap)#matchCondition
R2(configroutemap)#set Option

Voyons cela en pratique.

Mais avant, retirons les Prefix List et Distribution List que nous avons ajout
R2(config)#routereigrp1
R2(configrouter)#nodistributelist1out
R2(config)#routerospf1
R2(configrouter)#nodistributelistprefixPL_EIGRPToOSPFout

Pareil pour R3

Nous allons faire une Route Map pour contrler la redistribution EIGRP vers OSPF et
une autre pour OSPF vers EIGRP.
R2(config)#routemapEIGRPTOOSPF10

Nous avons cr lentre numro 10 dans la Route Map EIGRP-TO-OSPF

R2(configroutemap)#matchipaddressprefixlistPL_EIGRPToOSPF

Lentre numro 10 va sappliquer aux routes menant vers les rseaux capturs par
la Prefix List PL_EIGRP-To-OSPF (nous avions cr cette Prefix List prcdemment).

R2(configroutemap)#setmetric50

Les routes concernes par lentre 10 de la Route Map, seront redistribues avec
une mtrique de 50.

R2(configroutemap)#setmetrictypetype2

Une fois redistribues, la mtrique des routes naugmentera pas

R2(config)#routemapEIGRPTOOSPF20
R2(configroutemap)#setmetric100
R2(configroutemap)#setmetrictypetype2

Avec cette deuxime entre, nous permettons la redistribution de toutes les autres
routes, avec une mtrique de 100 et de type 2.

Voici comment afficher le rsum des Route Map :

Tout semble bon.

Il faut maintenant utiliser la Route Map.


R2(config)#routerospf1
R2(configrouter)#noredistributeeigrp1metric50subnets
2(configrouter)#redistributeeigrp1subnetsroutemapEIGRPTOOSPF

Faire de mme sur R3, puis allez voir sur R1 si tout est bon.

Toutes les routes sont l.


Certaines avec une mtrique de 50, dautres avec 100.

Bien. Crons une Route Map pour OSPF vers EIGRP


La voici :
routemapOSPFTOEIGRPpermit10
matchipaddress1
setmetric5050505050
routemapOSPFTOEIGRPpermit20
setmetric100100100100100

Par contre, nous souhaitons ne pas redistribuer la route vers 172.16.33.0 /24.
Nous allons donc crer une ACL faisant rfrence 172.16.33.0 /24, puis ajouter
une entre dans la Route Map.
R2(config)#accesslist2permit172.16.33.00.0.0.255

R2(config)#routemapOSPFTOEIGRPdeny9
R2(configroutemap)#matchipaddress2

Lentre No 9 refuse tout ce qui est capt par lACL 2.

Il ne reste plus qu appliquer la Route Map.

R2(config)#routerEIGRP1
R2(configrouter)#noredistributeospf1metric100100100100100
R2(configrouter)#redistributeospf1routemapOSPFTOEIGRP

Faites de mme sur R3.

Puis allez voir le rsultat sur R4 :

Toutes les routes sont l, sauf 172.16.33.0 /24.


Cest ce que nous voulions.

Libre vous de modifier ces Routes Map afin de vous familiariser avec le concept.

7)

Route Map Tag de route

Dans larticle prcdent, nous avons vu quil est possible de crer une boucle de
routage en faisant de la redistribution. Les Tag de route permettront dempcher
cela.
Voyons dabord un cas de boucle de routage.
Prenons un exemple :
R5 veut joindre 172.16.10.0 /24 (cest--dire R6)
Dans sa table de routage, il possde une route RIP menant ce rseau.
Jusquici tout est normal.
Mais saviez-vous que R5 possde aussi une route EIGRP pour aller vers
172.16.10.0 /24 ?
Voici un extrait du rsultat de la commande R5#show ip eigrp topology

Cette entre correspond aux rseaux derrire R6.


Mais alors pourquoi ne voit-on pas la route EIGRP dans la table de routage de R5 ?

Simplement car la route alternative que R5 connait, lui a t annonc par R2 en


mode redistribution EIGRP.
Cette route alternative a pour AD 170. Ce qui explique quelle ne soit pas visible
dans la table de routage.
Et do vient cette route au fait ?
R3 a appris la route pour 172.16.10.0 /24 par R5 (grce la redistribution de RIP
dans EIGRP).
R3 a ensuite redistribu cette route dans OSPF.
Jusquici rien danormal.
Puis, R2 a pris connaissance de la route, puis la re-redistribu vers R5.
Au final, R2 naurais pas d redistribuer des routes EIGRP dans leur zone dorigine.

Encore une fois, R5 prfre la route RIP la route externe EIGRP.


Mais imaginez que nous avions mis en place de lOSPF la place de lEIGRP (et
inversement).
En OSPF il ny a pas dAD spciale pour les routes externes.
Nous pouvons simuler cela en changeant lAD des routes EIGRP externes.

R5(config)#routereigrp1
R5(configrouter)#distanceeigrp110109

(dans le cas prsent, il faut que lAD externe soit plus faible que lAD interne)
Et l, cest le drame.

Pour joindre 172.16.10.0 /24, R5 va envoyer les paquets vers R2.


Au final nous aurons une boucle de routage !

Vous pouvez constater que les requtes de ping ne parviennent plus destinations.
Voici les conditions pour crer une boucle de routage :

Avoir une redistribution mutuelle. Ici R2 et R3 font tous les deux de la


redistribution, ce qui permet aux routes dtre re-redistribues.

Quun routeur (ici R5) possde deux routes possible : une bonne (vers R6) et
une mauvaise (la route re-redistribue)

Que la route re-redistribue ai une AD plus faible que la bonne route.

Voyons maintenant comment viter les boucles de routage.


Le Tag de route permettra aux routeurs de ne pas redistribuer les routes dj
redistribues.
Par exemple, R2 pourra reconnaitre les routes qui ont t redistribues dans OSPF
par R3.

Voyons cela en pratique, ce sera plus simple.


Nous allons taguer toutes les routes redistribues.

R2(config)#routemapEIGRPTOOSPF10
R2(configroutemap)#settag10
R2(config)#routemapEIGRPTOOSPF20
R2(configroutemap)#settag20

R2(config)#routemapOSPFTOEIGRP10
R2(configroutemap)#settag30
R2(config)#routemapOSPFTOEIGRP20
R2(configroutemap)#settag40

Faites de mme sur R3


Toutes les routes redistribues sont maintenant tagues.
Il ne reste plus qu empcher EIGRP-TO-OSPF de redistribuer les routes tagues par
OSPF-TO-EIGRP (et inversement).

R2(config)#routemapEIGRPTOOSPFdeny5
R2(configroutemap)#matchtag3040

R2(config)#routemapOSPFTOEIGRPdeny5
R2(configroutemap)#matchtag1020

Faites de mme sur R3.

Allons voir le rsultat sur la table de routage de R5 :

Plus de boucle de routage en vue !

Au passage, vous pouvez rtablir les paramtres dAD EIGRP sur R5 (ils ntaient
utiles que pour crer une boucle de routage):
R5(config)#routereigrp1
R5(configrouter)#distanceeigrp90170

Pour rsumer, dans certains cas la redistribution de route peut causer une boucle
de routage.
Ici nous avons forc la boucle, mais elle peut trs bien survenir delle-mme si lon
respecte les critres cits prcdemment.

Le Tag de route est une des solutions pour empcher cela. Des Prefix List ou des
Distribution List peuvent aussi suffire.
Il conviendra de sadapter la topologie.

8)
Modification de la distance
administrative
Comme nous lavons vu dans larticle prcdent, la perte de la distance
administrative (ou AD), peut amener choisir une route moins bonne.
Pour constater cela, allez voir la table de routage de R2 :

Pour joindre 172.16.10.0 /21, R2 va utiliser R1 comme NetHop. Alors que R5 est
bien plus indiqu.
Si R2 a choisi R1, cest cause de la distance administrative.
Il a le choix entre :
NextHop R1, AD 110
NextHop R5, AD 170

La redistribution de route a donc fauss le choix de route.

La solution est simple : changer les paramtres dAD sur R2.


R2(config)#routereigrp1
R2(configrouter)#distanceeigrp90105

Et le rsultat :

Redistribution De Route : Thorie


September 25, 2013 by Valentin Weber Leave a comment

Parlons aujourdhui dun sujet important dans les grands rseaux : la redistribution
de route.
Si votre rseau fonctionne avec plusieurs protocoles de routage, il est essentiel de
maitriser la redistribution.
Le but tant que les routes se propagent travers tout le rseau, mme si celui-ci
utilise plusieurs protocoles de routage.
A travers cette srie darticles, nous allons voir pourquoi il est important de
redistribuer les routes, quels sont les risques qui peuvent mener des erreurs, et
comment mettre en place la redistribution.
Il est prfrable de bien maitriser les protocoles EIGRP et OSPF.

1) Pourquoi la redistribution
de route ?
Comme dit prcdemment, la redistribution de route est utile lorsque votre rseau
utilise plusieurs protocoles de routage.
Les raisons pour quun rseau utilise plusieurs protocoles de routage sont diverses
(rattachement de deux rseaux ensemble, plusieurs gnrations de routeurs,
plusieurs marques de routeurs, besoins spcifiques, etc)
Vous le savez certainement, par dfaut, des protocoles diffrents ne schangent
pas de route entre eux.
Prenons cet exemple :

Trois rseaux sont connects entre eux. Lun fonctionne en OSPF, lautre en EIGRP
et le dernier en RIP.
Le but serait que les trois rseaux dans les cadres gris, puissent tre accessibles
depuis partout.
Prenons lexemple de 172.16.10.0 /24
R7 va annoncer une route pour 172.16.10.0 /24, R5 et R6.
Ceux-ci pourront donc joindre 172.16.10.0 /24, en allant vers R7.
Jusquici, tout va bien.
Mais par contre, que va faire R5 quand il va recevoir la MAJ RIP (pour 172.16.10.0 /
24) ?
Va-t-il envoyer cette MAJ vers R3 et R4 ?
Bien sr que non. R3 et R4 fonctionne en EIGRP. Ils ne peuvent donc pas recevoir de
MAJ RIP.

Au-del de R5, il personne naura connaissance du rseau 172.16.10.0 /24.

Cela pose donc un problme.

Vous laurez devin, le but la redistribution de route est dannoncer une route
venant dun certain protocole, vers un rseau fonctionnant avec un autre protocole.

Pour faire simple, nous allons ajouter une rgle sur R5, disant quil faut annoncer les
routes RIP, dans le rseau EIGRP. R5 va donc inclure 172.16.10.0 /24 dans ses MAJ
EIGRP.
Nous pourrons bien sr choisir quelles routes doivent tre redistribues, quelle
mtrique y appliquer, etc

2)

Problmes poss

Malheureusement, la redistribution de route amne plusieurs problmes.

Problme 1 : Perte de la mtrique


Le premier problme lorsque lon redistribue une route, cest que la mtrique de
base est perdue.
Voyons cela en exemple :

R4 cherche la meilleure route pour 172.16.30.0 /24, cest--dire R1.


Il est vident que la meilleure route est : R4 -> R5 -> R2 -> R1.
Pourtant, en mettant en place une redistribution de route simple, R1 prfrera
choisir R1 -> R3 -> R1.

Pourquoi ?
Tout simplement, car quand une route est redistribue, sa mtrique de base est
perdue.
R3 et R2 vont tous les deux annoncer une route pour 172.16.30.0 /24, dans laquelle
il ne sera plus fait tat de la mtrique des liens 100 et 10 Mbps.
Aux yeux de R4, R3 est meilleur que R2 pour joindre 172.16.30.0 /24.
Il nous faudra donc choisir nous-mme la mtrique appliquer aux routes (
configurer sur R2 et R3 en activant la redistribution).
Ainsi, R4 prfrera passer par R2.

Problme 2 : Perte de la distance administrative


Autre problme, quand une route est redistribue, sa distance administrative est
perdue.
Pour rappel, la distance administrative (ou AD), est utile quand le routeur possde
deux routes pour une mme destination, et que ces deux routes viennent dun
protocole diffrent.
On prfrera donc utiliser une route annonce par OSPF, quune route annonc par
RIP.

Voyons quel problme peut poser la perte de lAD :

R4 possde une route EIGRP externe. Ces routes-l ont une AD de 170.
R2 va donc apprendre 2 routes pour 172.16.20.0 /24 :

Une qui a t annonc par R4, et qui passe par R2 -> R5 -> R4

Une qui a t redistribu dans le rseau OSPF, et qui passe par R2 -> R1 ->
R3 -> R4

Logiquement, R2 devrait prfrer passer par R5, plutt que par le rseau OSPF.
Malheureusement, ce nest pas ce quil va faire.
Pourquoi ? Simplement que quand la route pour 172.16.20.0 /24 a t redistribue
dans OSPF, lAD de cette route est passe de 170 110.
R2 a donc le choix entre une bonne route avec une AD de 170, ou une mauvaise
route avec une AD de 110.
Et bien sr, il va choisir la route avec lAD de 110.

Il faudra donc faire attention. La perte de lAD peut parfois poser problme.
Dans le cas prsent, nous pourrions changer lAD sur R2. Nous pourrions choisir une
AD de 105 pour les routes EIGRP externes.
Ainsi, il prfrera passer par R5, que par le rseau OSPF.

Problme 3 : Boucle de redistribution


Ce dernier problme est relativement simple.
Il est possible que la redistribution de route cause une boucle de routage.

Prenons la topologie suivante :

R4 va annoncer une route pour 172.16.20.0 /24

Cette route sera ensuite redistribue par R3 dans le rseau OSPF.


R2 va prendre connaissance de la route redistribue, puis va lui-mme la
redistribuer dans le rseau EIGRP (vers R5).
R5 va ensuite faire suivre cette route.
Au final, R4 possdera deux routes pour 172.16.20.0 /24.
Une qui a pour Next Hop, R8 (ce qui est logique), et lautre qui a pour Next Hop R5.
Dj, ce nest pas bien. Cela ne sert rien denvoyer un message vers R2, alors que
le seul moyen de joindre 172.16.20.0 /24 est daller vers R8.

Maintenant, imaginons que la route redistribue depuis OSPF dans EIGRP, ait une
meilleure mtrique que la route ayant pour Next Hop R8.
Cest--dire que R4 prfrera envoyer les paquets vers R2 plutt que vers R8.
Il en rsultera une boucle de routage. Les paquets destination de 172.16.20.0 /24
feront constamment le chemin R4 -> R5 -> R2 -> R1 -> R3 -> R4, etc (Jusqu ce
que le TTL arrive 0).

