Vous êtes sur la page 1sur 24

Michel GODON - PROJET TSRIT 2010

LES ROUTEURS VYATTA ET LE VOISINAGE AVEC ROUTEUR CISCO EN PROTOCOLE OSPF

~1~

SOMMAIRE Prsentation et historique systme VYATTA. Installation protocoles et commandes. Installation de paquets complmentaires pour la sauvegarde de config en TFTP. Prsentation du projet. Topologie et mise en uvre avec machines virtuelles VYATTA avec le protocole OSPF. Topologie et mise en uvre avec machines virtuelles VYATTA et CISCO avec le protocole OSPF. Mise en uvre et test de la topologie en machines physiques. Tunnel SSH et rebond sur routeur VYATTA. Annexe : fiches documentation VYATTA PDF. Conclusion et remerciements.

~2~

Prsentation et historique systme VYATTA. VYATTA est un logiciel de routage open source gratuit qui est dvelopp par la socit VYATTA cre en 2005. VYATTA utilise un moteur de routage appel XORP (pour eXtensible Open Router Platform) cr en 2002 et financ tout d'abord par Intel et la National Science Foundation puis par Microsoft et VYATTA. VYATTA peut tre utilis sur n'importe quel ordinateur avec une architecture de type x.86, en d'autre terme, un ordinateur avec un processeur Intel ou de type Intel comme AMD et bien sr au moins une interface rseau. Mme si cela est facultatif, il est meilleur d'avoir un lecteur de disquette ou un disque dur pour sauver les configurations. La ligne de commande (CLI) de la plate-forme VYATTA est appele xorpsh pour xorp shell. Cette interface ressemble celle du systme d'exploitation de Juniper mais est diffrente de celle de Cisco et de son fameux IOS. Une interface web efficace est disponible pour ceux qui naiment pas la ligne de commande. Les protocoles Telnet et SSH (secure shell) peuvent aussi tre utiliss pour accder VYATTA. L'ide intressante avec VYATTA provient de son logiciel "packag" incluant XORP et un Linux driv d'une distribution Debian. Vous pouvez utiliser VYATTA comme un Live CD et sauver la configuration sur une disquette ou l'installer sur votre disque dur pour de meilleures performances. La prise en main de VYATTA est extrmement facile grce au fait que le "moteur de routage" et le systme d'exploitation sont fusionns dans un package unique. VYATTA peut tre utilis sur n'importe quel ordinateur avec une architecture de type x.86, en d'autre terme, un ordinateur avec un processeur Intel ou de type Intel comme AMD et bien sr au moins une interface rseau. Mme si cela est facultatif, il est meilleur d'avoir un lecteur de disquette ou un disque dur pour sauver les configurations. La ligne de commande (CLI) de la plate-forme VYATTA est appele xorpsh pour xorp shell. Cette interface ressemble celle du systme d'exploitation de Juniper mais est trs diffrente de celle de Cisco et de son fameux IOS. Une interface web efficace est disponible pour ceux qui ne naiment pas la ligne de commande. Les protocoles Telnet et SSH peuvent aussi tre utiliss pour accder VYATTA. Les avantages de VYATTA sont particulirement intressants: - Le logiciel est gratuit. -Il requiert seulement un matriel avec une architecture x.86. Le routeur VYATTA reste moins puissant lorsqu'il est compar des produits commerciaux mais ceci est principalement d au fait que VYATTA est presque toujours utilis comme une solution logicielle et non une solution matrielle comme ses rivaux. Une solution matrielle "partielle" est disponible pour VYATTA avec une appliance Dell o VYATTA est prinstall sur le disque dur. (voir le site www.vyatta.com) Le routeur VYATTA ne possde pas nativement la richesse des fonctionnalits d'un routeur Cisco et la puissance de sa plate-forme mais il n'y a pas de miracle car VYATTA n'a pas les centaines de millions de dollars dpenss chaque anne par la Socit Californienne. Fort heureusement, cela n'est pas un problme parce que seules quelques fonctionnalits dj supportes par VYATTA sont vraiment utilises pour faire tourner un routeur. Par ailleurs, des packages sont disponibles pour rajouter des fonctionnalits VYATTA comme par exemple, le support de CDP (Cisco Discovery Protocol). Voir les projets de dveloppement VYATTA. Il est trs important de connatre ce quindique VYATTA sur son site web propos de la version gratuite (Community Edition): "Patches and bug fixes every 6 months only", ce qui signifie en franais: "Patches et correction de bugs tous les six mois seulement". Cela signifie que vous pourriez potentiellement avoir attendre de nombreux mois avant qu'un correctif soit trouv un bug majeur.

