Configuration EIGRP
2. Atelier : Mise en œuvre d’une configuration EIGRP
La topologie proposée est la suivante :
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
a. Tâche 1 : Réalisation de la topologie sous GNS3
■ À ce stade de l’ouvrage, nous vous supposons déjà familier de l’utilisation de GNS3. Dans le cas contraire, reportezvous au chapitre Annexes Définition d’un contexte d’atelier.
■ Créez la topologie sous GNS3 en prenant bien soin de cocher les cases Sauver les nvrams and autres disques (recommandé) et Exporter les fichiers de configuration des routeurs :
■ Placez les six routeurs. La valeur IDLE PC des routeurs a déjà été calculée, inutile d’y revenir. Utilisez la plate
forme 2600, l’auteur a réalisé l’ensemble de la topologie avec des routeurs 2621, l’IOS était la version c2600ik9s
mz.12240a.bin qui présente l’avantage de se suffire de 48 Mo de mémoire vive. Ajoutez la carte WIC1T ou WIC2T selon que le routeur est connecté à une ou deux lignes série. Placez les cinq PC « Nuage » et configurezles afin que chacun d’eux soit connecté à l’adaptateur réseau convenable et donc au concentrateur VMnet convenable.
Établissez les liens LAN et WAN. Nommez les différents équipements afin de refléter la topologie proposée.
■ Démarrez R100 et selon une méthode à votre convenance, injectezy la configuration fournie en téléchargement sur le site ENI (fichier Atelier8a_R100.txt).
■ Démarrez R200 et selon une méthode à votre convenance, injectezy la configuration fournie en téléchargement sur le site ENI (fichier Atelier8a_R200.txt).
■ Ouvrez une seconde instance de VMware et avec elle, créez une équipe de quatre PC PC101, PC102, PC201 et PC202. Réutilisez les PC créés lors des ateliers précédents (PC11, PC12, PC21 et PC22). Pour mémoire, PC101 est obtenu par clonage sans lien (option create a full clone) de la machine Ubuntu fournie sur le site ENI. PC102, PC201 et PC202 sont obtenus par clone avec lien (option linked clone) de PC101. Ajoutez le serveur VMSRV01 à l’équipe. Nommez cette équipe 5PC, faites en sorte que l’adaptateur réseau virtuel de chacune des machines soit connecté au concentrateur VMnet convenable, respectivement VMnet1 à VMnet4 ainsi que VMnet8. Démarrez totalement ou partiellement l’équipe puis réglez chacune des cinq configurations IP. Il est rare que l’on ait besoin de ces PC ensemble. Suspendezles et ne sortez un PC de son sommeil que lorsque l’activité le demande.
b. Tâche 2 : Activer les interfaces dont l’interface de loopback
■ Réalisez la configuration des interfaces de R101 de la façon suivante :
Router#conf t
Enter configuration commands, one per line. End with CNTL/Z.
Router(config)#hostname R101 R101(config)#line con 0
R101(config-line)#logging synchronous R101(config-line)#exec-timeout 0 R101(config-line)#exit
R101(config)#int f0/0
R101(config-if)#ip address 172.26.101.1 255.255.255.128 R101(config-if)#no shutdown
R101(config-if)#int f0/1
R101(config-if)#ip address 172.26.100.101 255.255.255.0 R101(config-if)#no shutdown
R101(config-if)#int s0/0
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
R101(config-if)#ip address 172.26.50.1 255.255.255.252 R101(config-if)#no shutdown
R101(config-if)#bandwidth 2500 R101(config-if)#int loopback 0
R101(config-if)#ip address 192.168.100.101 255.255.255.255 R101(config-if)#^Z
R101#
■ Sauvegardez de façon régulière :
R101#wr
Building configuration...
■ Faite suivre chaque sauvegarde dans l’interface ILC d’une sauvegarde de la topologie sous GNS3 :
■ En utilisant, les adresses appropriées, réalisez de façon identique les configurations de R102 à R104.
■ Vérifiez l’état des interfaces. Par exemple, sur R101 :
R101#sh ip int br
Interface IP-Address OK? Method Status Protocol
FastEthernet0/0 172.26.101.1 YES NVRAM up up Serial0/0 172.26.50.1 YES NVRAM up up FastEthernet0/1 172.26.100.101 YES NVRAM up up Loopback0 192.168.100.101 YES manual up up
c. Tâche 3 : Activer le processus EIGRP
■ Configurez sur R101 un processus de routage EIGRP en affectant au numéro d’AS la partie numérique du nom du routeur :
R101#conf t
R101(config)#router eigrp 101 R101(config-router)#
■ Hormis l’interface de loopback, toutes les interfaces du routeur R101 appartiennent au réseau majeur 172.26.0.0.