Au final, il nest plus possible de joindre le rseau 172.16.20.0 /24.


Et do vient le problme ?
Simplement que R2 naurait pas du re-redistribuer la route pour 172.16.20.0 /24
dans le rseau EIGRP.
Il faudrait donc mettre une rgle sur R2, disant que seules les routes pour
172.16.30.0 /24 doivent tre redistribues.
Ainsi, la route pour 172.16.20.0 /24 sera toujours redistribue dans le rseau OSPF
par R3, mais R2 ne la renverra pas dans le rseau EIGRP.

3)

Les solutions

Nous avons vu les problmes et les contraintes de la redistribution de route. Voyons


maintenant les solutions.
Nous allons faire un rapide aperu. Par la suite, nous ferons un TPpour mettre en
place ces solutions.
Nous avons dj vu quil est possible de choisir la mtrique et de modifier la
distance administrative. Nous ne reviderons donc pas sur ces deux solutions pour le
moment.

Distribution List
Le principe est trs simple : utiliser une ACL pour choisir les routes redistribuer.

Par exemple, nous pouvons mettre une Distribution Liste sur R2 et R3, de manire
ce quils nautorisent que les routes pour 172.16.30.0 /24 tre redistribues.

De cette manire, plus de risque de boucle de routage comme vu prcdemment.

Prefix List
La Prefix List ressemble la Distribution Liste.
Sauf que celle-ci nutilise pas dACL.
De plus, il est possible deffectuer un filtrage en fonction du masque de sous
rseau.
Par exemple, il est possible dautoriser toutes les routes pour 10.1.0.0 /8, qui ont un
masque suprieure ou gal /24.

Donc :

10.1.0.0 /24 -> OK

10.1.35.0 /29 -> OK

10.1.67.0 /22 -> Non

Route Map
La Route Map est la solution la plus complexe, mais aussi la plus complte.
Il est possible de faire beaucoup de chose avec. Parmi les possibilits nous
pouvons :

Redistribuer ou non, selon la destination de la route

Choisir la mtrique annoncer

Taguer les routes pour viter les boucles

Etc

Configuration Des Diffrents Types De


Zones OSPF
September 25, 2013 by Valentin Weber Leave a comment

Aprs avoir vu la thorie des zones OSPF, voyons la pratique.


Nous allons voir comment configurer les diffrentes zones dtailles dans larticle
prcdent.
Nous ne reviendrons que trs peu sur la thorie. Il est donc important de maitriser
les bases.

1)

La topologie

Voici la topologie qui sera utilise dans cet article. Il sagit de la mme que dans
larticle prcdent.

1)

Configuration Basique

Avant de passer la configuration des zones, mettons en place la configuration


basique.
Premirement, appliquez les IP indiques sur les interfaces associes.
Une fois cela fait, il faut configurer le protocole OSPF.
Voici la procdure :

R1(config)#routerospf1
R1(configrouter)#routerid1.1.1.1
R1(configrouter)#network10.0.12.10.0.0.0area0
R1(configrouter)#network10.0.13.10.0.0.0area0

R2(config)#routerospf1
R2(configrouter)#routerid2.2.2.2
R2(configrouter)#network10.0.12.20.0.0.0area0
R2(configrouter)#network10.0.23.20.0.0.0area0
R2(configrouter)#network10.40.1.20.0.0.0area40
R2(configrouter)#network10.50.1.20.0.0.0area50

R3(config)#routerospf1
R3(configrouter)#routerid3.3.3.3
R3(configrouter)#network10.0.13.30.0.0.0area0
R3(configrouter)#network10.0.23.30.0.0.0area0
R3(configrouter)#network10.60.1.30.0.0.0area60

R4(config)#routerospf1
R4(configrouter)#routerid4.4.4.4
R4(configrouter)#network10.40.1.40.0.0.0area40
R5(config)#routerospf1
R5(configrouter)#routerid5.5.5.5
R5(configrouter)#network10.50.1.50.0.0.0area50

R6(config)#routerospf1
R6(configrouter)#routerid6.6.6.6
R6(configrouter)#network10.60.1.60.0.0.0area60
R6(configrouter)#network10.70.1.60.0.0.0area70

R7(config)#routerospf1
R7(configrouter)#routerid7.7.7.7
R7(configrouter)#network10.70.1.70.0.0.0area70

Configurons R1 comme un ASBR :

R1(config)#iproute172.16.0.0255.255.255.0Null0
R1(config)#iproute172.16.1.0255.255.255.0Null0
R1(config)#iproute172.16.2.0255.255.255.0Null0
R1(config)#iproute172.16.3.0255.255.255.0Null0

R1(config)#routerospf1
R1(configrouter)#redistributestaticsubnetsmetrictype1metric200

Vrifions que les routes externes sont bien redistribues et que les routes des zones
voisines sont bien accessibles :

Bien, la configuration de base est faite.


Les relations OSPF sont en place et toutes les zones sont en mode standard.
Actuellement, les LSA de types 3, 4 et 5 peuvent transiter librement entre les zones.
Il va donc falloir mettre en place les zones vues dans larticle prcdent.
Autre chose que nous allons devoir traiter : la zone 70.
Si vous avez t attentifs, vous aurez surement remarqu que la zone 70 nest
pas directement relie la zone 0.
Cela est contraire aux principes des zones.
Ce type de topologie ne doit pas tre mis en place dans une bonne architecture.

Mais si pour une bonne raison vous devez mettre en place ce type de topologie (une
zone relie la zone 0 par une autre zone), il faudra utiliser un Virtual Link .
Sans cela, la zone 70 sera isole du reste.

Voyons cela, avant de passer aux diffrents types de zone.

3)

Virtual Link

Comme dit prcdemment, le Virtual Link permet de relier la zone 70 la zone 0 et


ce de manire virtuelle.

Pour linstant, le routeur R7 est totalement isol (malgr sa relation avec R6).

La configuration du Virtual Link est trs simple :

R3(config)#routerospf1
R3(configrouter)#area60virtuallink6.6.6.6

R6(config)#routerospf1
R6(configrouter)#area60virtuallink3.3.3.3

Voyons si R7 est moins seul :

En effet, cest comme si il tait connect la zone 0.

4)

Stubby Area

Attaquons le vif du sujet en commencent pas la Stubby Area.


Pour rappel, son but est dempcher les LSA de type 4 et 5 de rentrer (et de
circuler) dans la zone.
Nous allons mettre cela en place pour la zone 40.
R4 naura donc plus les routes externes (172.16.0.0 /22) mais une route par dfaut
pointant vers R2.

La configuration est trs simple :

R2(config)#routerospf1
R2(configrouter)#area40stub

R4(config)#routerospf1
R4(configrouter)#area40stub

Vrifions si les routes externes ont bien t remplaces par une route par dfaut :

En effet !

Vous pouvez aussi constater que R4 ne possde plus de LSA de type 4 et 5 dans sa
base de donnes :

Les LSA de types 4 et 5 sarrtent R2. La mme commande sur ce dernier vous
permettra de voir les LSA de types 4 et 5.

Il est noter que tous les routeurs de la zone 40 doivent tre en mode Stub.

5)

Totally Stubby Area

Comme dit dans le prcdent article, le but de cette zone est dempcher le transit
des LSA de types 3, 4 et 5.
Le routeur ne connaitra que les routes internes sa zone. Les autres seront
remplaces par une route par dfaut.
Voyons cela pour la zone 50 :

R2(config)#routerospf1
R2(configrouter)#area50stubnosummary

R5(config)#routerospf1
R5(configrouter)#area50stub

Vrifions la table de routage :

Parfait, il ne reste plus que les / la route interne.


Un petit coup dil la base de donnes pour tre sr :

6)

Not So Stubby Area

Pour ce type de zone, rutilisons la zone 40.


Mais avant toutes choses, retirons la configuration actuelle :
Vous pouvez aussi essayer de conserver la configuration Stub puis de configurer la
redistribution. Un message derreur vous dira quil nest pas possible de configurer
la redistribution dans une zone Stub (voir article prcdent).

R4(config)#routerospf1
R4(configrouter)#noarea40stub

R2(config)#routerospf1
R2(configrouter)#noarea40stub

Puis, ajoutons des routes statiques sur R4 :

R4(config)#iproute172.18.0.0255.255.255.0Null0
R4(config)#iproute172.18.1.0255.255.255.0Null0
R4(config)#iproute172.18.2.0255.255.255.0Null0
R4(config)#iproute172.18.3.0255.255.255.0Null0

Mettons en place la redistribution :


R4(config)#routerospf1
R4(configrouter)#redistributestaticsubnetsmetric200metrictype1

Si vous consultez les tables de routage des autres routeurs, vous verrez que les
routes ont t redistribues.

Passons maintenant cette zone en Not So Stubby :


R2(config)#routerospf1
R2(configrouter)#area40nssa

R4(config)#routerospf1
R4(configrouter)#area40nssa

Normalement, ce stade, R4 devrait tre capable de redistribuer les routes


172.18.0.0 /22 vers le reste de la topologie.
Vrifions sur R3 :

R3 a bien connaissance des routes !


Mais est ce que R4 fonctionne toujours comme un routeur Stub (cest--dire quil ne
reoit pas les routes redistribue) ?

En effet, il ne possde pas les routes redistribues (cad 172.16.0.0 /22).


On garde les avantages du mode Stub, tout en permettant la redistribution de route
depuis lintrieure de la zone.
Parfait non ?
Presque. Vous navez rien remarqu dans la table de routage de R4 ?
Oui, il manque bien la route par dfaut !
R4 sera donc incapable de joindre les rseaux 172.16.0.0 /22.
En mode NSS, R2 nannonce pas de route par dfaut.
Pas de soucis, il y a une solution :
R2(config)#routerospf1
R2(configrouter)#area40nssadefaultinformationoriginate

Retour sur R4 :

Et voil !
R4 et en mode Stubb (ou plutt NSS) et permet la redistribution de route.

Si vous tes curieux, je vous invite aller consulter les bases de donnes OSPF des
diffrents routeurs, et voir quels types de LSA elles contiennent.

7)
Totally Stubby Not So
Stubby Area
Le principe est le mme que pour le mode NSS.
Ici nous gardons les avantages du mode Totally Stubby (pas de LSA de types 3, 4 et
5), mais nous avons la possibilit de redistribuer des routes.
Il ny a quune seule commande changer.
(Bien entendu, il faut dabord annuler la configuration prcdente)

R2(configrouter)#area40nssanosummary

Voici quoi ressemble alors la table de routage de R4 :

8)

Conclusion

Et bien voil, nous avons vu comment mettre en place une configuration OSPF avec
des zones.
Nous avons dabord vu lutilit dun Virtual Link.
Pour rappel, voici sa configuration :
R3(config)#routerospf1
R3(configrouter)#area60virtuallink6.6.6.6

R6(config)#routerospf1
R6(configrouter)#area60virtuallink3.3.3.3

Ensuite, nous avons vu comment configurer une Stubby Area :


R2(config)#routerospf1
R2(configrouter)#area40stub

R4(config)#routerospf1
R4(configrouter)#area40stub

Puis nous avons vu la Totally Stubby Area


R2(config)#routerospf1
R2(configrouter)#area50stubnosummary

R5(config)#routerospf1
R5(configrouter)#area50stub

Par aprs, nous avons vu la Not So Stubby Area :


R2(config)#routerospf1
R2(configrouter)#area40nssa
R2(configrouter)#area40nssadefaultinformationoriginate

R4(config)#routerospf1
R4(configrouter)#area40nssa

Et enfin, la Totally Stubby Not So Stubby Area :


R2(configrouter)#area40nssanosummary

IPv6 : Configuration
October 28, 2013 by Valentin Weber Leave a comment

Maintenant que vous maitrisez la thorie de base qui entoure lIPv6, passons aux
choses srieuses.
Nous allons voir comment configurer une interface, comment configurer les
diffrents protocoles de routages, mais aussi comment fonctionne le Ping en IPv6,
comment fonctionne Neighbor Discovery (le remplaant dARP), etc

1)
Prsentation de la
topologie
Pour ces manipulations, nous allons utiliser une topologie unique.

La voici :

Nous avons trois grands rseaux. Chacun deux utilisent un protocole de routage
diffrent.
Entre R1, R2 et R3, nous utiliserons des routes statiques.
Mais avant cela, attardons nous sur la configuration basique, cest--dire les
adresses IPv6.

2)

Configuration dinterface

Commenons par le plus important : les interfaces !

Cela peut paraitre simple, mais en fait il y a plus de choses maitriser quen IPv4.

Nous avons vu quil y a trois types dadresse :

La Local Link

La Global

La Site Local

La site Local ntant plus utilise, il nous reste les deux autres.
Laquelle allons-nous mettre sur nos interfaces ?
Les deux !
Et oui, chaque interface de notre routeur aura deux IPv6.
La Global pour les communications standards, et la Link Local pour la dcouverte de
voisin, lchange dinfos pour les protocoles de routage, etc

Commenons par configurer la Global (en utilisant les IP de la topologie) :


R1(config)#interfacefastEthernet0/0
R1(configif)#ipv6address2001:12::1/64
R1(configif)#noshutdown

Pour voir le rsultat :

LIP Global est bien configure.


Mais vous pouvez voir que lIP Link Local est aussi configure.

En fait, elle est auto configure.


Pour auto configurer son IP, une interface prend le prfix (ici FE80::64) et y ajoute
lidentifiant de linterface.
Pour obtenir son identifiant unique (EUI-64), linterface effectue une manipulation
partir de sonadresse MAC, afin dobtenir une adresse de 64 bits.

Pour bien comprendre le processus, voyons comment R1 a pu trouver son IP Link


Local au format EUI-64.
Sur la capture prcdente, vous pouvez voir le fameux prfix FE80:: /64
La deuxime moiti de ladresse est calcul automatiquement par le routeur.
Pour cela il a besoin de ladresse MAC de linterface :

Ladresse MAC est donc : C200.0B60.0000

Il va ensuite ajouter la valeur FFFE au milieu de ladresse


Ce qui nous donne : C200.0BFF.FE60.0000
Dernire tape : inverser le 7me bit
Voici le dbut de ladresse en binaire (C2) : 11000010
En inversant le 7me bit, nous obtenons, 11000000, soit C0
Ladresse devient alors C000.0BFF.FE60.0000

En y ajoutant le prfix FE80 ::/64 ladresse Link Local complte devient :


FE80:0000:0000:0000:C000:0BF:FE60:0000

Cela correspond bien lIP donn par le routeur :

Voici donc comment en IPv6 nous pouvons auto configurer une IP au format EUI-64.
Il faut donc un prfix de 64 bits, plus lidentifiant de linterface (le EUI-64).
Il est possible dauto configurer une IP Link Local, mais aussi une IP Global.