~3~

Installation protocoles et commandes. ----- INSTALLATION ROUTEUR VYATTA SUR MACHINE VIRTUELLE ----Il faut pour cela se procurer le fichier Live CD ISO VC6.1 sur le site VYATTA (Une inscription sur le site est ncessaire et donne galement accs la documentation complte sous forme de PDF en anglais). Dmarrer linstallation partir du fichier image pour installation sur le disque dur virtuel. Linstallation ncessite 512 Mo de mmoire et 8 go de disque dur. Indications : DEBIAN 5 dans VMWARE. Une fois la phase de post + boot effectu ; on entre le login et password : vyatta. A linvite de commande : vyatta login : vyatta Password : vyatta Le clavier est en qwerty mais ds que le routeur est accessible via Telnet ou SSH il sera en azerty. Mme chose avec linterface graphique par https via le navigateur web Puis pour installer sur le disque dur virtuel linvite de commande : vyatta@vyatta: ~$ install-system

Pour linstallation rpondre par yes ou laisser par dfaut sauf quand linvite vous propose de dfinir des mots de passe pour les utilisateurs, vous rpondez Non. Une fois VYATTA install redmarrage de la machine sur le disque dur et non sur liso de VYATTA.

~4~

A linvite vyatta tapez : -configure ***pour passer en mode configuration du systme*** -show interface *** Voir si les cartes rseaux sont reconnues *** (elles sont reconnues uniquement par leur adresse Mac). - set interfaces ethernet eth0 address 192.168.10.20/24 *** configuration vmnet 1 *** - set interfaces ethernet eth1 address 192.168.200.1/24 *** configuration vmnet 2 *** - commit *** validation *** - set service https *** activation service https pour accs via navigateur *** - set service telnet *** activation service telnet pour accs via console *** - commit - save *** sauvegarde dans le fichier de configuration du routeur ***

~5~

----- PROTOCOLES ET SERVICES ----Le routeur Vyatta supporte un large panel de protocoles rseau normaliss comme: - Routage: RIPv2, OSPF, BGP. - Encapsulation: Frame relay ou PPP. - Traduction d'adresse. (NAT) - Protocole de redondance. (VRRP) - Serveur ou relais DHCP. - Dpannage: TCPdump - Pare-feu tats. (Stateful firewall) Les protocoles standardiss utiliss par Vyatta le laissent interagir avec succs avec d'autres manufacturiers comme les gants amricains Cisco, Nortel et Juniper ou n'importe quel quipement respectant les standards rseaux dfinis dans des RFC (Request for comment) dicts par le groupe international IETF (Internet Engineering Task Force).

----- RESUME DE COMMANDES DE BASE VYATTA UTILISEES ----Rubrique Commande #configure #exit #reboot #set system-name vyaA #commit #save #show interfaces #set interfaces ethernet eth0 address 10.0.40.2/29 #delete interfaces ethernet eth0 address 10.0.40.2/29 #set services telnet #set services https # set service ssh #create protocols static route4 172.26.48.129/25 next-hop 172.26.48.2 #set protocols rip network 10.0.40.0/24 # set protocols rip redistribute connected # set protocols ospf parameters router-id 10.0.0.1 set protocols ospf area 0.0.0.0 network 10.0.40.0/24 ~6~ Action Mode privilge Quitter le mode privilge Redmarrage du routeur Nommer le routeur Validation Sauvegarde de la configuration Etat des interfaces Configure linterface Supprime linterface Active console telnet Active interface https Active service SSH Route statique Active rseau RIP Redistribution rseau RIP connect Identit routeur OSPF Dfinir le rseau et laire OSPF

// system //

// interfaces //

// services //

//protocols static// //protocols rip//

//protocols ospf//

# set protocols ospf redistribute connected #commit #save

Redistribution du rseau OSPF connect validation Sauvegarde de la configuration

----- EXEMPLE DE CONFIGURATION AVEC PROTOCOLE OSPF ----La configuration VYATTA se prsente sous forme darborescence grce la commande show en interface graphique :

Installation de paquets complmentaire pour la sauvegarde de configuration en TFTP. complmentaires

~7~

Par dfaut, les paquets Debian ne sont pas installs. Connexion du routeur sur internet : Crer une interface sur le rseau de la box (sous VMWARE vmnet 0 bridg) Ex : Box 192.168.1.1 interface routeur VYATTA 192.168.1.15 Puis suivre la procdure suivante :