Faitesles participer au protocole à l’aide d’une seule commande network :
R101(config-router)#network 172.26.0.0 R101(config-router)#
■ Vérifiez le processus de routage exécuté par R101 :
R101#sh ip protocols
Routing Protocol is "eigrp 101"
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Default networks flagged in outgoing updates
Default networks accepted from incoming updates EIGRP metric weight K1=1, K2=0, K3=1, K4=0, K5=0 EIGRP maximum hopcount 100
EIGRP maximum metric variance 1 Redistributing: eigrp 101
Automatic network summarization is in effect Maximum path: 4
Routing for Networks:
172.26.0.0
Routing Information Sources:
Gateway Distance Last Update Distance: internal 90 external 170
R101#
■ Observez notamment la plage d’adresses couverte par le processus sous la section « Routing for Networks » :
……… (complétez).
■ Observez les distances administratives attribuées par EIGRP selon qu’une route est interne ou externe :
……… (complétez).
■ Attention au contexte, R100 et R200 sont fonctionnels avec la configuration proposée. Vérifiez le contenu de la table de routage de R101 :
R101#sh ip route ...
Gateway of last resort is not set
172.26.0.0/16 is variably subnetted, 3 subnets, 3 masks C 172.26.50.0/30 is directly connected, Serial0/0
C 172.26.100.0/24 is directly connected, FastEthernet0/1 C 172.26.101.0/25 is directly connected, FastEthernet0/0 192.168.100.0/32 is subnetted, 1 subnets
C 192.168.100.101 is directly connected, Loopback0 R101#
Sauf erreur, la table de routage de R101 ne devrait contenir que les réseaux directement connectés. En effet, le système autonome 101 ne comprend que le routeur R101. Par défaut, un système autonome est en quelque sorte « étanche ». Si l’administrateur souhaite lui faire exploiter des informations de route issues d’autres AS, il doit configurer une redistribution de routes. Il se trouve que notre topologie de test a été divisée en deux domaines EIGRP (deux AS) 100 et 200. R200 exécute le processus EIGRP 200. R100 exécute les deux processus EIGRP 100 et 200.
On se propose donc de placer R101 et R102 dans l’AS 100 puis de placer R201 et R202 dans l’AS 200.
■ À l’aide d’une commande no router eigrp 101, supprimez le processus correspondant sur le routeur R101 : R101#conf t
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
Enter configuration commands, one per line. End with CNTL/Z.
R101(config)#no router eigrp 101
■ Créez sur R101 un processus EIGRP avec le numéro d’AS 100 sans omettre la commande network adéquate :
R101(config)#router eigrp 100
R101(config-router)#network 172.26.0.0
R201(config)#router eigrp 200
R201(config-router)#network 172.26.0.0 R201(config-router)#^Z
R201#
■ Immédiatement après avoir créé un processus EIGRP et inclus des interfaces, observez l’établissement des relations de voisinage du protocole. Par exemple sur R101 :
00:27:04:%DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.100.102 (FastEthernet0/1) is up: new adjacency
00:27:05: %DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.50.2 (Serial0/0) is up: new adjacency
00:27:05: %DUAL-5-NBRCHANGE: IP-EIGRP 100: Neighbor 172.26.100.100 (FastEthernet0/1) is up: new adjacency
■ Il est temps d’observer à nouveau les tables de routage. Sur R101 :
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ...
Gateway of last resort is not set
172.26.0.0/16 is variably subnetted, 9 subnets, 4 masks D EX 172.26.202.0/25
[170/1159680] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 172.26.200.0/24
[170/1157120] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 172.26.201.0/25
[170/1159680] via 172.26.100.100, 00:00:50, FastEthernet0/1 C 172.26.50.0/30 is directly connected, Serial0/0 C 172.26.100.0/24 is directly connected, FastEthernet0/1 C 172.26.101.0/25 is directly connected, FastEthernet0/0 192.168.200.0/32 is subnetted, 1 subnets C 192.168.100.101 is directly connected, Loopback0
R101#
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
Observez les réseaux non directement connectés, le protocole de routage dont ils sont issus. La lettre D rappelle le protocole EIGRP (D pour l’algorithme DUAL). La lettre D accompagnée de l’acronyme EX rappelle que la route est externe à l’AS. Dans le cas présent, nous sommes placés sur un routeur de l’AS 100 et observons des routes de l’AS 200.
Observez les distances administratives associées aux routes, 170 dans le cas d’une route externe à l’AS apprise par EIGRP, 90 dans le cas d’une route interne à l’AS.