Pour rsumer, nous avons configur une IP Global (sur R1 fa0/0) la main, et lIP
Link Local sest auto configur.
Faisons donc linverse sur R2 !
Nous allons configurer lIP Link Local la main, et laisser R2 dterminer lIP Global.

Commenons par lIP Link Local


R2(configif)#noshutdown
R2(configif)#ipv6addressFE80::2linklocal

Passons lIP Global


tant donn que R2 ne peut pas deviner le prfix, il faut que R1 lannonce.
Il faut donc passer les commandes suivantes sur R1 :
R1(config)#ipv6unicastrouting
R1(config)#interfacefastEthernet0/0
R1(configif)#ipv6ndprefix2001:12::/64

Maintenant que R1 annonce le prfix, il ne reste plus qu dire R2 de le rcuprer :


R2(configif)#ipv6addressautoconfig

Et voici le rsultat :

Libre vous de choisir la technique de votre choix pour configurer les IP sur les
autres routeurs / interfaces.

Mais avant de passer la suite, voyons ce qui se passe quand nous configurons une
IPv6.
Pour cela, plaons-nous sur R2 s0/0 et activons le debug ND (Neighbor Discovery) :
R2(config)#interfaceserial0/0
R2(configif)#noshutdown
R2(configif)#dodebugipv6nd
ICMPNeighborDiscoveryeventsdebuggingison

Ensuite, configurez lIP puis observez les Log :

Quand une IP est configure en IPv6, le routeur sassure que lIP est unique. Il fait
cela pour lIP Link Local et pour la Global.
Tout dabord, le routeur envoie un NS Neighbor Solicitation. Cela permet de
vrifier si quelquun utilise dj cette IP.
Si personne ne rpond, le log DAD Detection Address Double indique que lIP
est libre.
Enfin, le routeur envoie un NA Neighbor Advertisement pour indiquer quil
prend cette IP.

Vous pouvez voir que le mme processus est utilis pour lIP Global.
Quand vous avez fini, noubliez pas dsactiver le dbug
R2#undebugall

Si toutes les IP sont configures, vous pouvez passer la suite.

3)

Le Ping en IPv6

Afin de tester les IP, quoi de mieux quun Ping


Pour lancer un Ping, la commande est presque l mme :

Mais que se passe-t-il en coulisse ?


Que se passe-t-il quand on ne connait pas encore ladresse MAC du voisin ?
En IPv4, il faut dabord envoyer une requte ARP.
Et en IPv6 ?
Nous en avons dj parl. Le protocole ND Neighbor Discovery est utilis.
Concrtement, avant de pouvoir lancer un Ping, il faut connaitre ladresse MAC de la
destination.
Pour connaitre celle-ci, le routeur va envoyer une requte NS Neighbor
Solicitation en multicast, sur une adresse laquelle la destination est abonne.

Prenons un exemple, ce sera bien plus simple.


Nous souhaitons faire un Ping de R1 vers R2.
R1 a pour IPv6 2001:12::1 et R2 2001:12::2
Nous allons donc envoyer un Ping vers 2001:12::2
Cest ici que NS entre en jeu.
Avant denvoyer le Ping, R1 va envoyer un NS sur lIP FF02::1:FF00:2
Cette IP est du type Local Link.
Vous pouvez voir que R2 y est abonn :

Mais comment R1 a devin cette IP ?


Et bien simplement que cette IP respecte un schma bien prcis.
Elle est constitue du prfix FF02 ::/64 suivi de 0001:FFxx:xxxx (o les x
correspondent aux 24 derniers bits de lIP Global).
Donc pour rsumer, R1 veut envoyer un Ping R2 sur 2001:12::2
Il commence par envoyer un NS sur FF02::1:FF002
R2 va recevoir ce message, et va y rpondre (NA Neighbor Advertisement) car
il y est abonn.
En rpondant, il donne son adresse MAC R1.
Aprs quoi, R1 peut envoyer un Ping R2.

Au passage, si deux routeurs ont les mmes 24 derniers bits dans leur IP, ils
recevront tous les deux le message NS. Par contre, seul le routeur concern y
rpondra.

Si vous souhaitez une petite dmonstration, voici les tapes :

Vider la table de voisinage IPv6 : clear ipv6 neighbors

Lancer une capture WireShark : Clic droit sur le lien R1 -> R2, puis Start
Capturing

Lancer le Ping : ping ipv6 2001:12::2 repeat 1

Ouvrir WireShark : Clic Droit sur le lien, Open WireShark

Et voici les 4 tapes dun Ping (seulement quand le routeur ne connait pas ladresse
MAC du voisin)
Une fois ladresse connue, plus besoin de NS et NA.

Il faut donc retenir


NS Neighbor Solicitation : permet de dterminer ladresse de niveau 2 dun
routeur voisin, ou de vrifier si ladresse est utilise.
NA Neighbor Advertisement : permet de rpondre un NS, ou dannoncer un
changement dadresse.

4)
Configuration de routes
statiques
Il nest pas ncessaire de tergiverser, les routes statiques nont rien de spcial.
Avant de pouvoir effectuer du routage IPv6, il faut entrer la commande suivant sur
tous les routeurs
R1(config)#ipv6unicastrouting
R2(config)#ipv6unicastrouting

Etc
Pour crer une route statique, rien de plus simple :
R2(config)#ipv6route2001:36::/64serial0/0
R2(config)#ipv6route2001:45::/642001:24::4
R2(config)#ipv6route2001:34::/64serial0/1

Les commandes se passent dexplication !

Faites de mme pour R3 et R4 :


R3(config)#ipv6route2001:12::/64serial1/0
R3(config)#ipv6route2001:45::/64serial0/1
R3(config)#ipv6route2001:24::/64serial0/1

R4(config)#ipv6route2001:12::/64serial0/0
R4(config)#ipv6route2001:36::/64serial0/1
R4(config)#ipv6route2001:23::/64serial0/0

Trs simple nest-ce pas ?

5)

Configuration de RIPng

RIPng est la version IPv6 de RIP v2.


Il fonctionne de la mme manire, possde les mmes attributs, etc
Les MAJ sont envoyes en multicast sur lIP FF02 ::9 en UDP (port 521)
Pour ce qui est de lauthentification, elle nest plus gre par RIP, mais directement
par IPv6.

Lactivation de RIP se fait directement sur les interfaces :


R1(config)#interfacefastEthernet0/0
R1(configif)#ipv6ripIPV6LABenable

R2(config)#interfacefastEthernet0/0
R2(configif)#ipv6ripIPV6LABenable
R2(config)#interfaceserial0/0
R2(configif)#ipv6ripIPV6LABenable

R2(config)#interfaceserial0/1
R2(configif)#ipv6ripIPV6LABenable

R2(config)#ipv6routerripIPV6LAB
R2(configrtr)#redistributestatic

Voyons si cela a fonctionn :

En effet, R1 connait toutes les routes !


Un petit Ping pour tester :

La commande Debug ipv6 rip permet dobserver le fonctionnement des MAJ


RIPng :

Vous pouvez constater que ce sont les IP Link Local qui sont utilises pour lenvoie
de MAJ.
Quant la version du protocole, il ne sagit pas de RIP v1, mais de RIPng v1.

6)

Configuration dOSPF V3

La version 3 dOSPF apporte quelques changements par rapport la version 2.


Nous laisserons la thorie de ct pour cette fois.
Concentrons-nous sur la pratique, qui elle na rien de difficile.
R5(config)#ipv6routerospf1
R5(configrtr)#routerid5.5.5.5

R5(config)#interfacefastEthernet0/0
R5(configif)#ipv6ospf1area0

R4(config)#ipv6routerospf1
R4(configrtr)#routerid4.4.4.4
R4(configrtr)#redistributestatic
R4(configrtr)#passiveinterfaceserial0/0
R4(configrtr)#passiveinterfaceserial0/1

R4(config)#interfacefastEthernet0/0
R4(configif)#ipv6ospf1area0
R4(config)#interfaceserial0/0
R4(configif)#ipv6ospf1area0
R4(config)#interfaceserial0/1

R4(configif)#ipv6ospf1area0

Voyons la table de routage

Pour le reste, les commandes sont trs semblables la version 2.

7)
Configuration dEIGRP en
IPv6
Finissons par une configuration basique dEIGRP en IPv6.
Voyons quelques commandes de bases pour le mettre en place.

Premirement, il faut activer le processus EIGRP :


R3(config)#ipv6routereigrp1

R3(configrtr)#eigrprouterid3.3.3.3(lID est obligatoire si aucune IPV4 nest


configure sur le routeur)
R3(configrtr)#passiveinterfaceserial1/0
R3(configrtr)#passiveinterfaceserial1/1
R3(configrtr)#redistributestatic
R3(config)#interfaceserial1/0
R3(configif)#ipv6eigrp1
R3(config)#interfaceserial1/1
R3(configif)#ipv6eigrp1
R3(config)#interfacefastEthernet0/0
R3(configif)#ipv6eigrp1

R6(config)#ipv6routereigrp1
R6(configrtr)#eigrprouterid6.6.6.6
R6(config)#interfacefastEthernet0/0
R6(configif)#ipv6eigrp1

Constatons le rsultat :

8)

Conclusion

Et voil, nous sommes arrivs au terme de notre configuration basique dIPv6 !


Nous avons vu comment configurer des IP, des routes statiques, des protocoles de
routage, etc

Mme si il ne sagit l que dun aperu de ce quil est possible de faire, cela
constitue une bonne base pour la suite.
Vous aurez pu constater que mme si les commandes changent un peu, le principe
reste le mme.

IPv6 : Thorie
September 27, 2013 by Valentin Weber Leave a comment

Vous en entendez parler depuis longtemps surement. LIPv6 vient succder lIPv4.
Mme si son implmentation est plus lente que prvue, une chose est sure, lIPv6
arrive !
Dans ce premier article nous allons revenir sur la thorie de base connaitre sur
lIPv6.
Plus tard, nous passerons la pratique.

1)

Prsentation dIPv6

Tout dabord, quest-ce que lIPv6 ?


Vous le savez certainement. Il sagir du successeur dIPv4.
Le problme principal de lIPv4 est le nombre dadresse possible.
Comme celleci est code sur 32 bits, il est possible dobtenir, en thorie, 2^32
adresses diffrentes, soit un peu plus de 4 milliards dIP.
Mme si ce nombre peut paraitre trs lev, cela ne suffit pas assigner une
adresse toutes les machines existantes.

Sen est suivit la sparation entre IP prives et publiques, et larriv du NAT.

Mais aujourdhui, cela ne suffit plus.


Presque toutes les IPv4 ont t assignes.
Larrive dIPv6 va permettre de corriger ce problme, tout en apportant certaines
nouveauts.

Savez-vous combien dIPv6 diffrentes il est possible de gnrer ?


Voici une reprsentation de ce chiffre : environ 67 milliards de milliards dadresses
par mm de surface terrestre !
Autant dire quil sera difficile datteindre la pnurie !
Le nombre est si grand, que seul 15% des IP seront exploites dans un premier
temps (ce qui ne veut pas dire que les 15% seront assignes).

Mais laugmentation du nombre dadresse nest pas le seul avantage de lIPv6.


Plusieurs autres innovations sont de la partie :

Fin du NAT : plus dIP prive (chaque machine aura sa propre IP)

IPSEC support de base

IP mobile : une machine peut garder sont IP quand elle se dplace

Un Header plus simple

Adresse auto configure

Disparition du Broadcast

Disparition dARP (mais remplace par Neighbor Discovery)

Etc

2)

Structure dune IPv6

Une IPv6 est code sur 128 bits (contre 32 pour une IPv4).
Elle est compose de 8 groupes de 16 bits.
En voici un exemple :

2001:0048:0000:0000:1D00:1111:0B48:1111

Ladresse nest plus en dcimale, mais en hexadcimal.

Etant donn quune IPv6 est bien plus complique crire quune IPv4, il est
possible de la rsumer.
La premire chose faire est de supprimer les groupes de 0 conscutifs.
Ladresse prcdente devient donc :
2001:0048::1D00:1111:0B48:1111
Les groupes de 0 supprims sont remplacs par un ::
Attention tout de mme, il nest pas possible de raliser cette opration plusieurs
fois.
Par exemple, il nest pas possible de rsumer ladresse suivante de cette manire :
2001:AAAA:0000:0000: BBBB:0000:0000:1111 -> 2001:AAAA::BBBB::1111
Il faut donc choisir le plus grand groupe de 0 , et le supprimer.

Ensuite, il faut supprimer tous les 0 en dbut de groupe :


Ladresse prcdente (2001:0048::1D00:1111:0B48:1111) devient alors :
2001:48::1D00:1111:B48:1111
Les 0 en fin de groupes doivent tre conservs.
Nous sommes donc passs de a :

2001:0048 :0000:0000:1D00:1111:0B48:1111
A a :
2001:48::1D00:1111:B48:1111
Bien plus simple crie nest-ce pas ?

3)

Header IPv6

Voici quoi ressemble le Header IPv6 :

Vous remarquerez quil est bien plus simple que celui dIPv4.
Le nombre de champs a t largement rduit.
Voici le dtail :

Version : version dIPv6, toujours 6

Traffic Class : utile pour la QOS. Permet de distinguer les sources qui doivent
disposer de contrle de flux, par rapport aux autres. Une valeur de 0 7 est
donne aux sources capables de ralentir leur dbit. Une valeur de 8 15 est
donne aux sources qui doivent disposer dun dbit constant (VOIP, vido,
etc). Ainsi, en cas de congestion, le routeur pourra prioriser le trafic des
sources ayant le Traffic Class le plus faible.

Flow Label (optionnel) : permet de traiter un flux diffremment dans le


rseau. Un numro alatoire est choisi par la source, et sera gard pour tous les
paquets allant une certaine application de la destination. Les routeurs

pourront alors traiter ces donnes-l de manire diffrente. Exemple : temps


relle.