Accs interface graphique : Sur un hte (configur en IP fixe 192.168.1.xx) Taper : https://192.168.1.15/Vyatta/main.html Mot de passe et login : vyatta

Onglet configuration et rubrique system : - Nom de domaine : vyatta.com - Passerelle : 192.168.1.1 (IP de la Box) - Host-name : vya100

~8~

- Serveur de nom : 192.168.1.1 (IP de la Box) ou IP d'un serveur DNS de votre choix, le DNS primaire + secondaire est automatique sur la Box Bouton Set pour tester + commit pour valider + Save pour sauvegarder

Equivalent en ligne de commande : -Mode configuration: configure - Nom de domaine : set system domain domain-name vyatta.com - Passerelle: set system gateway gateway-address 192.168.1.1 - Hostname: set system host-name vya100 name - Serveur de Nom : Set system name name-server 192.168.1.1 - Validation : commit

~9~

- Sauvegarde : save Ou Voir la page suivante : http://compustuff.fr/page/vyatta.html Vrifier la connexion internet : ping www.google.fr Installation des paquets debian : configure set system package repository lenny components "main contrib" set system package repository lenny distribution lenny set system package repository lenny url http://http.us.debian.org/debian commit save exit Passer en mode root ( sudo su) installation de curl: apt-get update apt-get install curl configure pour revenir en mode routeur configuration ou reboot Source : http://www.vyatta.org/forum/viewtopic.php?t=732

Nous pouvons enfin effectuer les sauvegardes de configuration en mode console sur un client ou serveur us distant. Cette procdure est ncessaire galement pour le mode graphique.

~ 10 ~

---- SAUVEGARDE EN MODE CONSOLE ---vyatta@vya100# save tftp://10.1.0.5/vya100-config.boot Saving configuration to tftp://10.1.0.5/vya100-config.boot'...

Ou sauvegarde via interface graphique web avec laddresse https://10.1.0.2 . Ne pas oublier de dsactiver la connexion internet via la box (domain-name dans system delete) sinon il y a rponse de paquets filtrs.

Prsentation du projet. Ds le dbut de la formation TSRIT, je me suis document sur les possibilits de transformer un ordinateur PC en routeur. Je me suis confort dans cette ide en suivant le cursus CCNA CISCO et je me suis intress aux solutions alternatives possibles. En recherchant sur Internet je me suis aperu que les possibilits taient assez pauvres, obsoltes ou trop anciennes (Solutions Zebra Quaqqa). Puis j ai dcouvert le site VYATTA et les possibilits offertes en routage open source et sa relative facilit de mise en uvre. Aprs avoir soumis ce projet mon formateur Andr VAUCAMPS ; celui-ci me proposa de tester cette solution avec les routeurs cisco et de faire cohabiter ces diffrents routeurs avec le protocole OSPF en vrifiant les bonnes relations de voisinage.

~ 11 ~

Jai test cette configuration avec trois machines virtuelles VYATTA sous VMWARE puis jai remplac celui du milieu par un routeur cisco dans une machine virtuelle WINDOWS XP avec le logiciel dmulation GNS3.

Topologie et mise en uvre avec machines virtuelles VYATTA avec le protocole OSPF.

---- Etablissement de la topologie et de ladressage ----

--- TOPOLOGIE ----

Configuration du protocole OSPF sur routeur Vya100 Il faut avant tout avoir dfini les interfaces Ethernet et de loopback. Routeur vya100 Etape Dclaration du numro didentifiant du routeur en rapport avec ladresse de loopback Annoncer le rseau 10.0.40.0/24 Redistribution des routes connectes Valider la configuration Commande vyatta@vya100# set protocols ospf parameters router-id 10.200.1.1 vyatta@vya100# set protocols ospf area 0.0.0.0 network 10.0.40.0/24 vyatta@vya100# set protocols ospf redistribute connected vyatta@vya100# commit

vya100 vya100 vya100

~ 12 ~

vya100

Afficher la configuration

vyatta@vya100# show protocols ospf { area 0.0.0.0 { network 10.0.40.0/24 } parameters { router-id 10.200.1.1 } redistribute { connected { } } }

