TP : Haute disponibilité VRRP

Objectif du TP :
Etude du protocole VRRP de redondance entre 2 routeurs et basculement dynamique
du routeur maître vers le routeur backup.

Liste du matériel :
2 routeurs type Cisco 1841
+ 1 routeur 1841 pour la 2ème partie
3 PC dont 2 avec 2 cartes ethernet
2 hubs pour connecter l’analyseur Wireshark (2 switchs pour certaines parties)
Ou 1 seul PC avec GNS3

Documentation :
http://www.cisco.com/en/US/docs/ios/ios_xe/ipapp/configuration/guide/ipapp_vrrp_xe
.pdf (Faire configuring VRRP dans google)

Schéma du réseau :
Variable selon les parties

Première partie : 2 routeurs en backup

R1
F0/0: 10.0.0.1/8
F0/1: 20.0.0.1/8

Poste A Poste B
10.0.0.10/8 20.0.0.10/8

R2
F0/0: 10.0.0.2/8
F0/1: 20.0.0.2/8

Analyseur Wireshark Analyseur Wireshark

1. Câblage, configuration de base et test

Câbler le dispositif et faire la configuration de base des routeurs et des PC.
R1 sera la passerelle par défaut pour PC A et pour PC B.
Tester la connectivité.
Relever les adresses MAC des interfaces des routeurs.
Quelles adresses sont dans la table ARP de PC A ?

2. Paramétrage de VRRP
Configurer le processus VRRP 10 entre les 2 routeurs sur le réseau 10.0.0.0/8. Le routeur
virtuel aura l’adresse IP de R1.

Quels messages sont échangés entre les 2 routeurs ? Quelles informations comportent-ils ?

Quelle est la valeur du champ « protocole » du paquet IP portant les messages VRRP ?
Vérifier la configuration par les commandes « show » adéquates (show vrrp brief ; show vrrp
interface ……). Quelle est la priorité de chaque routeur ?
Quel est le contenu de la table ARP de PCA ?

Remplacer le hub par un switch. Quelle est la table mac du switch ?

3. Test en cas d’incident

Lancer un ping continu de A vers C.
Débrancher l’interface 10.0.0.1 (F0/0) du routeur R1.
Comment R2 sait-il qu’il est maintenant routeur le maître et qu’il doit traiter les paquets
adressés à 10.0.0.1 ?

Le trafic reprend-il entre A et C ? Pourquoi ?

Déclarer un routeur virtuel (processus VRRP 20) du côté du réseau 20.0.0.0/8. Le routeur
virtuel aura aussi l’adresse IP de R1 sur le réseau 20.0.0.0/8.

Le problème est-il résolu ? Pourquoi ?

Débrancher maintenant aussi l’interface 20.0.0.1 (F0/1) de R1. Expliquer pourquoi le

problème est maintenant résolu.

Rebrancher maintenant F0/1 sur R1.

Supprimer VRRP du côté B et installer OSPF sur les 2 routeurs. Le problème est-il résolu ?

4. Mise en œuvre du « tracking »

Le « tracking » consiste surveiller certains évènements et prendre des mesures si ces
évènements se produisent. Les évènements surveillés peuvent être l’état d’une ou plusieurs
interfaces ou la présence de route dans la table de routage. La mesure prise est de diminuer la
priorité d’une interface dans un groupe VRRP.
Dans les questions précédentes, L’adresse IP du routeur virtuel était celle de R1 pour chaque
groupe VRRP. Dans ces conditions, la priorité de R1 est bloquée à 255 et il est impossible
d’appliquer le tracking sur une interface qui a une priorité bloquée à 255. C’est pourquoi on
va modifier l’adresse IP du routeur virtuel pour chacun des groupes VRRP.

Paramétrer maintenant VRRP sur les 2 réseaux 10.0.0.0/8 et 20.0.0.0/8 en mettant comme
adresse du routeur virtuel respectivement 10.0.0.9 et 20.0.0.9.
R1 aura une priorité de 110 et R2 gardera la priorité par défaut de 100.
R1 surveillera l’état de son interface F0/0 et réduira sa priorité de 20 si elle tombe.

Les interfaces de R1 seront rebranchées.

Les passerelles de Poste A et de poste B seront respectivement 10.0.0.9 et 20.0.0.9

Après avoir lancé une capture, refaire l’essai en débranchant F0/0 de R1. Le problème est-il
résolu ?

Quelles sont les trames échangées entre R1 et R2, pour le groupe VRRP 20, qui provoquent le
changement du routeur maître ?