Payload Length : taille de la charge utile (permet au routeur de reconnaitre


la fin du paquet)

Next Header : identifie le type du Header suivant (TCP, UDP, ICMP, ou


simple extension IPv6)

Hop Limit : similaire au TTL de lIPv4

Source Address : Adresse IP source du paquet

Destination Address : Adresse de destination du paquet

Le nombre rduit de champs par rapport lIPv4 allge le travail des routeurs, car
ils ont moins dinformations traiter.

Cela amliore aussi la scurit (moins dinformations vitales qui transitent).


Autre nouveaut dans IPv6, il est possible dutiliser des extensions. Ce sont en fait
des Header qui sont placs aprs le Header IPv6, et avant le Header de la couche 4
(TCP, UDP, etc)
Le champ Next Header permet de les identifier.
Voici la liste des extensions possibles :

Ces extensions peuvent se combiner entre elles.


Par exemple, pour de lIPSec : Destination Option, AH et ESP.

4)
Les 3 types de
communication
Voyons maintenant les trois types de communications en IPv6.
Vous le savez, en IPv4 nous avions ces trois types l :

Unicast

Broadcast

Multicast

En IPv6, le Broadcast a disparu.

Nous avons alors les trois types de communication suivants :

Unicast : One To One

Multicast : On To Many

Anycast : One To Nearest (ou One to One Of Many)

Pas de changement pour les deux premiers par rapport IPv4.


LAnycast fonctionne un peu comme le Multicast.
Une IP unique reprsente plusieurs interfaces.
Par contre, quand un paquet est envoy sur une IP Anycast, il est en ralit envoy
linterface la plus proche.
Au passage, voici certains ranges Multicast en IPv6 :

FFx2 ::/16 : Ne peut pas tre rout (quivalent de 224.0.0.0 /24) Utile pour

les MAJ de routage

FF02 ::5 : OSPF

FF02 ::9 : RIP

FF02 ::a EIGRP

5)

Les 3 types dadresses

Link-Local Address :
Ce type dadresse est valide uniquement pour les interfaces connectes sur le
mme lien (cest--dire sans passer par un routeur).
Exemple : lien PPP, Ethernet etc
Il nest donc pas possible de router un paquet ayant ce type dadresse.

Ce type dadresse est utilis pour la dcouverte de voisin (Neighbor Discovery en


remplacement dARP), la configuration automatique dadresse globale, lchange
dinfos pour les protocoles de routage, etc
Ces IP doivent bien sr tre uniques.

Le prfix dune telle IP est : FE80 ::/64 (soit FE80:0000:0000:0000) jusqu


FEBF ::/64

En gnral, elle est auto-configure (grce une combinaison du prfix et de


ladresse MAC)

Site-Local Address :
Ce type dadresse nest plus utilise.

Il sagissait plus ou moins dune IPv6 prive.


Mais comme nous lavons dit, lIPv6 a fait disparaitre cette notion de priv /
publique.
Donc finalement, ce type dadresse na plus vraiment dintrt.

Le prfix est va de FEC0::/64 FECF::/64

Global Address :
Cest le type dadresse qui nous intresse le plus.
Celle-ci est routable sur internet.

Elle est dcoupe en plusieurs parties :

Les premiers 48 bits correspondent au prfix global. Il vous est attribu par votre
FAI.
Les prochains 16 bits correspondent au Subnet ID, ce qui vous permet de crer des
sous rseaux.
Les derniers 64 bits reprsentent linterface

Il est donc simple pour une interface de configurer cette IP automatiquement.


Pour cela, elle rcupre le prfix global avec le Subnet ID, puis elle y ajoute
linterface ID (calcul partir de ladresse MAC).

Le prfix va de 2000 3FFF.

6)

Transition vers IPv6

LIPv6 est de plus en plus prsente. Mais comment se fait la transition ?


Il nest malheureusement pas possible de passer tous les rseaux lIPv6 en un
jour.

Vous laurez donc devin, il est ncessaire de faire cohabiter lIPv4 et lIPv6.

Aussi, pour assurer la cohabitation, diffrentes technologies existent.


Voyons trois dentre elles.

Le Dual-Stack
Cette technique est lune des meilleures.
Le principe est simple. Le routeur fonctionne la fois en IPv4 et en IPv6.
Il peut donc faire transiter du trafic en IPv4 ou en IPv6 selon la source / destination.

Si possible, les machines utiliserons IPv6 pour communiquer, et sinon, lIPv4.

En pratique, voil quoi cela peut ressembler :

Vous pouvez voir que le routeur fonctionne en IPv4 ou en IPv6 selon la source.
Les interfaces possderont donc 2 IP.

Tunneling
Si vous tes contraint de passer par un rseau IPv4 pour connecter des rseaux
IPv6 (ou inversement), le tunneling est une solution envisageable.

On parle de 6 to 4 quand des paquets IPv6 passent dans un tunnel travers un


rseau IPv4.
On parle de 4 to 6 quand des paquets IPv4 passent dans un tunnel travers un
rseau IPv6.

Prenons lexemple de 6 to 4.
Les paquets IPv6 seront encapsuls dans un paquet IPv4 le temps du passage dans
le rseau IPv4.

Le protocole utilis pour le tunnel est GRE.

Voici un exemple dimplmentation :

NAT-PT (NAT Protocol Translation)


Dernire solution aborde, le NAT.

Cette solution nest pas utiliser si lune des deux autres solutions prcdentes est
possible.

Le but du NAT-PT est de connecter un rseau IPv6 directement un rseau IPv4 (ou
inversement).

Le routeur se charge de changer les IP sources et destinations des paquets.

Voici un exemple dimplmentation :

Path Control
September 27, 2013 by Valentin Weber Leave a comment

Aprs avoir vu plusieurs protocoles de routage, voyons comment influencer le


routage sur un rseau.
Certains rseaux possdent des liens redondants. Il peut tre utile de choisir
comment les routeurs vont exploiter ces liens : rpartition de charge, raction
en cas de panne, meilleures performances, etc
Nous allons voir 3 choses :

Le Policy Based Routing

Les Offset List

Les SLA Service Level Agreement

Chacune de ces techniques nous permettra de faire du Path Control. Comme elles
ont des utilits diffrentes, il sera important de toutes les maitriser.

1)

Thorie sur le Path Control

Avant de nous plonger dans la configuration de ces techniques, voyons rapidement


lintrt du Path Control.
Comme nous lavons dit, un rseau moderne possde souvent plusieurs chemins
pour une mme destination :

Plusieurs chemins en interne

Plusieurs chemins vers internet (plusieurs FAI)

Le but est donc de contrler lutilisation de ces dfrents liens.


Par exemple, utiliser un FAI pour certains types de trafic (VOIP ?), et utiliser lautre
pour le reste.
Ou encore, garder un FAI en secours au cas o le premier tombe en panne (et
basculer le traficsur le FAI de secours si ncessaire).

Aussi, nous pouvons influencer les protocoles de routage. Par exemple, RIP ne prend
pas en charge la bande passante.
Ce qui fait que si il a le choix entre deux liens, le premier en 2 saut 1Gbs, et le
deuxime en 1 saut 100Mbs, il va prfrer le deuxime (ce qui nest pas le bon
choix).
Encore une fois, le Path Control nous permet de corriger cela.

2)

La topologie

Voici la topologie que nous allons utiliser.

Oui, il y a beaucoup de routeur.


Si vous ne disposez pas de suffisamment de ressources pour faire fonctionner tous
les routeurs en mme temps, vous pouvez vous contenter de dmarrer seulement
les routeurs utiles au moment de la configuration.

Nous avons donc deux rseaux, plus Internet.


Le tout est reprsent de manire basique (pas de NAT).
Le rseau 1 fonctionne en EIGRP.
Le rseau 2 en RIP.

La configuration de base appliquer est la suivant :

IP sur les interfaces

EIGRP pour le rseau 1

RIP pour le rseau 2

Ensuite, utiliser des routes statiques sur R1 et R2 pour laccs internet :


R1(config)#iproute0.0.0.00.0.0.0172.16.1.3
R2(config)#iproute0.0.0.00.0.0.0172.16.2.3

Sur internet, nous allons utiliser des routes statiques :

R4(config)#iproute172.16.0.0255.255.0.0serial0/0
R4(config)#iproute172.17.0.0255.255.0.0serial0/1

R5(config)#iproute172.16.0.0255.255.0.0serial0/0
R5(config)#iproute172.17.0.0255.255.0.0serial0/1

R6(config)#iproute172.16.0.0255.255.0.0serial0/0(Pour plus de simplicit,


R6 utilisera toujours R4 comme Next Hop)
R6(config)#iproute172.17.0.0255.255.0.0serial0/2

Dans le rseau RIP, annoncez une route par dfaut pour Internet :
R7(config)#iproute0.0.0.00.0.0.0Serial0/0
R7(config)#routerrip
R7(configrouter)#redistributestatic

A ce stade, le rseau possde une configuration basique.


Nous allons maintenant influencer le routage des donnes du rseau 1 vers
internet.
Plus tard, nous nous occuperons du rseau 2.

3)

Policy Based Routing

Le Policy Based Routing est le fait dinfluencer le routage des donnes.


Par exemple, en fonction de la source du trafic, de son type, de sa destination, nous
pourrons forcer le routeur envoyer le trafic vers le FAI 1 ou le FAI 2.
Cest ce que nous allons faire dans un premier temps.
Par la suite, nous allons mettre en place un systme de tolrance de panne.

Commenons donc par influencer le routage.

Nous allons dfinir un scnario suivre !


Partons du principe que le FAI 1 (R4) est le plus rapide et le plus fiable. Le FAI 2 est
moins rapide et moins fiable.
Le but sera donc denvoyer le trafic important vers le FAI 1, et le reste vers le FAI 2.
Faisons simple :

Le rseau 172.16.10.0 est celui des employs. Ce trafic nest pas important,
nous lenverrons sur le FAI 2.

Le rseau 172.16.20.0 est celui des serveurs. Ces serveurs sont trs sollicits
sur internet. Ils utiliseront le FAI 1.

Voici donc un scnario basique, mais suffisant pour une petite dmonstration.

La question est donc Comment faire pour rpondre au scnario ? .


La rponse est simple, avec une Route-Map !
Voici sa structure :
RouteMapChoixFAI
MatchipaddressAdressesvoulues
SetipnexthopFAIvoulu

Voici comment faire en pratique :


R3(config)#ipaccesslistextendedCLIENTS
R3(configextnacl)#permitip172.16.10.00.0.0.255any
R3(configextnacl)#permitip172.16.1.00.0.0.255any

R3(config)#routemapChoixFAIpermit10
R3(configroutemap)#matchipaddressCLIENTS
R3(configroutemap)#setipnexthop35.0.0.5

Et voici comment rediriger tout le trafic des clients (employs) vers le FAI No 1
Faisons de mme pour les serveurs :
R3(config)#ipaccesslistextendedSERVERS
R3(configextnacl)#permitip172.16.20.00.0.0.255any

R3(configextnacl)#permitip172.16.2.00.0.0.255any

R3(config)#routemapChoixFAIpermit20
R3(configroutemap)#matchipaddressSERVERS
R3(configroutemap)#setipnexthop34.0.0.4

Ensuite, envoyons le trafic non captur, vers le FAI 2.


R3(config)#routemapChoixFAIpermit30
R3(configroutemap)#setipnexthop35.0.0.5

Enfin, ajoutons une dernire rgle. Vous aurait peut tre remarqu que jusquici,
mme le trafic allant du Lan vers le Lan (par exemple R1 vers R2) sera renvoy vers
un FAI.
Il faut donc ajouter une entre dans la Route-Map, de manire ce que le Next-Hop
du trafic ne soit pas altr.
Commenons par une ACL :
R3(config)#ipaccesslistextendedLanToLan
R3(configextnacl)#permitip172.16.0.00.0.255.255172.16.0.00.0.255.255

(Il est tout fait possible de mieux construire cette ACL, de manire capturer
toutes les IP prives)
Puis ajoutons lentre dans la Route-Map :
R3(config)#routemapChoixFAIpermit2
R3(configroutemap)#matchipaddressLanToLan

Voil, il ne reste plus qu appliquer la Route-Map.


R3(config)#interfaceserial0/0
R3(configif)#ippolicyroutemapChoixFAI

R3(config)#interfaceserial0/1
R3(configif)#ippolicyroutemapChoixFAI

Si vous faites des tests, vous verrez que les paquets vont bien vers les FAI voulus.

Les clients (R1) utilisent le FAI 2 comme convenu

Les serveurs (R2) utilisent bien le FAI 1

Libre vous maintenant de crer un scnario plus complexe.


Par exemple, le trafic HTTPS (ou tout autre type de trafic) venant des clients doit
utiliser le FAI 1

Voici la marche suivre :


R3(config)#ipaccesslistextendedCLIENTS_HTTPS
R3(configextnacl)#permittcp172.16.10.00.0.0.255anyeq443

R3(config)#routemapChoixFAIpermit5
R3(configroutemap)#matchipaddressCLIENTS_HTTPS
R3(configroutemap)#setipnexthop34.0.0.4

Pour tester cette configuration, faites un Telnet sur lIP voulu, en spcifiant le port
443

Le message Connection refused by remote host indique que le message est bien
arriv.
Si vous voulez vous assurer que le message passe bien par le FAI 1, il suffit de
couper linterface R3 s0/2.
La tentative de Telnet donnera alors :

Noubliez pas de ractiver linterface.

Avant de passer la suite, prenez le temps dlaborer un peu plus le scnario, afin
dexplorer les possibilits.
Attention, il faudra alors adapter la suite du TP vos modifications, on bien les
supprimer.

5)
SLA Service Level
Agreement et techniques de
test proactives
Vous avez apprci la manipulation prcdente, vous allez adorer celle-ci !
Avec ce que nous avons mis en place, il y a un problme.
Que se passe-t-il si le FAI 1 tombe en panne ? Et bien les serveurs nont plus accs
internet.
Pareil avec le FAI 2 et les clients.
Lidal serait dutiliser le deuxime FAI si le premier tombe.

Voyons comment faire !

Il faut utiliser ce que lon appelle une technique de test proactive.


Le principe est simple, tester la disponibilit du FAI (avec des Ping), et basculer sur
le deuxime FAI si le premier ne rpond plus.

Nous allons mettre en place cela pour les serveurs. Si le FAI 1 ne rpond plus, ils
utiliseront le FAI 2.
Quant aux clients, nous ne ferons pas la manipulation pour quils basculent sur le
FAI 1 en cas de panne (mais libre vous de la faire par la suite).