Configuration du protocole OSPF sur routeur Vya200 Routeur Vya200 Etape Dclaration du numro didentifiant du routeur en rapport avec ladresse de loopback Annoncer le rseau 10.0.40.0/24 Annoncer le rseau 10.0.50.0/24 Vya200 Vya200 Redistribution des routes connectes Valider la configuration Commande vyatta@vya200# set protocols ospf parameters router-id 10.200.1.2 vyatta@vya200# set protocols ospf area 0.0.0.0 network 10.0.40.0/24 vyatta@vya200# set protocols ospf area 0.0.0.0 network 10.0.50.0/24 vyatta@vya200# set protocols ospf redistribute connected vyatta@vya200# commit

Vya200

Vya200

Afficher la configuration

vyatta@vya200# show protocols ospf { area 0.0.0.0 { network 10.0.40.0/24 network 10.0.50.0/24 } parameters { router-id 10.200.1.2 } redistribute { connected { } } }

Configuration du protocole OSPF sur routeur Vya300 Routeur Vya300 Etape Dclaration du numro didentifiant du routeur en rapport avec ladresse de loopback Annoncer le rseau 10.0.40.0/24 Redistribution des routes connectes Commande vyatta@vya300# set protocols ospf parameters router-id 10.200.1.3 vyatta@vya300# set protocols ospf area 0.0.0.0 network 10.0.50.0/24 vyatta@vya300# set protocols ospf redistribute connected

Vya300 Vya300

~ 13 ~

Vya300

Valider la configuration

vyatta@vya300# commit

Vya300

Afficher la configuration

vyatta@vya300# show protocols ospf { area 0.0.0.0 { network 10.0.50.0/24 } parameters { router-id 10.200.1.3 } redistribute { connected { } } }

Ne pas oublier la commande save sur chaque routeur.

La mme chose en interface graphique https

~ 14 ~

Rsultat aprs convergence des rseaux et commande show ip ospf neighbor sur routeur vya100

Rsultat aprs convergence des rseaux et commande show ip ospf neighbor sur routeur vya200

~ 15 ~

Aprs avoir implment OSPF sur les routeurs VYATTA nous allons remplacer vya200 par un routeur cisco 2600 sous gns3 avec une machine virtuelle WINDOWS XP SP3 et le logiciel VMWARE. La configuration des routeurs VYATTA ne change pas. La configuration du routeur CISCO 2600 pour les interfaces et le protocole OSPF est la suivante :
conf t ! hostname C2600 ! interface Loopback1 ip address 10.200.1.1 255.255.255.0 ! interface Fastethernet0/0 ip address 10.0.40.2 255.255.255.0 no shutdown duplex auto speed auto ! interface Fastethernet0/1 ip address 10.0.50.2 255.255.255.0 no shutdown duplex auto speed auto !

~ 16 ~

router ospf 1 ! network 10.0.40.0 0.0.0.255 area 0 network 10.0.50.0 0.0.0.255 area 0 log-adjacency-changes ! end

Topologie et mise en uvre avec machines virtuelles VYATTA et CISCO avec le protocole OSPF. ---- TOPOLOGIE ----

Les rsultats sont plus dcevants et les interfaces du routeur CISCO chutent rgulirement. Envoi de messages Bad LSA TYPE et Too many retransmissions

~ 17 ~

Aprs avoir dsactiv le protocole CDP (Cisco Discovery Protocol) avec la commande no cdp run le problme persiste et il savre que GNS3 gre mal les routeurs CISCO et le protocole OSPF. CDP s'excute sur la couche liaison de donnes et permet deux systmes de se dcouvrir, mme s'ils utilisent des protocoles de couche rseau diffrents. CDP fournit des informations sur chaque quipement CDP voisin en transmettant des TLV (Type Length Value), c'est--dire des blocs d'informations incorpors dans des annonces CDP. Il est utilis pour le dpannage rseau. Je dcide donc de remplacer le routeur virtuel CISCO par un routeur physique en gardant les machines virtuelles Vyatta sur deux ordinateurs diffrents sous Windows SEVEN et VMWARE en gardant la mme topologie et en faisant un bridge des cartes rseaux physique sur les rseaux 10.0.40.0/24 (vmnet1) et 10.0.50.0/24 (vmnet2). Aprs avoir effectu ces oprations, les routeurs restent stables et les tests Ping sur les routeurs et les ordinateurs htes sont satisfaisants. La commande show ip ospf neighbor nous indique les deux routeurs VYATTA voisins dont lun fait office de routeur dsign (Designated Router DR) comme point de collecte et de distribution des LSA et lautre comme routeur dsign de sauvegarde (Backup Designated Router BDR).

