Comprendre la politique

Slides:



Advertisements
Présentations similaires
Effacer la Configuration LWAPP sur un LAP
Advertisements

Sécurité - Configuration du PIX avec un seul réseau interne
Connecteur de Test pour liaisons E1
Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service
Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77
Configuration Frame Relay "Hub-and-Spoke"
Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base
CBAC - Introduction et Configuration
Réseau informatique Sorenza Laplume 1.
Station A Station B RNIS Fa0/0 BRI0/0 BRI0/0 Fa0/0 Rouen Le Havre S0/0
Configuration Routeur à Routeur avec PAT & Client VPN Cisco
Configuration Routeur SOHO77
OSPF - Configuration initiale sur Liaisons Non-Broadcast
Types et Codes de paquet ICMPv6
show ip nat translations
dans des environnements
MPLS - Accès Internet à partir d'un VPN MPLS
Configuration Routeur SOHO77
Sous-résaux LAN dupliqués
Hot Standby Router Protocol standby preempt et standby track
Configuration d'une Passerelle par défaut avec les commandes IP
Routage S 7 - Questionnaire N°1
Sécurité - Configuration de
Sécurité - Configuration de
- Instructions NAT - PAT
Intégration de NAT avec les VPNs MPLS
Sécurité - Configuration de l'autorisation d'Applets Java
Proxy ARP ccnp_cch ccnp_cch.
Comprendre l'Agrégation de routes dans BGP
Configuration NAT Utilisation de la commande outside source list
OSPF - Commande show ip ospf neighbor.
Sécurité - Configuration de
QoS - Appliquer la QoS à des Sous-interfaces
Configuration Routeur SOHO77
Pile IGMPv3 de Host.
Configuration IPSec LAN Privé à LAN Privé et NAT statique
RIP - Configuration des Extensions.
Comment fonctionne RADIUS?
trois réseaux internes
Spécifier une Adresse IP
Configuration Frame Relay "Full-Mesh" ou "Totalement maillé"
Sécurité - Configuration d'un
Configuration d'un accès
OSPF - Routage Inter-Area
Configuration EIGRP - Agrégation de routes
TP - IPv6 Tunnels Manuels
Configuration "On Demand Routing"
entre trois routeurs utilisant des
IOS Firewall - Blocage d'applets Java
Configuration Frame Relay "Hub-and-Spoke"
Configuration BGP - Attribut AS_Path
Configuration Frame Relay avec un routeur commutateur Frame Relay
QoS - Configuration Fragmentation
Configuration Routeur SOHO77
MPLS - Flux de Paquets dans un VPN MPLS
Sécurité - Configuration de Auth-Proxy Inbound - Client VPN IPSec
Configuration NAT Statique
Configuration NAT Dynamique
Routes statiques IPv6 John Rullan
Transcription de la présentation:

Comprendre la politique de Routage ccnp_cch

Sommaire • Introduction • Configurations - Composants utilisés - Schéma du réseau - Configuration du pare-feu - Configuration du routeur WAN Cisco - Configuration du routeur Internet ccnp_cch

Introduction Le routage basé sur une politique est un outil pour acheminer et router le trafic des paquets sur la base politiques définies par l'administrateur réseau. En réalité c'est un moyen d'avoir une politique qui outrepasse les décisions des protocoles de routage. Le routage basé sur une politique contient un mécanisme pour appliquer les politiques de manière sélective sur la base de listes d'accès, de taille de paquet ou d'autres cri- tères. Les actions prises peuvent inclure le routage de paquets sur des routes définies par l'utilisateur, le paramétrage de la Precedence IP, le type de service, etc.. Dans ce document un pare-feu est utilisé pour traduire les adresses privées en adres- ses Internet routables et appartenant au réseau 172.16.255.0/24. Voir le schéma du réseau. Composants utilisés Ce document n'est restreint à aucune version logicielle ou matérielle particulière. Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco IOS® Software Release 12.3(3) ● Routeurs Cisco series 2600 Configurations Schéma du réseau Internet 192.1.1.2/24 Routeur Internet .1 .1 e0 e1 172.16.20.0/24 .2 172.16.187.0/24 Pare-feu .2 e0/1 e0/0 172.16.39.0/24 .3 Routeur Cisco WAN e3/0 .3 .4 Routeur Cisco-1 Réseau 10.0.0.0 ccnp_cch

