La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Comprendre la politique

Publié parRaphael Samson Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Comprendre la politique"— Transcription de la présentation:

1 Comprendre la politique
de Routage ccnp_cch

2 Sommaire • Introduction • Configurations - Composants utilisés
- Schéma du réseau - Configuration du pare-feu - Configuration du routeur WAN Cisco - Configuration du routeur Internet ccnp_cch

3 Introduction Le routage basé sur une politique est un outil pour acheminer et router le trafic des
paquets sur la base politiques définies par l'administrateur réseau. En réalité c'est un moyen d'avoir une politique qui outrepasse les décisions des protocoles de routage. Le routage basé sur une politique contient un mécanisme pour appliquer les politiques de manière sélective sur la base de listes d'accès, de taille de paquet ou d'autres cri- tères. Les actions prises peuvent inclure le routage de paquets sur des routes définies par l'utilisateur, le paramétrage de la Precedence IP, le type de service, etc.. Dans ce document un pare-feu est utilisé pour traduire les adresses privées en adres- ses Internet routables et appartenant au réseau /24. Voir le schéma du réseau. Composants utilisés Ce document n'est restreint à aucune version logicielle ou matérielle particulière. Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● Cisco IOS® Software Release 12.3(3) ● Routeurs Cisco series 2600 Configurations Schéma du réseau Internet /24 Routeur Internet .1 .1 e0 e1 /24 .2 /24 Pare-feu .2 e0/1 e0/0 /24 .3 Routeur Cisco WAN e3/0 .3 .4 Routeur Cisco-1 Réseau ccnp_cch

4 Configuration du pare-feu
La configuration du pare-feu ci-dessous est incluse pour avoir une vue complète. Toutefois celle-ci n'est pas une partie nécessaire pour la politique de routage. ! ip nat pool net− prefix−length 24 ip nat inside source list 1 pool net−10 interface Ethernet0 ip address ip nat outside interface Ethernet1 ip address ip nat inside router eigrp 1 redistribute static network default−metric ip route Null0 access−list 1 permit end Dans cet exemple le routeur Cisco WAN opère avec une politique de routage pour as- surer que les paquets issus du réseau seront transmis en passant par le pare-feu. La configuration ci-dessous contient une instruction de liste d'accès qui permet de transmettre les paquets issus du réseau vers le pare-feu. Configuration du routeur Cisco WAN ! interface Ethernet0/0 ip address no ip directed−broadcast interface Ethernet0/1 ip address interface Ethernet3/0 ip address ip policy route−map net−10 access−list 111 permit ip any route−map net−10 permit 10 match ip address 111 set interface Ethernet0/1 route−map net−10 permit 20 ccnp_cch

5 ccnp_cch Configuration du routeur Cisco-1
! version 12.3 interface Ethernet0 !−− Interface connectée au réseau ip address interface Ethernet1 !−− Interface connectée au routeur Cisco Wan ip address router eigrp 1 network network no auto−summary !−−− Partie supprimée Configuration du routeur Internet !−− Interface connectée au Pare-feu ip address interface Serial0 !−−− Interface connectée à Internet ip address clockrate 64000 no fair−queue !−−− Interface connectée au routeur Cisco Wan ip address redistribute static !−−− Redistribution de la route statique par défaut pour d'autres !--- routeurs pour atteindre Internet ip classless ip route !−−- La route statique par défaut pointe vers le routeur connecté à !--- Internet. ccnp_cch

6 Pour tester cet exemple, une commande ping dont la source est 10. 1. 1
Pour tester cet exemple, une commande ping dont la source est sur le routeur Cisco-1 en utilisant la commande ping étendue a été exécutée vers le host Internet. Dans cet exemple, a été utilisée comme adresse destination. Pour voir ce qui se passe sur le routeur Internet, "fast switching" a été arrêté tandis que la commande debug ip packet 101 detail a été exécutée. Attention: L'utilisation de la commande debug ip packet detail sur un routeur en production peut causer une utilisation très intensive de la CPU et dégrader fortement les performances ou causer un arrêt du routeur. Note: L'instruction access-list 101 permit icmp any any est utilisée pour filtrer la sortie de la commande debug ip packet peut générer une sortie très importante sur la console et celle-ci risquerait de bloquer le routeur. Résultat de la commande ping à partir du routeur Cisco-1 vers / Internet. Les paquets ne vont jamais vers le routeur Internet. Cisco_1# ping Protocol [ip]: Target IP address: Repeat count [5]: Datagram size [100]: Timeout in seconds [2]: Extended commands [n]: y Source address or interface: Type of service [0]: Set DF bit in IP header? [no]: Validate reply data? [no]: Data pattern [0xABCD]: Loose, Strict, Record, Timestamp, Verbose[none]: Sweep range of sizes [n]: Type escape sequence to abort. Sending 5, 100−byte ICMP Echos to , timeout is 2 seconds: Packet sent with a source address of ..... Success rate is 0 percent (0/5) Comme vous pouvez le voir, les paquets ne vont pas vers le routeur Internet. La com- mande debug faite sur le routeur WAN ci-dessous montre ce qui se passe. "debug ip policy" *Mar 1 00:43:08.367: IP: s= (Ethernet3/0), d= , len 100, policy match *Mar 1 00:43:08.367: IP: route map net−10, item 10, permit !−−− Paquet avec l'adresse source appartenant au réseau /8 et qui !−−− correspond à la route−map "net−10" entrée 10. *Mar 1 00:43:08.367: IP: s= (Ethernet3/0), d= (Ethernet0/1), len 100, policy *Mar 1 00:43:08.367: Ethernet3/0 to Ethernet0/ !−−− Les paquets précédents sont acheminés sur l'interface ethernet 0/1 !−−− grâce à la commande set. ccnp_cch