~ 18 ~

La commande show ip ospf interface nous donne plus de dtails

Nous pouvons examiner la table de routage : show ip route

Celle-ci nous indique les rseaux 10.0.40.0/24 et 10.0.50.0/24 qui sont directement connects, les rseaux 10.0.60.0/24 et 10.0.30.0/24 connects via les routeurs voisins avec 110 en distance administrative et avec un cout de 20 (trafic, bande passante et fiabilit).

~ 19 ~

Mise en uvre et test de la topologie en machines physiques. Les rsultats sont concluants et le passage en machine physique na pas pos de problme malgr un dploiement plus long avec le matriel (Quatre ordinateurs et un routeur CISCO 2600). Tunnel SSH (Secure Shell) et rebond sur routeur VYATTA. ---- Etablissement de connexions scurises sur les routeurs VYATTA en ligne de commande console ---Routeur vya100 vya100 Etape Crer la configuration pour le service SSH Valider linformation Commande Set service ssh commit

vya100

Afficher la configuration

vyatta@vya100# show service ssh{ }

[edit] ----- Options supplmentaires ---service ssh allow-root : Spcification du mot de passe root de la machine. service ssh disable-password-authentication : Dsactivation du mot de passe pour lutilisateur. service ssh port <port> : Spcification du port utilis pour le service SSH. service ssh protocol-version <version> : Spcification de la version utilise. ----Etablissement de connexions scurises sur les routeurs VYATTA en interface graphique----

Ne pas oublier set, puis commit, puis save !

~ 20 ~

~ 21 ~

---- Etablissement de connexions scurises sur le routeur CISCO ---Pour installer le service SSH sur le routeur CISCO il est ncessaire de vrifier que lIOS du routeur possde CISCO, une version supportant le cryptage SSH (k9 dans le nom de lIOS) ; ce qui ntait pas le cas Un flashage e cas. de la NVRAM avec un IOS adapt sest donc avr ncessaire. est

Sauvegarde de lIOS dorigine sur serveur tftp://10.0.5 tftp://10.0.50.5

Puis test de limage laide de la commande : R80(config)#boot system tftp://10.0.50.5/c2600 tftp://10.0.50.5/c2600-ik9s-mz.122-40a.bin lIOS est valide nous pouvons maintenant copier la nouvelle version en Flash. R80#copy tftp://10.0.50.5/c2600-ik9s-mz.122 mz.122-40a.bin flash Il est possible de vrifier la mmoire flash : R80 #verify flash : c2600-ik9s-mz.122-40a 40a.bin Paramtrage des commandes pour le routeur et les interfaces puis pour le service SSH R80(config)#hostname C2600 C2600(config)#username Michel password cisco (config)#username Activer la mthode dauthentification locale C2600(config)#aaa new-model aaa C2600(config)#aaa authentication login cisco local Doter le routeur dun nom pleinement qualifi C2600(config)#hostname C2600

~ 22 ~

ip domain-name vyatta.fr Puis doter le router dune paire de cl RSA C2600(config)#crypto key generate rsa Il est possible de rgler les paramtres de lauthentification SSh C2600(config)#ip ssh time-out 120 C2600(config)#ip ddh authentication-retries 4 puis de restreindre le transport de session SSH C2600(config)#line vty 0 4 C2600(config-line)#transport input ssh telnet Le rebond SSH sur les routeurs VYATTA :

Problme de version SSH entre Routeur VYATTA et Routeur CISCO pour les rebonds.

Annexe : fiches documentation VYATTA PDF.

~ 23 ~

Disponibles sur le rseau NASA TRIT2010 ou sur le site VYATTA aprs enregistrement du demandeur.

Conclusion et remerciements. Ce projet a demand un travail de recherche important et une facult dadaptation ncessaire un nouvel environnement dexploitation. Jai pu mettre en application les connaissances acquises au cours de la formation TSRIT avec un sujet qui navait pas t abord ce jour. Lors de cette formation jai pu largir mes connaissances professionnelles au monde trs vaste et passionnant des rseaux et de la tlcommunication. Jai acquis une dmarche de recherche dynamique qui peut tre prcieuse dans le monde de lentreprise. Je remercie les formateurs Andr VAUCAMPS, Jean Jacques BIELAWSKI et Didier COUSIEN pour leur accueil, leurs prcieux conseils et soutien qui me permettent denvisager une reconversion dans ce domaine. Je remercie galement mes collgues de formation avec lesquels les changes furent fructueux dans une ambiance sympathique.

~ 24 ~