Appliquer maintenant le tracking sur chaque interface de telle sorte que le basculement se
fasse quelle que soit l’interface débranchée.
 Deuxième partie : 2 accès Internet , 1 seul FAI

R1
F0/0: 10.0.0.1/8
F0/1: 20.0.0.1/8

FAI Poste B
Poste A
F0/0: 40.0.0.3/8 40.0.0.10/8
10.0.0.10/8
F0/1: 20.0.0.3/8
S0/0/0: 30.0.0.3/8

R2
F0/0: 10.0.0.2/8
S0/0/0: 30.0.0.2/8
Analyseur Wireshark Analyseur Wireshark

5. Câblage, configuration de base et test

Câbler le dispositif et faire la configuration de base des routeurs et des PC.
R1 sera la passerelle par défaut pour PC A et FAI la passerelle par défaut pour PC B.
Tester la connectivité point à point
Relever les adresses MAC des interfaces des routeurs.

Quelles adresses sont dans la table ARP de PC A ?

Une translation d’adresse et de port NAT-PAT est activée sur R1 et R2, de manière à masquer
les adresses privées du réseau 10.0.0.0/8.

Les routeurs R1 et R2 auront une route par défaut pour Internet et FAI n’aura que des routes
« connected ». Expliquer ce choix.

Tester la connectivité de bout en bout.

Vérifier par une capture wireshark (clic droit sur un lien et « capturer ») qu’il y a bien
translation d’adresse pour un paquet de poste A à poste B.
Remarque : sur wireshark, faire « open recent » pour voir les dernières données capturées.

6. Paramétrage de VRRP
Configurer VRRP entre les 2 routeurs du côté du réseau 10.0.0.0/8.
L’adresse du routeur virtuel sera 10.0.0.9. La priorité de R1 sera 110, celle de R2 restera à
100.

Quelle doit être la gateway de Poste A?

Quelle est la table ARP de poste A ?

7. Test en cas d’incident

Lancer un ping continu de A vers B.
Faire « shutdown » sur l’interface 10.0.0.1 du routeur 1.
Que se passe-t-il ? Commentez en vous appuyant sur la capture faite entre R2 et le switch.

Faire «  no shutdown » sur f0/0 et vérifier que R1 redevient maitre.

Débrancher maintenant le câble en f0/0 de R1. Combien de temps dure la coupure ?

Rebrancher.

Débrancher maintenant le câble f0/1 sur R1.

Le trafic reprend-il ? Expliquez. Mettre en œuvre une solution pour que le trafic reprenne.

8. Incident déporté : tracking par sonde SLA (Service Level Agrement)

La surveillance de l’interface wan (f0/1) du lien vers Internet ne suffit pas toujours. Si par
exemple, le lien uplink du DSLAM de l’opérateur est tombé, le tracking de l’interface F0/1
n’en rendra pas compte.
Une solution consiste à surveiller que le routeur peut atteindre une adresse IP sur Internet, par
exemple le DNS de google, ou simplement le next hop et à abaisser la priorité de R1 dans le
cas contraire.

Selon les versions d’IOS, on aura :

R1(config)#ip sla monitor 1
R1(config-sla-monitor)#type echo protocol ipIcmpEcho 8.8.8.8
R1(config-sla-monitor-echo)#frequency 3 !Emission d’un ping vers 8.8.8.8 toutes les 3s
R1(config-sla-monitor-echo)#exit
R1(config)#ip sla monitor schedule 1 life forever start-time now !débute tout de suite
R1(config)#track 2 rtr 1 reachability
R1(config-track)#exit
R1(config)#int f0/1
R1(config-if)#vrrp 10 priority 110
R1(config-if)#vrrp 10 track 2 decrement 20
R1(config-if)#no shutdown

Ou bien:
R1(config)#ip sla 1
R1(config-sla)#icmp-echo 8.8.8.8 source interface f0/1
R1(config-sla)#frequency 3 !Emission d’un ping vers 8.8.8.8 toutes les 3s
R1(config-sla)#exit
R1(config)#ip sla schedule 1 life forever start-time now !débute tout de suite
R1(config)#track 2 ip sla 1 reachability
R1(config-track)#exit
R1(config)#int f0/1
R1(config-if)#vrrp 10 priority 110
R1(config-if)#vrrp 10 track 2 decrement 20
R1(config-if)#no shutdown

Appliquer une telle sonde SLA en testant l’accessibilité de l’interface F0/1 du routeur FAI
(20.0.0.3).
Vérifier avec wireshark l’émission périodique des ping vers 20.0.0.3.
Procéder aux tests en désactivant cette interface sur FAI.