Configuration du pare-feu La configuration du pare-feu ci-dessous est incluse pour avoir une vue complète. Toutefois celle-ci n'est pas une partie nécessaire pour la politique de routage. ! ip nat pool net−10 172.16.255.1 172.16.255.254 prefix−length 24 ip nat inside source list 1 pool net−10 interface Ethernet0 ip address 172.16.20.2 255.255.255.0 ip nat outside interface Ethernet1 ip address 172.16.39.2 255.255.255.0 ip nat inside router eigrp 1 redistribute static network 172.16.0.0 default−metric 10000 100 255 1 1500 ip route 172.16.255.0 255.255.255.0 Null0 access−list 1 permit 10.0.0.0 0.255.255.255 end Dans cet exemple le routeur Cisco WAN opère avec une politique de routage pour as- surer que les paquets issus du réseau 10.0.0.0 seront transmis en passant par le pare-feu. La configuration ci-dessous contient une instruction de liste d'accès qui permet de transmettre les paquets issus du réseau 10.0.0.0 vers le pare-feu. Configuration du routeur Cisco WAN ! interface Ethernet0/0 ip address 172.16.187.3 255.255.255.0 no ip directed−broadcast interface Ethernet0/1 ip address 172.16.39.3 255.255.255.0 interface Ethernet3/0 ip address 172.16.79.3 255.255.255.0 ip policy route−map net−10 access−list 111 permit ip 10.0.0.0 0.255.255.255 any route−map net−10 permit 10 match ip address 111 set interface Ethernet0/1 route−map net−10 permit 20 ccnp_cch

ccnp_cch Configuration du routeur Cisco-1 ! version 12.3 interface Ethernet0 !−− Interface connectée au réseau 10.0.0.0 ip address 10.1.1.1 255.0.0.0 interface Ethernet1 !−− Interface connectée au routeur Cisco Wan ip address 172.16.79.4 255.255.255.0 router eigrp 1 network 10.0.0.0 network 172.16.0.0 no auto−summary !−−− Partie supprimée Configuration du routeur Internet !−− Interface connectée au Pare-feu ip address 172.16.20.1 255.255.255.0 interface Serial0 !−−− Interface connectée à Internet ip address 192.1.1.2 255.255.255.0 clockrate 64000 no fair−queue !−−− Interface connectée au routeur Cisco Wan ip address 172.16.187.1 255.255.255.0 redistribute static !−−− Redistribution de la route statique par défaut pour d'autres !--- routeurs pour atteindre Internet ip classless ip route 0.0.0.0 0.0.0.0 192.1.1.1 !−−- La route statique par défaut pointe vers le routeur connecté à !--- Internet. ccnp_cch