Observez la présence dans la table de l’adresse de loopback du routeur R101 mais l’absence de celles des routeurs R102, R201 et R202. En revanche, celle des routeurs fédérateurs R100 et R200 apparaît. Que diable avonsnous oublié ? La commande network idoine bien sûr qui ferait participer l’interface de loopback au protocole !
■ Sur R101 et R102, ajoutez la commande network 192.168.100.0 en configuration de routeur EIGRP 100 :
R101#conf t
R101(config)#router eigrp 100
R101(config-router)#network 192.168.100.0
R201(config)#router eigrp 200
R201(config-router)#network 192.168.200.0 R201(config-router)#
R201(config-router)#^Z R201#
■ Tentez un ping depuis R101 vers l’adresse de loopback de l’un des routeurs R102 ou R201. Estce que le ping aboutit ? Peu probable car une nouvelle observation de la table de routage de R101 montre qu’il n’existe pas de route vers 192.168.100.102. En revanche, il existe une route mais une seule vers le réseau majeur 192.168.200.0 (extrait) :
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP
192.168.200.0/24 is variably subnetted, 2 subnets, 2 masks D EX 192.168.200.200/32
[170/1282560] via 172.26.100.100, 00:00:21, FastEthernet0/1 D EX 192.168.200.0/24
[170/1285120] via 172.26.100.100, 00:00:21, FastEthernet0/1 192.168.100.0/24 is variably subnetted, 3 subnets, 2 masks
D 192.168.100.0/24 is a summary, 00:06:26, Null0 D 192.168.100.100/32
[90/156160] via 172.26.100.100, 00:00:22, FastEthernet0/1 C 192.168.100.101/32 is directly connected, Loopback0
R101#
À ce stade, il faut se souvenir du comportement par défaut d’EIGRP qui agrège automatiquement aux frontières du réseau majeur. Ainsi, chacun des deux routeurs R101 et R102 annonce le réseau majeur 192.168.100.0. De la même façon, chacun des deux routeurs R201 et R202 annonce le réseau majeur 192.168.200.0. Rendre la vue à ces routeurs et leur donner le moyen d’ajouter des routes vers les adresses de loopback implique de désactiver l’agrégation automatique.
■ Désactivez l’agrégation automatique sur chacun des quatre routeurs R101, R102, R201 et R202. Par exemple, sur R101 :
R101#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R101(config)#router eigrp 100 R101(config-router)#no auto-summary R101(config-router)#^Z
R101#
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
■ Vérifiez la connectivité :
R101#conf t
R101(config)#ip host R102 192.168.100.102 R101(config)#ip host R201 192.168.200.201 R101(config)#ip host R202 192.168.200.202 R101(config)#^Z
R101#ping R102
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.100.102, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 4/57/188 ms R101#ping R201
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.200.201, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 48/85/100 ms
■ Vérifiez une dernière fois les tables de routage et observez que cette fois, les adresses de loopback sont bien visibles (extrait) :
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ...
192.168.200.0/32 is subnetted, 3 subnets D EX 192.168.200.200
[170/1282560] via 172.26.100.100, 00:01:51, FastEthernet0/1 D EX 192.168.200.201
[170/1285120] via 172.26.100.100, 00:00:50, FastEthernet0/1 D EX 192.168.200.202
[170/1285120] via 172.26.100.100, 00:00:22, FastEthernet0/1 192.168.100.0/32 is subnetted, 3 subnets
D 192.168.100.100
[90/156160] via 172.26.100.100, 00:01:51, FastEthernet0/1 C 192.168.100.101 is directly connected, Loopback0
D 192.168.100.102
[90/156160] via 172.26.100.102, 00:01:51, FastEthernet0/1 R101#
d. Tâche 4 : Agir sur la bande passante des liens série
■ Si cela n’avait pas déjà été fait, établissez la bande passante de l’interface S0/0 à 2500 Kbps sur chacun des quatre routeurs R101, R102, R201 et R202. Par exemple sur R101 :
R101#sh int s0/0
Serial0/0 is up, line protocol is up Hardware is PowerQUICC Serial Internet address is 172.26.50.1/30
MTU 1500 bytes, BW 2500 Kbit, DLY 20000 usec, reliability 255/255, txload 1/255, rxload 1/255 ...
R101#sh int f0/0
FastEthernet0/0 is up, line protocol is up
Hardware is AmdFE, address is c804.0448.0000 (bia c804.0448.0000)
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
Internet address is 172.26.101.1/25
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec, reliability 255/255, txload 1/255, rxload 1/255 ...