La premire chose faire est de mettre en place une opration SLA :


R3(config)#ipslamonitor1
R3(configslamonitor)#typeechoprotocolipicmpEcho34.0.0.4
R3(configslamonitorecho)#timeout1000
R3(configslamonitorecho)#frequency3(tous les combien de temps une
requte est envoye, par dfaut : 60)

R3(config)#ipslamonitorschedule1starttimenowlifeforever (le test


dmarre tout de suite, et ne sarrte jamais)

Ensuite, un objet de tracking va analyser le statut de lopration SLA.


R3(config)#track1rtr1reachability

Il faut maintenant utiliser cet objet de tracking


Retournons dans la Route Map qui dfinit le FAI utiliser pour les serveurs.
Voici son tat actuel :
routemapChoixFAIpermit20
matchipaddressSERVERS
setipnexthop34.0.0.4

Et voici comment la modifier :


R3(config)#routemapChoixFAIpermit20
3(configroutemap)#nosetipnexthop34.0.0.4
R3(configroutemap)#setipnexthopverifyavailability34.0.0.410track1
R3(configroutemap)#setipnexthop35.0.0.5

Lors de la configuration du Next Hop, nous pouvons spcifier lobjet de tracking.


Le numro 10 aprs lIP du Next Hop, correspond son ID.
Dans lordre, le routeur test la disponibilit du Next Hop ayant le plus haut ID.
Sinon, il prend le Next Hop par dfaut (celui qui na pas dID).

Vous pouvez maintenant faire les tests !

La bascule se fait automatiquement !


A vous de voir si vous souhaitez faire de mme pour les clients.

6)

Les Offset-Lits

Finissons par une notion simple, les Offset-List.


Le but est de rajouter un Offset la mtrique dune route.
Offset signifie dcalage.
Le but est donc de modifier la mtrique dune route.
Prenons un exemple.
Dans le rseau 2, R7 a deux chemins pour joindre 172.17.10.0 /24.
Soit R7 -> R9
Soit R7 -> R8 -> R9.
Dans le cas prsent, mieux vaut prendre le chemin le plus court.
Mais imaginons que le lien R7 -> R9 soit un lien 100Mbs, alors que R7 -> R8 et R8
-> R9 sont des liens 1Gbs.

Quel chemin RIP va-t-il choisir ? Le lien de 100Mbs, car cest celui avec le moins de
saut.

Il faudrait donc augmenter la mtrique de la route suivante :

Si nous changeons le nombre de saut pas 3 , R7 prfrera passer par R8.


La manipulation est relativement simple :
R7(config)#accesslist1permit172.17.10.00.0.0.255
R7(config)#routerrip
R7(configrouter)#offsetlist1in2serial0/2

Voici les dtails de la commande :


offset-list : mot cl pour mettre en place une Offset List en mode router
1 : identifiant de lACL indiquant quelles routent il faut filtrer
In : permet de choisir si lOffset est appliqu sur les routes reus ou annonces
2 : Offset appliquer
Serial 0/2 : interface sur laquelle on applique lOffset List

Quen est-il de la table de routage ?

Parfait, R7 a choisi R8 comme Next Hop pour 172.17.10.0 /24

Le principe est le mme pour EIGRP.


Il suffit dindiquer un Offset cohrant par rapport la mtrique.

La Mtrique De BGP
September 27, 2013 by Valentin Weber Leave a comment

Maintenant que vous maitrisez le protocole BGP de manire basique, voyons


comment fonctionne la mtrique.
Nous allons voir que celle-ci est relativement complexe.
Nous verrons dans un premier temps les attributs utiliss par BGP pour calculer la
mtrique.
Ensuite nous ferons une mise en pratique, dans laquelle nous manipulerons la
mtrique.

1)

Prsentation de la mtrique

Comme dit prcdemment, la mtrique BGP est relativement complexe.


L ou OSPF nutilise quun attribut, BGP en utilise plus de 10 !

La mtrique est en fait une srie de Tags appliques la route.


Quand un routeur reoit une route, il regarde tous ces tags (attributs), et en dduit
la meilleure route.

Certains de ces attributs sont dits Well-Known . Cest--dire que tous les
constructeurs les supportent.
Les autres sont dits Optional .
En bref, chaque constructeur utilise sa propre liste dattributs. Le routeur qui reoit
la MAJ garde ceux quil connait.

Ensuite, certains attributs sont dits Mandatory . Cest--dire quils doivent tre
inclus dans les MAJ.
Les autres sont dits Discretionary . Ils ne sont pas forcment envoys dans les
MAJ. Nous verrons des exemples plus tard.

Enfin, certains attributs sont dits Transitive . Cela veut dire quils peuvent
passer dAS en AS.
Les Non-Transitive sont des attributs, qui quand ils sont annoncs, ne sortent
pas de lAS.

Ces dfrentes catgories peuvent ensuite se cumuler :

Well-known mandatory

Well-known discretionary

Optional transitive

Etc

Plutt quun long discours, voici la liste de ces attributs.


Quand BGP reoit deux routes pour la mme destination, il utilise cette liste pour
comparer les routes.
La liste est parcourus comme une ACL, de haut en bas jusqu quun attribut
permette de diffrencier les deux routes.
Cette liste est celle utilise par les routeurs Cisco. Chez dautres constructeurs, la
liste sera diffrente.
Les attributs les plus importants sont les 7 premiers (jusqu MED).
En gnral, le choix se fait au numro 4 : AS Path
Comme il nest pas vident de bien apprhender tous ces attributs, nous allons faire
une mise en pratique.

2)

La topologie

Voici la topologie que nous allons utiliser.


LAS 100 reprsente notre entreprise. Nous sommes connects deux FAI.
Le but est donc dexploiter ces deux FAI, de manire favoriser celui qui offre le
meilleur chemin vers la destination.

Pour ce qui est de la configuration basique, voici ce quil faut configurer :

IP des interfaces (ainsi que les Loopback)

OSPF dans lAS 100 (entre R1, R2 et R3)

Relation BGP

Si vous voulez tablir les relations BGP sur les IP de Loopback, ne pas oublier de :

Inclure les Loopback dans OSPF

Configurer des routes statiques (vers les IP de Loopback) entres les voisins
eBGP. Ex : R2 = ip route 4.4.4.4 255.255.255.255 serial 0/2

Voici le rsum des configurations (en utilisant les IP de Loopback pour les relations
BGP) :
Pour BGP :
R1(config)#doshowrun|sbgp
routerbgp100
nosynchronization
bgplogneighborchanges
neighbor2.2.2.2remoteas100
neighbor2.2.2.2updatesourceLoopback0
neighbor3.3.3.3remoteas100
neighbor3.3.3.3updatesourceLoopback0
noautosummary
R2(config)#doshowrun|sbgp
routerbgp100
nosynchronization
bgplogneighborchanges
neighbor1.1.1.1remoteas100
neighbor1.1.1.1updatesourceLoopback0
neighbor1.1.1.1nexthopself
neighbor3.3.3.3remoteas100
neighbor3.3.3.3updatesourceLoopback0
neighbor4.4.4.4remoteas400
neighbor4.4.4.4ebgpmultihop2
neighbor4.4.4.4updatesourceLoopback0
noautosummary
R3(config)#doshowrun|sbgp
routerbgp100
nosynchronization
bgplogneighborchanges
neighbor1.1.1.1remoteas100
neighbor1.1.1.1updatesourceLoopback0
neighbor1.1.1.1nexthopself
neighbor2.2.2.2remoteas100
neighbor2.2.2.2updatesourceLoopback0
neighbor5.5.5.5remoteas500
neighbor5.5.5.5ebgpmultihop2
neighbor5.5.5.5updatesourceLoopback0
noautosummary

Etc

Pour OSPF :

R1(config)#doshowrun|sospf
routerospf1
routerid1.1.1.1
logadjacencychanges
network1.1.1.10.0.0.0area0
network10.1.12.10.0.0.0area0
network10.1.13.10.0.0.0area0

Etc

Pour les routes statiques :


R4(config)#doshowrun|siproute
iproute2.2.2.2255.255.255.255Serial0/0
iproute6.6.6.6255.255.255.255Serial0/1

Etc

3)

Annonce des routes

Pour R6 nous allons annoncer les routes grce BGP. Pour R7, nous allons
redistribuer les routes dans BGP.

R6 :
R6(config)#routerbgp600
R6(configrouter)#network6.0.0.0mask255.255.255.0
R6(configrouter)#network6.0.1.0mask255.255.255.0
R6(configrouter)#network6.0.2.0mask255.255.255.0

R7 :
R7(config)#routerbgp700
R7(configrouter)#redistributeconnected

Il est important que R3 et R2 annoncent les routes internes :


R1(configrouter)#network10.1.12.0mask255.255.255.0
R1(configrouter)#network10.1.13.0mask255.255.255.0

R2(configrouter)#network10.1.23.0mask255.255.255.0

Bien entendu, dans la ralit nous nannoncerons pas les IP prives.

Normalement, R1 devrait tre capable de joindre R7 :

Bien. Nous avons un rseau fonctionnel. BGP assure le routage (basique) entre les
rseaux, et nous sommes capables de joindre les deux destinations, savoir 6.0.0.0
/22 et 7.0.0.0 /22.
De plus, nous sommes joignables.
Nous pourrions nous arrter ici. Mais le but est de manipuler la mtrique BGP.
Nous allons donc revenir sur certains attributs, et voir comment influencer BGP
dans son choix de route.

4)
Manipulation de la
mtrique
Weight
Le poids est le premier dans la liste des attributs BGP.
Il est propritaire Cisco.
Le but de poids est de mettre une prfrence sur un voisin ou un autre (le plus haut
poids gagne).
Par exemple, nous pouvons forcer R1 prfrer R2 comme voisin BGP.

La configuration se fera sur R1. Le poids nest jamais annonc, il ne quitte pas le
routeur.

Un exemple sera plus parlant :


Voici la table BGP de R1. Elle indique toutes les routes apprises par BGP.

Actuellement, R1 prfre passer par R2 pour joindre 6.0.0.0 /24


Et si nous voulons quil prfre passer par R3 ?
Voici comment faire :
R1(config)#routerbgp100
R1(configrouter)#neighbor3.3.3.3weight50
R1#clearipbgp*

(Attendre quelques secondes)

A prsent, R1 prfre passer par R3.


Bon, linconvnient cest quil en sera de mme pour toutes les routes.

Lidal serait de pouvoir favoriser R3 seulement pour certaines routes.


Cela se fait avec une route-map. Nous verrons un exemple plus tard.

Avant de passer la suite, annulez les changements (et remettez zro le


processus BGP).
Nous voulons juste voir comment modifier les attributs. Libre vous de cumuler les
modifications par aprs.

Local Preference
La Local Preference est un peu comme le poids.
Elle permet de choisir un routeur favori, et de lannoncer dans lAS.
Par exemple, nous pouvons favoriser R3 dans lAS 100.
R1 et R2 prfrerons passer par R3.
Par contre, la Local Preference nest pas annonce hors de lAS.

Voici lexemple pour favoriser R3 :


R3(config)#routerbgp100
R3(configrouter)#bgpdefaultlocalpreference200

La Local Preference de base est 100.

Comme prvu, cest R3 qui est favorissi tu .


Pourquoi ?
BGP a parcourus la liste des attributs, afin de diffrencier les routes de R2 et R3.
1 : quelle route a le meilleur poids ? Aucune des deux.
2 : quelle route a la meilleure Local Preference ? Celle venant de R3.
-> R3 sera choisi comme Next Hop.
Encore une fois, cela sapplique toutes les routes annonces par R3.
Pour ne favoriser que certaines dentre-elles, il faudra utiliser une route-map.

Annulez les changements avant de passer la suite

Self Originated
Comme vous avez pu le voir dans le tableau, si arriv ce point le routeur na pas
encore pu dterminer quelle route est la meilleure, il va favoriser les routes quil a
lui-mme annonc (via la commande Network, Aggregate ou Redistribute).
Bien entendu, sil na pas lui-mme annonc de route vers la destination voulue, il
passe lattribut suivant (le AS-Path).

AS-Path
Si arriv ce point, BGP a toujours le choix entre deux routes (ou plus), il va
favoriser celle passant pas le moins dAS.
Cest en gnral ici que ce fait le choix.
Si vous avez bien annul les modifications, vous devriez pouvoir constater cela sur
R1.

Pour joindre 6.0.0.0 /24, R1 prfre le chemin R2 -> R4 -> R6.


Pourquoi ? Car cela implique de passer par 2 AS.
Alors que le chemin R3 -> R5 -> R7 -> R5 implique de passer par 3 AS.

Origin
Si lAS-Path est quivalent entre deux routes, BGP va favoriser les routes avec le
type Origin le plus faible.
Voici les trois types :

IGP : Survient quand la commande Network est utilise

EGP : La route est annonce par eBGP

Incomplete : survient quand la commande Redistribute est utilise

Dans lordre, BGP prfre IGP puis EGP puis Incomplete


Le type Origin est visible aprs lAS-Path dans la table BGP :

Ici nous pouvons voir la diffrence entre les routes vers 7.0.0.0 /22 et 6.0.0.0 /22.
En effet, pour annoncer 6.0.0.0 /22, nous avons utilis la commande Network.
Pour 7.0.0.0 /22 nous avons utilis la commande Redistribute.

MED
Finissons par voir le Multi-Exit-Discriminator, aussi appel Metric.
Cet attribut permet dinfluencer le choix du routeur pour entrer dans lAS.
Pour cet exemple, nous allons devoir modifier la topologie.
Il faut ajouter un lien entre R4 et R3.

Ensuite, appliquer la configuration pour que ce lien soit fonctionnel.

Adresse IP

Route statique (vers 4.4.4.4 pour R3, et vers 3.3.3.3 pour R4)

Relation BGP

Le MED permet de favoriser un routeur pour lentre dans lAS.


Nous allons donc chercher favoriser R3 pour entrer dans lAS 100.

Actuellement, R4 prfre utiliser R2 (utiliser show ip bgp pour voir cela).

Par dfaut la mtrique est de 0.

La mtrique la plus faible est la meilleure.


Nous allons donc augmenter celle de R2.