Pour tester cet exemple, une commande ping dont la source est 10. 1. 1 Pour tester cet exemple, une commande ping dont la source est 10.1.1.1 sur le routeur Cisco-1 en utilisant la commande ping étendue a été exécutée vers le host Internet. Dans cet exemple, 192.1.1.1 a été utilisée comme adresse destination. Pour voir ce qui se passe sur le routeur Internet, "fast switching" a été arrêté tandis que la commande debug ip packet 101 detail a été exécutée. Attention: L'utilisation de la commande debug ip packet detail sur un routeur en production peut causer une utilisation très intensive de la CPU et dégrader fortement les performances ou causer un arrêt du routeur. Note: L'instruction access-list 101 permit icmp any any est utilisée pour filtrer la sortie de la commande debug ip packet peut générer une sortie très importante sur la console et celle-ci risquerait de bloquer le routeur. Résultat de la commande ping à partir du routeur Cisco-1 vers 192.1.1.1/ Internet. Les paquets ne vont jamais vers le routeur Internet. Cisco_1# ping Protocol [ip]: Target IP address: 192.1.1.1 Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: 10.1.1.1 Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to 192.1.1.1, timeout is 2 seconds: Packet sent with a source address of 10.1.1.1 ..... Success rate is 0 percent (0/5) Comme vous pouvez le voir, les paquets ne vont pas vers le routeur Internet. La com- mande debug faite sur le routeur WAN ci-dessous montre ce qui se passe. "debug ip policy" *Mar 1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match *Mar 1 00:43:08.367: IP: route map net−10, item 10, permit !−−− Paquet avec l'adresse source appartenant au réseau 10.0.0.0/8 et qui !−−− correspond à la route−map "net−10" entrée 10. *Mar 1 00:43:08.367: IP: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy *Mar 1 00:43:08.367: Ethernet3/0 to Ethernet0/1 192.1.1.1 !−−− Les paquets précédents sont acheminés sur l'interface ethernet 0/1 !−−− grâce à la commande set. ccnp_cch

Le paquet correspond à l'entrée 10 de la politique comme cela est attendu. Alors pour- quoi le paquet n'atteint pas le routeur Internet. "debug arp" *Mar 1 00:06:09.619: IP ARP: creating incomplete entry for IP address: 192.1.1.1 interface *Mar 1 00:06:09.619: IP ARP: sent req src 172.16.39.3 00b0.64cb.eab1, dst 192.1.1.1 0000.0000.0000 Ethernet0/1 *Mar 1 00:06:09.635: IP ARP rep filtered src 192.1.1.1 0010.7b81.0b19, dst 172.16.39.3 00b0.64cb.eab1 wrong cable, interface Ethernet0/1 Cisco_Wan_Router# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet 172.16.39.3 − 00b0.64cb.eab1 ARPA Ethernet0/1 Internet 172.16.39.2 3 0010.7b81.0b19 ARPA Ethernet0/1 Internet 192.1.1.1 0 Incomplete ARPA La sortie de la commande debug arp montre cela. Le routeur Cisco WAN tente de faire ce pourquoi il a été programmé et tente de placer les paquets directement sur l'inter- face Ethernet 0/1. Ceci requiert que le routeur fasse une requête ARP (Address Reso- lution Protocol) pour l'adresse destination 192.1.1.1 pour laquelle le routeur voit que celle-ci n'est pas sur cette interface et par conséquent l'entrée ARP pour cette adresse est marquée "Incomplete" comme le montre la sortie de la commande show arp. Une erreur d'encapsulation se produit car le routeur n'est pas capable de placer le paquet sur l'interface Ethernet. En spécifiant le pare-feu comme prochain saut, on peut éviter ce problème et faire que la route fonctionne comme cela est demandé. Configuration modifiée sur le routeur Cisco WAN: ! route−map net−10 permit 10 match ip address 111 set ip next−hop 172.16.39.2 En utilisant la même commande debug ip packet 101 detail sur le routeur Internet, nous voyons maintenant que le paquet prend le chemin correct. Nous pouvons égale- ment voir que le paquet a été traduit vers 172.16.255.1 par le pare-feu et que la ma- chine qui reçoit le ping, 192.1.1.1, répond. La commande debug ip policy sur le routeur Cisco WAN montre que le paquet a été acheminé vers le pare-feu, 172.16.39.2. Commande debug sur le routeur Cisco WAN "debug ip policy" *Mar 1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1, len 100, policy match *Mar 1 00:06:11.619: IP: route map net−10, item 20, permit *Mar 1 00:06:11.619: s=10.1.1.1 (Ethernet3/0), d=192.1.1.1 (Ethernet0/1), len 100, policy *Mar 1 00:06:11.619: Ethernet3/0 to Ethernet0/1 172.16.39.2 ccnp_cch