Académique Documents
Professionnel Documents
Culture Documents
Nous allons voir comment mettre en place EIGRP dans un réseau utilisant Frame Relay. Puis
nous sécuriserons le tout en mettant en place de l’authentification.
L’équipement du milieu est un switch Frame Relay. Les routeurs sont donc interconnectés par
un réseau Frame Relay.
La topologie est du type Hub-And-Spoke, car c’est R1 qui assure la connectivité entre R2 et
R3.
Quand R2 veut joindre R3, il envoie le message à R1, qui le route ensuite à R3.
Les interfaces de Loopback servent à symboliser des sous réseaux auxquels le routeur est
connecté.
Exemple pour R1 :
– Etc…
Afin de pouvoir relier les routeurs avec des liens séries, il faut ajouter un module sur les
routeurs :
Pour ce TP nous avons besoin d’un Switch Frame Relay. GNS3 le propose nativement.
Il ne reste plus qu’à appliquer les IP sur les interfaces (Serial et Loopback).
Pour qu’ils puissent se joindre entre eux, il faut mettre place la configuration Frame Relay.
Si vous avez mis une IP sur la s0/0 de R1, enlevez là, et configurez l’interface comme ceci :
Simplement car le réseau Frame Relay est un réseau NBMA (Non Broadcast Multi Access).
Cela veut dire que les messages Broadcast et Multicast ne peuvent pas transiter sur le réseau.
Si cela n’est pas clair pour vous, je vous invite à revoir la section Frame Relay en CCNA.
Utilisez des requêtes de Ping. Les trois routeurs devraient pouvoir se joindre.
R1(config)#router eigrp 90
R1(config-router)#no auto-summary
R1(config-router)#network 10.1.0.0 0.0.3.255
R1(config-router)#network 172.16.1.0 0.0.0.255
R2(config)#router eigrp 90
R2(config-router)#no auto-summary
R2(config-router)#network 10.2.0.0 0.0.3.255
R2(config-router)#network 172.16.1.0 0.0.0.255
R3(config)#router eigrp 90
R3(config-router)#no auto-summary
R3(config-router)#network 10.3.0.0 0.0.3.255
R3(config-router)#network 172.16.1.0 0.0.0.255
Nous allons déjà regarder si les routeurs se considèrent comme des voisins :
Du côté de R1, tout est OK.
Voyons R2 :
Jusque ici, pas de problème, du moment que les routeurs connaissent toutes les route.
Voyons cela :
Voyons R2 :
Catastrophe, R2 ne connais pas 10.3.0.0 /22 !
Souvenez-vous, c’est une fonctionnalité qui empêche le routeur de renvoyer une MAJ de
routage par l’interface sur laquelle il a reçu cette MAJ.
En l’occurrence, R1 ne voudra pas renvoyer les MAJ venant de R3 vers R2, car c’est la même
interface qui sera utilisée.
Nous allons donc désactiver le Split Horizon sur R1, pour l’interface s0/0.1 :
Retournons voir R2 :
Si la bande passante du réseau Frame Relay est faible, cela peut causer des problèmes.
En effet, par défaut EIGRP n’utilise que, au maximum, 50% de la bande passante du lien pour
envoyer des messages (MAJ de routage, etc…). Pour router les paquets, cette restriction
n’entre pas en compte.
Donc R1 n’utilisera que 25% de la bande passante du lien derrière s0/0 pour envoyer des
messages EIGRP vers R2, et 25% pour R3
Si à la base le lien a une bande passante faible, cela peut éventuellement poser problème.
La deuxième (80), correspond au pourcentage de la bande passante que peut utiliser EIGRP.
1.4 Authentification EIGRP
Dernière notion à aborder ici, l’authentification EIGRP.
Par exemple, un attaquant pourrait se faire passer pour un routeur, et prétendre posséder
d’excellentes routes vers toutes les destinations.
Il pourrait au choix, analyser le trafic transitant sur le réseau, ou simplement bloquer le trafic.
L’authentification est faite sur chaque message (MAJ de routage, etc…) reçu par le routeur.
A l’arrivé, le routeur recalcule le Hash du message à partir de sa propre clé. Puis il le compare
avec le Hash reçu.
Il est donc théoriquement impossible de se faire passer pour un routeur si l’on ne possède pas
la clé secrète, car on ne pourrait pas créer le Hash attendu sans avoir la clé secrète.
Ces clés ont une valeur (le mot de passe), un ID ainsi une période de validité et d’envoi.
Cela veut dire que le routeur utilisera cette clé durant cette période. Mais aussi qu’une mise à
jour reçue avec cette clé sera valable pendant cette période.
Nous pouvons voir que les deux clés se superposent dans les dates de validité et d’envoi.
C’est une bonne pratique permettant de s’assurer que l’authentification sera fonctionnelle au
moment où la clé No1 ne sera plus valable.
Attention, le numéro de clé et la Key-String doivent correspondre entre les deux routeurs.
R2 et R3 doivent avoir une clé numéro 1 ayant pour Key-String Cisco. Pareil pour la clé
numéro 2.
En bref, le mieux reste encore d’appliquer exactement la même configuration sur R2 et R3.
Reprenez donc les commandes ci-dessus, et appliquez les aussi sur R2 er R3.
Maintenant que les 3 routeurs possèdent les codes d’authentifications, il ne reste plus qu’à les
utiliser.
Avant d’aller plus loin, assurer vous que la date et l’heure soient bien configurées sur vos
routeurs.
Pour activer l’authentification, cela se passe sur l’interface qui fait face aux routeurs voisins.
– La date
Par exemple :
L’ID de la clé ayant pour Key-String « Cisco » ne correspond pas avec celui de R1.
Avec la commande « Debug EIGRP packets », nous pouvons constater le problème (parmi
tous les autres paquets EIGRP)
1.5 Conclusion
Voilà, nous avons fini !
Nous avons donc vu comment mettre en place de l’EIGRP sur un réseau en Frame Relay.
S’il y a plusieurs voisins derrière une même interface, il faut désactiver le Split Horizon.
Si nécessaire, augmentez la quantité de bande passante que peut utiliser EIGRP. Pour rappel,
par défaut, il n’utilise que 50% de la bande passante. De plus, ce chiffre est divisé par le
nombre de voisin.