Pour cela, deux solutions :

Utiliser la commande default-metric

Utiliser une Route Map et appliquer une mtrique (MED) sur certains rseaux
(routes) annoncs

La premire solution sapparente ce que nous avons vu jusqu prsent. Appliquer


lattribut toutes les routes annonces.
Sauf que cette commande ne permet que de modifier la mtrique par dfaut. Or
certaines routes sont annonces avec une mtrique (donc la mtrique par dfaut
naura deffet).
La mtrique (ou MED) dpend de la faon dannoncer les routes (commande
Network, Redistribute, etc)

Nous avions dit tout lheure que nous utiliserons une route Map de manire
influencer le routage seulement pour certaines routes.
Par exemple, configurer une Local Preference sur R3, seulement pour les routes vers
7.0.0.0 /22 (et non pas vers 6.0.0.0 /22).
Ou encore, configurer une mtrique (MED) de manire ce que R4 passe par R3
quand il veut joindre 10.1.13.0 /24.
De cette manire, R4 favorisera toujours R2 pour joindre 10.1.12.0 /24.

Nous allons donc voir comment mettre en place une Route Map permettant
dagir sur lesattributs.
Nous verrons lexemple pour la MED. Libre vous de faire le test avec un autre
attribut.

Premire chose faire, crer une Access List afin dagir seulement sur le rseau
voulu :
R2(config)#accesslist1permit10.1.13.00.0.0.255

Puis nous crons la Route-Map

R2(config)#routemapR2_MED
R2(configroutemap)#matchipaddress1
R2(configroutemap)#setmetric200

Afin que la Route Map ne bloque pas lannonce des autres rseaux, il faut ajouter
une entre vide.
R2(config)#routemapR2_MEDpermit20
R2(configroutemap)#exit

Il ne reste plus qu appliquer la Route-Map


R2(config)#routerbgp100
R2(configrouter)#neighbor4.4.4.4routemapR2_MEDout

Aprs quelques instants, vous pourrez constater le rsultat sur R4.


Plutt que de choisir R2 comme Next-Hop pour 10.1.13.0 /24, il va choisir R3 :

Voici donc comment faire une route Map utile en BGP.


Libre vous de faire les tests avec dautres attributs.
Attention, selon le cas la Route Map est appliquer en entre ou en sortie.
Ex :
R2(config-router)#neighbor 4.4.4.4 route-map R2_MED out (exemple
precedent)
R2(config-router)#neighbor 4.4.4.4 route-map R4_LocalPref IN (appliquer
une Local Pref aux routes apprises par R4 qui sont annonces dans lAS 100).

Les Diffrents Types De Zones OSPF


September 24, 2013 by Valentin Weber Leave a comment

Les grands rseaux OSPF sont gnralement spars en plusieurs zones.


Nous avons vu que cela permettait dallger le travail des routeurs.
A travers cet article, nous allons revenir sur lutilit des zones, puis nous tudierons
diffrents types de zones.
Dans le prochain article, nous verrons la configuration de ces zones.

1)

La topologie

Afin dillustrer les exemples, nous utiliserons la topologie suivante.

Par ailleurs, nous lutiliserons aussi dans la partie pratique.

Nous ne nous soucierons pas de la configuration applique aux routeurs pour le


moment.

2)

Rappels sur les zones

Avant dtudier les diffrents types de zones, revenons sur le fonctionnement dune
zone basique.
Ces notions ont t traites dans larticle sur les notions de base dOSPF.

Premirement, quoi servent-les zones ?


Simplement allger le travail des routeurs.
Au sein dune mme zone, tous les routeurs se connaissent.
Par exemple, R2 connait R1 et R3, ainsi que R4 et R5. Par contre, il ne connait pas
R6 et R7.
Ainsi, les LSA ne peuvent pas sortir dune zone. Par exemple, les LSA qui circulent
dans la zone 0 niront jamais dans la zone 40.

Nanmoins, les routes dune zone sont tout de mme annonces dans les autres
zones.
R4 aura donc connaissance des routes pour 172.17.0.0 /22

En bref, les Area Border Router ne redistribuent pas les LSA (du moins certains
types de LSA) dans dautres zones, mais par contre, ils redistribuent les routes.

Pour rappel, il est possible de rsumer les routes avant de les redistribuer. Pour
cela, il faut que ladressage soit hirarchique (pour permettre la cration dune
route rsume qui englobe les routes internes).
Au passage, les Autonomous System Border Router injectent dans la zone les routes
venant dun autre protocole de routage (ici ce sera R1).

Nous avions aussi vu quil faut que toutes les zones soient connectes la zone 0.
Sinon, les routes narrivent pas dans la dernire zone.
Prenons lexemple des zones 60 et 70.
R3 va envoyer R6 les routes quil connait.
Par contre, R6 ne va pas renvoyer ces routes R7.

A retenir :

Utilit des zones : localiser les MAJ la zone, rduire la taille de la topologie
connaitre

Toutes les zones doivent tre connectes la zone 0

Ladressage doit tre hirarchique (pour le rsum entre les zones)

ABR : fait le lien entre plusieurs zones

ASBR : injecte des routes venant dautres protocoles de routage

3)
Les diffrents messages
LSA
La partie suivante a dj t partiellement traite dans larticle sur les bases
dOSPF.

Nous allons voir quil existe diffrents types de LSA en OSPF. Il est important de les
connaitre afin de bien comprendre le fonctionnement des diffrents types de zones.

Voici les LSA qui existent :

Type 1 : Dcrit les interfaces dun routeur

Type 2 : dcrit les routeurs connects au segment

Type 3 : Route de rsum envoye dans une autre Area par lABR Area
Border Router

Type 4 : Dcrit lASBR Autonomous System Border Router. Gnr par


lASBR et envoy dans les autres zones. Permet de faire connaitre le routeur ID
dans dautres zones.

Type 5 : Route redistribue par lASBR (route externes, type RIP, EIGRP,
etc)

Type 7 (aborde plus en dtails avec la Not So Stubby Area) : Comme le type
5, mais qui peut circuler dans une NSSA. Il est transform en Type 5 la sortie
de la NSSA

Revenons plus en dtail sur ces 6 types.

Type 1 et 2 : ils permettent aux routeurs dune zone de se connaitre, et de


construire une carte topologique de la zone.
Type 3 : il permet denvoyer des routes dune zone A une zone B. Ainsi, les
routes de la zone A, seront prsentes dans la zone B, et ce sans connaitre la
topologie de la zone A. Il est possible de rsumer les routes avant de les envoyes.
Type 5 : il permet lASBR de redistribuer des routes externes dans une zone.
Type 4 : il permet de faire connaitre lASBR. Reprenons la topologie. R1 est lASBR,
car il peut injecter des routes externes.
Grace au LSA de type 5, R1 va redistribuer ses routes externes. Quand R3 recevra
des LSA de type 5 de la part de R1, il ny aura pas de problme.
Il va ensuite faire suivre ces LSA dans la zone 60.

Considrons R6. Il va recevoir un LSA de type 5 venant de R1 (grce R3 qui la fait


suivre).
Mais il ne va pas reconnaitre lexpditeur du LSA (le routeur R1). En effet, le routeur
ID lorigine du LSA est celui de R1. Or R6 ne connait pas R1, car il ne fait partie de
sa zone.
R6 aura donc une information dans sa base de donnes, lui disant que pour joindre
le rseau 172.16.0.0 /22, il faut dabord joindre le routeur R1. Mais R6 ne connait
pas R1. Mme si il a une route pour R1, il ne sait pas quelle mne au routeur ayant
pour ID celui de R1.

Le LSA de type 4 permet donc de faire connaitre lASBR dans toutes les zones.

Pour illustrer cette explication, voyons cela en pratique.


R1, R3 et R6 ont t configurs de manire basique (IP, OSPF)
R1 redistribue les routes statiques quil possde.
Chaque routeur a un router-id correspondant son Hostname.

Donc, R1 va envoyer des LSA de type 5 pour annoncer les routes externes.
Voyons cela sur R3 (avec la commande show ip ospf database ) :

R3 sait comment joindre le rseau 172.16.0.0 /22. Il doit pour cela joindre le routeur
ayant pour ID 1.1.1.1. Attention, il ne sagit pas de joindre lIP 1.1.1.1, mais bien le
routeur ayant cet ID.

Il faut donc que R3 ai connaissance de R1.


Cela tombe bien, ils sont dans la mme zone. Les LSA de types 1 et 2 qui circulent
au sein de la zone, permettent aux routeurs de se connaitre.
R3 connait le routeur ayant pour ID 1.1.1.1. Il sait donc comment le joindre.

Comme nous lavions dit, jusquici, il ny a pas de problme. Nul besoin de LSA de
type 4.
Voyons o ceux-ci sont utiles.

Que se passe-t-il quand R3 fait suivre des LSA de type 5 venants de R1, vers R6 ?
R6 rceptionne les LSA, et remplit sa base de donnes.

Ici le problme est flagrant : R6 ne connait pas R1 (lID 1.1.1.1)

Il ne peut donc pas se crer une route pour 172.16.0.0 /22. Celle-ci devrait pointer
vers R1. Or R6 ne connais pas R1, car ils ne sont pas dans la mme zone (cest le
principe des zones).
Encore une fois, nous parlons bien de lID 1.1.1.1 (ce qui na rien voir avec une
ventuelle IP 1.1.1.1).
Bref, il faut que R6 sache qui est R1.
Cest ici quinterviennent les LSA de type 4.
Avant de faire suivre les LSA de type 5, R3 va envoyer un LSA de type 4 (aussi
appel Summary ASB LS) R6 :

R6 sait donc que pour joindre R1, il faut passer par R3.
A partir des LSA de type 4 et 5, R6 peut maintenant se construire une route pour
172.16.0.0 /22.

En bref, un LSA de type 4 est gnr par un ABR, afin de faire connaitre lASBR dans
dautres zones.
Ensuite, les routeurs pourrons assimiler les LSA de type 5, mme si lASBR nest pas
dans leur zone.

Type 7 : il est un peu particulier. Nous ltudierons plus tard avec les Not So Stubby
Area.

4)
Les diffrents types de
zones
La Backbone Area : toutes les zones doivent y tre connectes

La Standard Area : type de zone par dfaut. Les LSA de type 1 et 2 ne sortent pas
de la zone (comme toujours).
Les LSA de types 3, 4 et 5 peuvent schanger entre les zones standards

Stubby Area : les LSA de types 4 et 5 ne sont pas envoys dans la zone. A la
place, une route par dfaut est utilise.

Par exemple, R4 ( gauche sur la topologie) ne recevra jamais les LSA de type 5
venant de R1.

Il naura pas conscience des routes externes.

Il connaitra bien les rseaux 10.0.12.0, 10.0.13.0, etc En effet, les LSA de type 3
entrent bien dans les zones Stubby.

Mais alors, comment joindre les rseaux externes ?


Avec une route par dfaut !
Celle-ci est automatiquement cre sur R4, si il est en mode Stubby.

Voici la table de routage de R4 quand il est en mode Stubby :

Nous pouvons voir quil possde toujours les routes importes depuis dautres
zones. Par contre, il ne possde plus de routes externes. A la place, il a une route
par dfaut, pointant vers R2.

Sans le mode Stubby, nous aurions 4 routes pour le rseau 172.16.0.0 /22

Totally Stubby Area : Empche les LSA de type 3, 4 et 5 de rentrer.

Les routeurs de lArea ne connatront que les rseaux internes lArea.


Pour joindre les rseaux des autres zones, ou les rseaux externes, une route par
dfaut est utilise.

Voici la table de routage de R5, quand lArea 50 est en Totally Stubby

Si nous rajoutons dautres routeurs dans la zone 50, R5 connaitra leurs rseaux
(grce aux LSA de type 1 et 2).

Not So Stubby Area : oui, le nom de ce type de zone est spcial !

Le but est de permettre la prsence dun ASBR dans une Stubby ou Totally Stubby
Area. A noter que pour une Totally Stubby Area, nous appellerons la zone Totally
Stubby Not So Stubby Area . Oui, vous avez bien lu

Pourquoi faut-il une configuration particulire ?


En Stubby ou Totally Stubby, les LSA de types 4 et 5 ne circulent pas.
LASBR ne pourra donc pas redistribuer de routes externes.

En mode NSSA, lASBR utilisera le fameux LSA de type 7 pour remplacer les LSA de
type 4 et 5
A la sortie de la NSSA, le LSA de type 7 est transform en type 4 ou 5 selon le cas.

Voyons un exemple :
Nous ajoutons des routes statiques sur R4

Voici le message du routeur quand nous volons configurer la redistribution (et donc
en faire un ASBR) :

Il refuse de redistribuer les routes externes, car les LSA de types 4 et 5 ne pourront
pas circuler dans lArea.

La redistribution naura donc aucun effet.

Pour corriger le problme, la zone doit tre en NSSA


Une fois cela fait (dtail de la configuration dans un prochain article), les routes
peuvent tre redistribues

R2 possde maintenant des LSA de type 7 :

Comme dit prcdemment, la sortie de la zone NSSA, les LSA de types 7 sont
convertis en types 4 et 5 (nous retrouvons le fonctionnement normal de la
redistribution)

Voyons si R3 reoit bien les LSA de type 5 correspondants au rseau 172.18.0.0 /


22 :

En effet, R3 ny voit que du feu !


Notons au passage, quil considre R2 comme lASBR, et non pas R4.

5)

Conclusion

Nous avons vu la thorie sur les diffrents types de zones OSPF


Pour rappel, les voici :

Standard Area : zone par dfaut, tous les LSA peuvent y circuler

Stub Area : zone qui ne laisse pas circuler les LSA de type 4 et 5 (les routes
externes sont alors remplaces par une route par dfaut)

Totally Stubby Area : zone qui ne laisse pas circuler les LSA de type 3, 4 et
5 (les routes externes et celles des autres zones sont alors remplaces par une
route par dfaut)

Not So Stubby Area : Zone Stub qui continent un ASBR. Les LSA de types 4
et 5 sont remplaces par du type 7, au sein de la zone. Ils sont convertis en
types 4 et 5 la sortie

Totally Stubby Not So Stubby Area : mme chose quune NSSA mais pour
Totally Stubby Area

Bien sr, pour bien comprendre tout cela, nous avons tudi les messages LSA.

Voici un rcapitulatif :

Type 1 : Dcrit les interfaces dun routeur

Type 2 : dcrit les routeurs connects au segment

Type 3 : Route de rsum envoye dans une autre Area par lABR Area
Border Router

Type 4 : Dcrit lASBR Autonomous System Border Router. Gnr par


lASBR et envoy dans les autres zones. Permet de faire connaitre le routeur ID
dans dautres zones.