7 Le paquet correspond à l'entrée 10 de la politique comme cela est attendu. Alors pour-
quoi le paquet n'atteint pas le routeur Internet. "debug arp" *Mar 1 00:06:09.619: IP ARP: creating incomplete entry for IP address: interface *Mar 1 00:06:09.619: IP ARP: sent req src 00b0.64cb.eab1, dst Ethernet0/1 *Mar 1 00:06:09.635: IP ARP rep filtered src b81.0b19, dst b0.64cb.eab1 wrong cable, interface Ethernet0/1 Cisco_Wan_Router# show arp Protocol Address Age (min) Hardware Addr Type Interface Internet − 00b0.64cb.eab1 ARPA Ethernet0/1 Internet b81.0b19 ARPA Ethernet0/1 Internet Incomplete ARPA La sortie de la commande debug arp montre cela. Le routeur Cisco WAN tente de faire ce pourquoi il a été programmé et tente de placer les paquets directement sur l'inter- face Ethernet 0/1. Ceci requiert que le routeur fasse une requête ARP (Address Reso- lution Protocol) pour l'adresse destination pour laquelle le routeur voit que celle-ci n'est pas sur cette interface et par conséquent l'entrée ARP pour cette adresse est marquée "Incomplete" comme le montre la sortie de la commande show arp. Une erreur d'encapsulation se produit car le routeur n'est pas capable de placer le paquet sur l'interface Ethernet. En spécifiant le pare-feu comme prochain saut, on peut éviter ce problème et faire que la route fonctionne comme cela est demandé. Configuration modifiée sur le routeur Cisco WAN: ! route−map net−10 permit 10 match ip address 111 set ip next−hop En utilisant la même commande debug ip packet 101 detail sur le routeur Internet, nous voyons maintenant que le paquet prend le chemin correct. Nous pouvons égale- ment voir que le paquet a été traduit vers par le pare-feu et que la ma- chine qui reçoit le ping, , répond. La commande debug ip policy sur le routeur Cisco WAN montre que le paquet a été acheminé vers le pare-feu, Commande debug sur le routeur Cisco WAN "debug ip policy" *Mar 1 00:06:11.619: s= (Ethernet3/0), d= , len 100, policy match *Mar 1 00:06:11.619: IP: route map net−10, item 20, permit *Mar 1 00:06:11.619: s= (Ethernet3/0), d= (Ethernet0/1), len 100, policy *Mar 1 00:06:11.619: Ethernet3/0 to Ethernet0/ ccnp_cch

Télécharger ppt "Comprendre la politique"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Connecteur de Test pour liaisons E1

Connecteur de Test pour liaisons E1
Hot Standby Router Protocol (HSRP) - Partage de charge

Hot Standby Router Protocol (HSRP) - Partage de charge
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
QoS - Propagation de la Politique de QoS via BGP

QoS - Propagation de la Politique de QoS via BGP
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - ASA7.x/PIX 6.x et plus

Sécurité - ASA7.x/PIX 6.x et plus
Sécurité - Configuration d'un

Sécurité - Configuration d'un
Tunnel pour paquets IP Multicast

Tunnel pour paquets IP Multicast
Configuration Routeur SOHO77

Configuration Routeur SOHO77
Configuration Frame Relay Hub-and-Spoke

Configuration Frame Relay "Hub-and-Spoke"
Configuration d'un accès

Configuration d'un accès
Sécurité - Listes d'Accès - Standards et Etendues - Configuration

Sécurité - Listes d'Accès - Standards et Etendues - Configuration
BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback

BGP - Configuration iBGP et eBGP avec ou sans adresse de Loopback
Configuration BGP de base

Configuration BGP de base
CBAC - Introduction et Configuration

CBAC - Introduction et Configuration
Réseau informatique Sorenza Laplume 1.

Réseau informatique Sorenza Laplume 1.

Présentations similaires

Annonces Google