Type 5 : Route redistribue par lASBR (route externes, type RIP, EIGRP ;
statique, etc)

Type 7 : Comme le type 5, mais qui peut circuler dans une NSSA. Il est
transform en Type 5 la sortie de la NSSA

Si la thorie est claire, vous pouvez passer la pratique (dans larticle suivant).
Les configurations ne sont pas compliques du tout. Le plus gros du travail tait de
comprendre le fonctionnement des zones.

Connexi
on
Telnet
sur
Cisco
>>> Configuration dune connexion distance Telnet sur Switch/routeur

Le but de ce cours est dapprendre configurer la connexion Telnet pour


pouvoir administrer Switch/Routeur distance.

Sommaire :
I)
II)
Configuration
III)
Connexion

1)
Avec
CMD
2) Avec Putty

du
distance
de

Schema
Switch/Routeur
via
Telnet
Windows
XP

I) Schema

II) Configuration du Switch/Routeur


Nous allons commencer par crer un Utilisateur et on activera le transport Telnet :
Switch#conf terminal
Switch(config)#username admin secret bonjour

On cre lutilisateur admin.


Switch(config)#enable secret bonjour

On dclare le mot de passe systme.


Switch(config)#line vty 0 4

On rentre dans le menu Telnet.


Switch(config-line)#login local

On demande Telnet dutiliser les utilisateurs local, enregistr sur le Switch/Routeur.


Switch(config-line)#password bonjour

On dclare le mot de passe Telnet.

III) Connexion distance via Telnet

1) Avec CMD de Windows XP


On commence par lancer CMD :
Dmarrer > excuter > tapez : CMD > OK
Vous obtenez une fentre comme celle-ci :

Tapez : telnet 192.168.1.2


192.168.1.2 est ladresse IP de notre switch.
Vous obtenez ceci :

Entrez maintenant votre Login/password, dans notre cas "admin" et "bonjour".


Ceci est lauthentification pour la connexion telnet.
Vous obtenez :

Pour finir, le switch vous demande de vous authentifier.


Entrez de nouveau Login/Password, dans notre cas "enable" et "bonjour".
vous obtenez ceci :

2) Avec Putty
On commence par lancer putty :

On slectionne le mode Telnet et on tape ladresse du Switch/Routeur.


Comme ceci :

Ensuite on recommence la mme procdure quavec CMD, on entre le Login/Password :

Activer la gestion distance de votre routeur

Situations propices la gestion de routeur distance :


Vous avez besoin d'aide et une personne distante souhaite
administrer la configuration de votre routeur.
Vous dpannez le routeur de quelqu'un, par exemple un ami
ou un proche.
Vous tes administrateur d'un rseau distant.
La gestion distance est dsactive par dfaut. Dans la mesure
o un pirate pourrait dcrypter votre mot de passe de routeur, il
est prfrable de dsactiver la gestion distance aprs utilisation,
afin d'empcher l'administration du routeur partir du WAN.
Dfinir le mot de passe du routeur
Vous devez imprativement choisir un autre mot de passe que
celui par dfaut avant d'utiliser la gestion distance. Pour
modifier le mot de passe :

1.

Saisissez http://192.168.0.1 (ou http://192.168.1.1 pour


certains modles de routeurs) dans un navigateur. L'cran de
connexion du routeur s'affiche.
2.
Le nom d'utilisateur et le mot de passe par dfaut sont
respectivement admin et password. (Sur certains routeurs plus
anciens, le mot de passe est 1234.)Le routeur vous connecte.
3.
Cliquez sur Maintenance > Nouveau mot de passe.
4.
Dans le champ Ancien mot de passe, saisissez le mot de
passe par dfaut.
5.
Dans les champs Nouveau mot de passe et Confirmer le
nouveau mot de passe, saisissez le nouveau mot de passe de
votre choix. Notez-le et conservez-le dans un lieu sr, par
exemple avec les instructions d'installation de votre routeur ou la
feuille de configuration de votre FAI.
Contrairement ce que pensent bon nombre d'experts
autoproclams, le fait de noter un mot de passe ne prsente que
peu de risques. Par contre, celui de vous apercevoir au bout de
quelques mois que vous l'avez oubli est bien plus fcheux. Les
mots de passe ne doivent pas tre trop simples : associez des
caractres, des nombres et des symboles. Il est dconseill
d'utiliser des noms ou des dates que vous estimez simples
retenir, comme votre date de naissance, le nom de votre chien,
votre nom d'utilisateur, etc.
Bon : kB?3ccsiiz$$8 ou 4*8zbmn-BXY
Acceptable : Nearmi$ ou fAsTnetttter
Faible : beaugosse, moi ou encore vivelesstones
(Si vous avez perdu votre mot de passe, suivez les instructions
de cette page.)
6.
Cliquez sur Appliquer.
Activer la gestion distance
1.
Connectez-vous au routeur si ce n'est dj fait.
2.
Cliquez sur Avanc > Gestion distance.
3.
Slectionnez Activer la gestion distance.
4.
Dterminez si vous souhaitez que le routeur ait accs un
seul ordinateur ou plusieurs ordinateurs compris dans une
plage d'adresses IP. (A moins que vous ne disposiez d'une

connexion par modem ou d'une adresse IP dynamique, il est


dconseill d'accorder un accs gnral.)
5.
Si vous souhaitez que l'accs soit accord un seul
ordinateur, slectionnez Cet ordinateur seulement, puis
saisissez l'adresse IP de l'ordinateur en question.
6.
Si vous souhaitez accorder l'accs aux ordinateurs compris
dans une plage d'adresses IP, slectionnez Plage d'adresses IP,
puis saisissez les adresses de dbut et de fin de la plage dans les
champs De et A. Pour cet exemple, les adresses IP de dbut et de
fin sont respectivement 68.205.2.56 et 68.205.2.65.

7.

Laissez le numro de port dfini sur 8080, moins que vous


ne soyez derrire un pare-feu d'entreprise bloquant certains
ports. Les ports n'tant gnralement pas bloqus sont ceux
affects au trafic sortant HTTP et HTTPS, savoir les numros de
ports 80 et 443.
8.
Cliquez sur Appliquer.
9.
Notez l'adresse IP indique dans le champ Adresse de
gestion distance. Il s'agit de l'adresse, suivie du numro de
port, accordant un accs distance au routeur
(http://68.203.2.57:8080, en l'occurrence).
Pour accder votre routeur partir d'Internet, saisissez
l'adresse IP WAN dans le navigateur, suivie du signe deuxpoints (:) et du

numro de port. Par exemple, si votre adresse IP externe est


134.177.0.123 et le port que vous utilisez 8080,
saisissezhttp://134.177.0.123:8080.
Impossible de se connecter au routeur via 192.168.0.1
ou 192.168.1.1

Causes possibles
Absence de connexion physique
Erreur d'adresse IP ou de pare-feu
Pare-feu ou bloqueur de fentres contextuelles
Paramtrage incorrect du proxy
Redmarrage ncessaire du routeur
Solutions
Chacune de ces solutions pouvant rgler le problme, vous pouvez
ressayer aprs avoir appliqu l'une d'elles. Testez votre
connexion en
saisissant http://192.168.0.1 ou http://192.168.1.1 dans la
barre d'adresse d'un navigateur (l'une d'elles fonctionnera
forcment). Cette opration a pour effet de connecter votre
ordinateur aux crans d'administration de votre routeur.
Solution 1 - Rparer la connexion physique
La plupart des routeurs NETGEAR sont dots de 5 ports Ethernet.
L'un d'entre eux est lgrement loign des autres. Sa fonction
est de se connecter Internet par le biais de votre connexion
cble ou ADSL. (Certains routeurs permettent une
connexion USB.)
N'importe lequel des autres ports Ethernet peut tre utilis pour
relier le routeur votre ordinateur.
Les cbles doivent tre fermement raccords. Un lger click se
fait entendre une fois le cble correctement insr.

Solution 2 - Utiliser l'adresse IP correcte de votre


ordinateur
Windows 2000 et Windows XP
a.
Slectionnez Dmarrer > Excuter, puis saisissez cmd.
Une fentre d'invite de commande s'ouvre.
a. Saisissez ipconfig /release.
1.Saisissez ipconfig /renew.
2.Fermez la fentre d'invite de commande.
Windows 95, Windows 98, Windows Me et Windows NT
a.
Slectionnez Dmarrer > Excuter, puis
saisissez winipcfg.
a. Dans la fentre Configuration IP, cliquez sur Librer.
a. Dans la fentre Configuration IP, cliquez sur Renouveler.
a. Fermez la fentre Configuration IP.
Solution 3 - Dsactiver le pare-feu et les bloqueurs de
fentres contextuelles
L'interface Web du routeur utilise le langage JavaScript. Certains
pare-feu et bloqueurs de fentres contextuelles empchent
l'excution de JavaScript. Dsactivez-les le temps d'accder
l'cran d'administration du routeur. Si vous excutez Windows XP,
il se peut que le pare-feu soit activ votre insu. Pour
dsactiver les trois principaux pare-feu, reportez-vous la
section Dsactivation des pare-feu.
Impossible d'accder l'interface d'administration Web du
routeur

Presque tous les routeurs NETGEAR peuvent tre configurs via


l'interface utilisateur graphique d'administration base sur le
navigateur. Vous pouvez accder cette interface en saisissant
l'adresse IP du routeur (192.168.0.1 ou 192.168.1.1 par dfaut)
dans la barre d'adresse d'un navigateur Internet. Vous pouvez

galement y accder en saisissant www.routerlogin.net ou


www.routerlogin.com sur un navigateur Web.
Si vous ne parvenez pas accder l'interface utilisateur
graphique d'administration, voici les ventuelles causes et
solutions :
Aucune connexion rseau avec le routeur : vrifiez
l'adresse IP et les informations relatives la passerelle par dfaut
comme dcrit plus loin dans cet article afin de confirmer la
connexion rseau.
Problmes relatifs au cache du navigateur et d'autres
navigateurs : effacez le cache du navigateur et/ou restaurez les
paramtres par dfaut du navigateur.
Rinitialisez le routeur.

Comment vrifier la connexion rseau entre l'ordinateur et


le routeur NETGEAR :
1.
Connectez le bureau au port de rseau local du routeur. Ne
connectez pas encore le modem au routeur (pour viter tout
problme en cas de double NAT).

Assurez-vous galement que le modem n'est pas directement


connect l'ordinateur via des cbles USB.
2.
Cliquez sur Dmarrer, puis sur Excuter. Saisissez CMD,
puis appuyez sur Entre.

3.

A l'invite de commande, saisissez IPCONFIG, puis appuyez


sur Entre. Les informations relatives l'adresse IP de votre
ordinateur s'affichent :

Si votre ordinateur dispose de plusieurs interfaces


rseau, plusieurs adaptateurs y seront rpertoris.
Vrifiez les informations relatives l'adresse IP pour
l'adaptateur connect au routeur NETGEAR.
Si l'adresse IP de l'adaptateur correspondant est 0.0.0.0

ou 169.254.x.x, cela indique que votre ordinateur ne peut pas


communiquer avec le routeur. Vous devez alors vrifier la
configuration de votre rseau (ainsi que les paramtres sans
fil en cas d'adaptateur sans fil). Si vous ne parvenez pas
obtenir d'adresse IP malgr une configuration approprie de
votre rseau, rinitialisez le routeur, puis ressayez.
o
Si l'adaptateur connect au routeur NETGEAR affiche le
message Mdia dconnect , vrifiez la connexion physique
(cble Ethernet en cas de connexion cble, paramtres sans fil
en cas d'adaptateur sans fil).
4.
L'adresse IP du routeur NETGEAR correspond l'adresse de
la passerelle par dfaut de l'adaptateur rseau connect au
routeur.
Essayez d'accder l'interface du routeur l'aide de l'adresse de
la passerelle par dfaut. Dans ce cas, accdez
l'adresse http://192.168.0.1
ou http://www.routerlogin.com/basicsetting.htm sur votre
navigateur.
5.
Vous serez invit saisir un nom d'utilisateur et un mot de
passe pour accder l'interface. Par dfaut, le nom d'utilisateur
est admin et le mot de passepassword, sauf si vous les avez
modifis.

6.

Si vous ne parvenez toujours pas accder l'interface


d'administration, dsactivez les logiciels pare-feu (y compris le
pare-feu Windows), puis ressayez. Si possible, utilisez un autre
ordinateur pour accder l'interface du routeur.

Comment vrifier les paramtres du navigateur :


Remarque : suivez les informations de dpannage s'appliquant
Internet Explorer.
1.
2.

Ouvrez Internet Explorer.


Cliquez sur Outils dans le menu situ en haut de l'cran,
puis accdez Options Internet.

3.

Dans l'onglet Gnral, cliquez sur Supprimer les cookies,


puis sur Supprimer les fichiers (seuls les fichiers Internet
temporaires seront supprims).

4.

Cliquez sur l'onglet Avancs du menu suprieur, puis sur le


bouton Rtablir les paramtres avancs.

5.

Cliquez sur OK, puis fermez Internet Explorer.


Rinitialisez votre routeur :
Si les tapes de dpannage ci-dessus n'ont pas rsolu votre
problme ou si aucun des ordinateurs connects au routeur ne
dispose de connectivit, vous pouvez essayer de rinitialiser le
routeur.
En rinitialisant votre routeur, vous supprimez tous les paramtres
de configuration et restaurez ceux par dfaut. Vous devez noter
tous les paramtres de configuration pour pouvoir reconfigurer le
routeur une fois les paramtres par dfaut restaurs.

Le bouton de rinitialisation se trouve au dos du routeur


NETGEAR. (Ce bouton est encastr afin d'viter toute
rinitialisation accidentelle. Vous devez donc utiliser un stylo ou
un trombone dpli pour y accder.)
Appuyez sur le bouton de rinitialisation au dos du routeur
jusqu' ce que le voyant de test clignote. Cette opration prend
environ 10 secondes.

Patientez une ou deux minutes pour que le routeur


redmarre suite la rinitialisation, puis vrifiez votre
connectivit au routeur. Une fois le routeur rinitialis, vous
devez reconfigurer votre routeur, notamment la configuration
Internet et sans fil.
Les voyants d'alimentation du routeur clignotent lentement et
le routeur ne fonctionne plus.

Symptme :
Le routeur n'assure plus les connexions rseau ou Internet et le
voyant d'alimentation clignote lentement.
Cause :
Le micrologiciel (firmware) du routeur est corrompu. Cela peut tre
d une coupure de courant inopine ou une autre interruption
du fonctionnement normal du routeur.
Solution :

Vous devez rinstaller le micrologiciel (firmware). Comme le


micrologiciel d'origine est prcharg dans le routeur et qu'il ne
figure sur aucun support joint avec le routeur, vous devrez
accder Internet sans passer par le routeur afin de tlcharger le
micrologiciel sur le site http://support.netgear.com.
Si votre routeur est indpendant de votre modem, vous
pouvez dbrancher le routeur et raccorder directement votre
ordinateur votre modem pour vous connecter Internet.
Si vous ne pouvez pas vous connecter Internet partir de
la liaison associe au routeur, vous devrez rcuprer le

micrologiciel par un autre moyen et l'enregistrer sur une cl USB,


avant de le transfrer sur l'ordinateur reli au routeur.
Notez bien l'emplacement du fichier du micrologiciel, sur votre
ordinateur ou sur la cl USB.
Pour installer la dernire version en date du micrologiciel :
1. Raccordez votre routeur un ordinateur en branchant un cble
Ethernet sur l'un des quatre ports LAN figurant l'arrire du
routeur.
2. Configurez l'ordinateur avec l'adresse IP fixe 192.168.1.2 et le
masque de sous-rseau 255.255.255.0.
a. Cliquez sur le bouton Dmarrer et slectionnez Panneau de
configuration > Connexions rseau.
b. Cliquez avec le bouton droit de la souris sur Connexion
au rseau local et slectionnez Proprits.
c. Slectionnez Protocole Internet (TCP/IPv4) et cliquez
sur Proprits.
d. Sur la page de configuration de l'adresse IP, cochez la case
Utiliser l'adresse IP suivante et saisissez l'adresse IP et le masque
de sous-rseau spcifis ci-dessus.
* Pour les ordinateurs sous Linux et les Mac : appliquez les
instructions propres chacun de ces types d'ordinateurs pour leur
attribuer une adresse IP fixe.
3. Si vous utilisez un PC sous Windows, ouvrez une fentre de
commande. Pour les Mac/les ordinateurs sous Linux, utilisez un
client TFTP.
Sous Windows 7 : cliquez sur le bouton Dmarrer puis
saisissez cmd dans la barre de recherche et appuyez sur Entre.
Sous Windows XP : slectionnez Dmarrer > Excuter,
saisissez cmd, puis appuyez sur Entre.

4. Accdez au fichier du micrologiciel et installez-le.


a. Tapez la commande cd suivie du nom de dossier adquat pour
naviguer jusqu'au dossier contenant le micrologiciel du routeur.
b. Tapez la commande tftp -i 192.168.1.1
put fichier_firmware, o fichier_firmware correspond au nom
du fichier du micrologiciel.
Linux ou Mac : tlchargez et excutez un client TFTP compatible
avec votre systme d'exploitation.
5. Attendez quelques minutes que le routeur enregistre le nouveau
micrologiciel, puis rinitialisez-le. Le voyant d'alimentation va
s'allumer en vert, ce qui indique que l'installation du micrologiciel
a russi.
6. Redmarrez l'ordinateur afin de lui attribuer une adresse IP
dynamique, en reprenant les directives des tapes 2a-c, mais en
slectionnant ensuite Obtenir une adresse IP automatiquement.
Coupures rptition de la connexion Internet

Ce document est pertinent dans les cas suivants :


Vous disposez d'un modem ADSL ou d'une passerelle
modem-routeur ADSL.
La connexion Internet fonctionne, mais il n'est pas rare
qu'elle soit perdue puis rtablie aprs quelques instants.
Ce document n'est pas pertinent dans les cas suivants :

Votre connexion Internet est constante mais lente. (Voir


section Pourquoi mon ordinateur est-il lent ?)
Vous ne pouvez pas du tout vous connecter, mme en
connexion cble. (Voir section Dpannage : aucun accs Internet
via le routeur)
Vous pouvez accder certains programmes Internet, mais
pas d'autres. (Voir section MTU, perte partielle de la connexion
Internet et performances ouConnexion impossible AOL via un
routeur et un modem)

Votre installation n'est pas termine. (Reportez-vous votre


manuel ou d'autres documents en ligne.)
Vous pouvez parcourir ces sections dans l'ordre de votre choix.
Aprs avoir appliqu les instructions de l'une des sections, vrifiez
la connexion.

Redmarrage de vos priphriques rseau


Le simple fait de redmarrer votre systme peut rsoudre de
nombreux problmes. Procdez dans l'ordre suivant :
a.
Mettez votre ordinateur hors tension.
a. Mettez votre routeur hors tension.
a. Mettez votre modem hors tension.
a. Mettez votre modem sous tension. Patientez jusqu'au
redmarrage complet du modem avant de passer l'tape
suivante. Cette opration peut prendre jusqu' deux minutes.
a. Mettez votre routeur sous tension. Patientez jusqu'au
redmarrage complet du routeur. De mme, cette opration peut
prendre jusqu' deux minutes.
a. Mettez votre ordinateur sous tension.
D'autres ordinateurs rencontrent-ils le mme
problme ?
Si les autres ordinateurs fonctionnent correctement, il se peut que
le problme soit inhrent cet ordinateur.

Si vous avez remplac ou mis niveau votre pare-feu ou


votre antivirus, dsactivez-le. S'il tait bien l'origine du
problme, contactez le dveloppeur du logiciel.
Le pare-feu Windows peut tre activ votre insu.
Dsactivez le pare-feu : les routeurs NETGEAR seront plus
efficaces. Reportez-vous la sectionDsactivation des pare-feu
incompatibles.

Vrification de la cohrence entre la configuration de


votre routeur et les paramtres de votre FAI
Si vous pouvez vous connecter au routeur mais pas Internet,
assurez-vous que les paramtres de votre FAI correspondent
ceux du routeur. Les paramtres dpendent de votre accs haut
dbit. Pour une connexion ADSL, il s'agit gnralement de saisir le
nom de compte (ou nom d'hte) du routeur et un mot de passe.
Le nom de domaine et l'adresse de serveur DNS peuvent
galement tre requis.
Si vous n'tes pas sr des paramtres utiliser ni de leurs valeurs,
contactez votre FAI.
En rgle gnrale, les utilisateurs de connexions haut dbit par
cble doivent simplement configurer le routeur partir de
l'ordinateur sur lequel le service haut dbit a t mis en place.

Amlioration de votre transmission sans fil


Si vous disposez d'un rseau sans fil, reportez-vous la
section Amlioration de la porte sans fil.
Mise niveau du routeur et des adaptateurs
NETGEAR met un point d'honneur proposer du matriel et des
logiciels fiables et simples d'utilisation. Cependant, il est parfois
utile de mettre niveau vos micrologiciels (firmwares), logiciels et
pilotes pour bnficier des derniers correctifs (et des nouvelles
fonctionnalits).
Si vous installez une version bta, l'assistance clientle sera
indisponible jusqu' ce que vous installiez une version finale.

Utilisation du protocole PPPoE ou d'un autre service


ncessitant une identification
Par dfaut, les routeurs comprennent un dlai d'expiration de cinq
minutes, l'issue duquel la connexion est rengocie. Cette
opration peut prendre quelques instants, ou la connexion peut
tre perdue en cas de problme relatif au service Internet. Une
valeur suprieure peut tre dfinie. Au contraire, la valeur 0
signifie que le routeur ne se dconnecte jamais. Vos manuels
comportent des instructions supplmentaires.

Assistance supplmentaire
Si aucune des solutions ci-dessus n'a fonctionn, contactez
l'assistance technique.
Troubleshooting Wireless Networks

Follow the steps in this article to troubleshoot wireless networking


problems.
This article does not apply if any of the following conditions are
true for you:

Your equipment never worked correctly.


You have no Internet connection, even wired. For more
information, see the Troubleshooting When There is No Internet
Access. article.
You can access some Internet programs, but not others. For
more informatoin, see the MTU, Partial Loss of Internet
Connection or Cannot Log on to AOL Through Router articles.
Your connection only drops at times. For more information,
see the Internet Connections Drops Repeatedly article.
Your networking equipment's LEDs are behaving in an
atypical manner (for example, no power LED, a test LED that

won't go off, port LEDs that won't come on). For more
information, see your networking equipment's user manual.
To troubleshoot wireless networks:
1.

Determine if you have an IRQ conflict.


This applies only to Windows 95 and Windows 98 devices that
are attempting to connect to your wireless network. Look in the
Windows Device Manager to see if the NETGEAR equipment has a
yellow exclamation mark, indicating an IRQ conflict. For
instructions applying to generally to Windows systems, see
the Resolving IRQ Conflicts article.
2.
Download and install the latest software for your device.
Visit the product page for your NETGEAR device.
3.
Ensure that each wireless device in your network uses the
same settings:
o
SSID. This is case sensitive. (Netgear is different from
NETGEAR). The default SSID for Netgear wireless device was
changed from "wireless" to "NETGEAR".
o
Channel. The wireless channels are 1 to 11 (1 to 13 in
some countries)
o
Mode. Set the wireless mode to either ad hoc or
infrastructure. For more information, see the Choosing Between
Ad Hoc and Infrastructure Modearticle.
o
Encryption. You have these options for encryption:
o

No encryption.
WEP. For more information, see the What is

o
o

WEP? article.
WPA-PSK. For more information, see the What is

WPA? article.
WPA. For more information, see the What is

WPA? article.
o
o
o

VPN. Some equipment allows this option. For more


information, see the What is VPN? article.
Wireless access point. Enabled.
Access Control List (ACL). If ACL is enabled on your
router, make sure that the MAC address of the wireless adapter
is included in the access control list.

Note:
When configuring a router, the username must
include a whole address like smartsue@example.com, NOT
just smartsue.
o
After making changes, click the Apply button.
2.
If the signal strength indicator is red, see the Improving
Wireless Range article.
Any color but red is acceptable.
3.
If security is enabled, disable security by setting encryption
to None and try connecting again.
o

I cannot access the Internet with my NETGEAR router; what


troubleshooting steps should I follow?

This article applies to NETGEAR routers and includes step-by-step


instructions for the older user interface. If your router has the
NETGEAR genie interface, the troubleshooting principles apply, but
the step-by-step instructions do not apply.
Note: This article is not relevant to you if any of the following
conditions are true for you:
You have a DSL gateway, which is a combination router and
modem (such as the DG834 series). See the"No Internet Access
Through Router with Internal Modem" article.
You have intermittent network access, that is you can
sometimes connect to the Internet, sometimes cannot. See the
"Internet Drops Repeatedly" article.
You can use some Internet programs. See the "Cannot Log on
to AOL Through Router and Modem" article or the "MTU, Partial
Loss of Internet Connection, and Performance" article.
A wireless router connects to the Internet only through the
wired connection. See the "Troubleshooting Wireless Networks"
article.
If LEDs on your router indicate problems, for example, if your
Power LED is not lit, if the Test LED is continuously lit, or the Port
LEDs are not lit. Phone or chat with a NETGEAR Technical Support
agent.
Your ISP provided you a modem with Network Address
Translation (NAT). Call your ISP and ask them to set your modem
to Bridge mode.

To troubleshoot a NETGEAR router that cannot access the


Internet:
Warning: If you are a dial-up user converting to a cable or DSL
connection, note that some software does not work when both
types of configuration are present. Configuring your new
connection might stop your dial-up connection from working. You
might need to configure your computer to connect one way or the
other.
1.
Disconnect your router and connect your computer directly
to your modem.
If you cannot access the Internet, contact your ISP.
If you can access the Internet, reconnect your router as it was
before and continue to Step 2.
2.

Log in to the router.


For router log in instructions, see your router user manual.
If you cannot log on to the router, follow these steps:

a. Check the following:


All cables attached to the router and computer are secure.
The Internet LED is lit. If the Internet LED is not lit, refer to the
router manual to troubleshoot the light status.
If you are using a device that's connected to the router using
an Ethernet cable, check that the LEDs for the ports with cables
are lit. If a port LED with an Ethernet cable is not lit, move the
cable to a different port on the back of the router. If a port LED
still does not light, see the router manual.
If you are using a wireless device, check that the LED on the
Ethernet adapter is lit. If the Ethernet adapter LED is not lit,
then do not continue with this article. Instead, see your adapter
manual for troubleshooting. If you are not using a NETGEAR
adapter, contact Premium Support, or the manufacturer.

b. If all cables are securely seated and the LEDs are lit
appropriately, follow these steps:
i. Power off the router and power it on again.
ii. If you still cannot lon in to the router, perform a factory default
reset. See the "Reset and Restore the NETGEAR device to Factory
Default Settings" article.
iii. If you still cannot log in to the router, contact NETGEAR
Technical Support.
If you can log in to the router, run the router's smart wizard and
take one of the following actions:

If a dynamic IP address is discovered, go to Step 3.


If PPPoE is discovered, configure your router with the username
and password provided by your ISP. Click the Apply button and
go to Step 3.
If a static IP address is discovered, configure your router
with the IP address for your router, the address of the ISP's DNS,
and the address of the default gateway. Your ISP provided you
with this information. Click the Apply button and go to Step 3.
If the smart wizard does not find an IP address, follow these
steps:
a.
Power off the router.
b. Power off the modem.
c. Power on the modem.

d. Power on the router.


e. Repeat Step 2.
2.
Click the smart wizard's Test button to access NETGEAR's
online test page.

If the page displays, you have Internet access. If the page does
not display in a minute, see the "No Internet With New Router,
Computer or Adapter: MAC Spoofing" article.
3.
Determine if the modem's IP address can be seen.
In the router interface, go to the Status Page. For more
information, see your router user manual.

If the modem's IP address cannot be seen, reboot the modem,


router, and computer, in that order. Be sure to wait for each
device to completely reboot before rebooting the next.
If the modem's IP address is seen, and you stuill cannot access
the Internet, you might have a problem with your browser's
settings. Your security might be set too high for the Internet
service you are trying to use, or your browser might be
configured for a dial-up connection. In Internet Explorer you check
this using Tools > Internet Options > Security > Default
Level. If the slider is set to High, change it to Medium.
Click Tools > Internet Options > Connections. If the radio
buttons in the center are not dimmed, settings for a dial-up
connection are being used.