R101#
■ Sur R101, observez le coût de la route vers LAN_12 (172.26.102.0/25) à l’aide d’une commande show ip route (Extrait) :
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ...
Gateway of last resort is not set
172.26.0.0/16 is variably subnetted, 4 subnets, 3 masks C 172.26.50.0/30 is directly connected, Serial0/0 D 172.26.102.0/25
[90/30720] via 172.26.100.102, 00:00:02, FastEthernet0/1 C 172.26.100.0/24 is directly connected, FastEthernet0/1 C 172.26.101.0/25 is directly connected, FastEthernet0/0 ...
Enter configuration commands, one per line. End with CNTL/Z.
R101(config)#int f0/1 R101(config-if)#shutdown R101(config-if)#^Z R101#
■ Observez le nouveau coût de la route vers LAN_12 (Extrait) :
R101#sh ip route
Codes: C - connected, S - static, I - IGRP, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area ...
Gateway of last resort is not set
172.26.0.0/16 is variably subnetted, 4 subnets, 3 masks C 172.26.50.0/30 is directly connected, Serial0/0
D 172.26.102.0/25 [90/1538560] via 172.26.50.2, 00:00:39, Serial0/0 D 172.26.100.0/24 [90/1538560] via 172.26.50.2, 00:00:39, Serial0/0 C 172.26.101.0/25 is directly connected, FastEthernet0/0
...
■ Mettez à profit la commande show ip eigrp neighbors pour afficher les relations de voisinage établies. Par exemple, sur R101 :
R101#sh ip eigrp neighbors
IP-EIGRP neighbors for process 100
H Address Interface Hold Uptime SRTT RTO Q Seq Type
■ Affichez le contenu de la base de données topologique à l’aide d’une commande show ip eigrp topology. Par exemple, sur R101 (Extrait, les adresses loopback ne sont pas représentées) :
R101#sh ip eigrp topology
IP-EIGRP Topology Table for AS(100)/ID(192.168.100.101)
Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply, r - reply Status, s - sia Status
...
P 172.26.202.0/25, 1 successors, FD is 1159680, tag is 200 via 172.26.100.100 (1159680/1157120), FastEthernet0/1 P 172.26.200.0/24, 1 successors, FD is 1157120, tag is 200 via 172.26.100.100 (1157120/1154560), FastEthernet0/1 P 172.26.201.0/25, 1 successors, FD is 1159680, tag is 200 via 172.26.100.100 (1159680/1157120), FastEthernet0/1 P 172.26.50.0/30, 1 successors, FD is 1536000
via Connected, Serial0/0
P 172.26.60.0/30, 1 successors, FD is 2053120, tag is 200 via 172.26.100.100 (2053120/2050560), FastEthernet0/1 P 172.26.120.0/29, 1 successors, FD is 1154560
via 172.26.100.100 (1154560/1152000), FastEthernet0/1
BW (Kbps) DLY (µs)
P 172.26.102.0/25, 1 successors, FD is 30720
via 172.26.100.102 (30720/28160), FastEthernet0/1 via 172.26.50.2 (1538560/28160), Serial0/0
P 172.26.100.0/24, 1 successors, FD is 28160 via Connected, FastEthernet0/1
P 172.26.101.0/25, 1 successors, FD is 28160 via Connected, FastEthernet0/0
R101#
Observez par exemple les données qui concernent la route vers LAN_12. EIGRP indique une distance faisable de 30720 (« FD is 30720 »). C’est donc que la route choisie est la route via 172.26.100.102. Le routeur annonçant, dans le cas présent R102, a un coût de 28160. EIGRP a pu placer dans sa base une route alternative (le plan B) qui respecte le critère de faisabilité, c’estàdire dont le coût du routeur annonçant est inférieur à la distance faisable en
Lorsque le serveur DHCP reçoit le message, il examine ce champ devenu champ adresse IP du relais afin de déterminer si oui ou non il dispose d’un pool d’adresses IP (une étendue DHCP dans le vocabulaire Microsoft) pour le toujours inconnue, l’agent relais doit donc diffuser le message DHCPOFFER sur le sousréseau. La séquence se poursuit, un message DHCPREQUEST est relayé du client au serveur et un message DHCPACK est relayé du serveur
■ Si ce n’est pas déjà fait, installez le service DHCP : Panneau de configuration Ajout/Suppression de programmes Ajouter/Supprimer des composants Windows Services de mise en réseau/Détails, cochez la case Protocole DHCP.
■ Ouvrez la console d’administration du service DHCP : Menu Démarrer Programmes Outils d’administration DHCP.
■ Créez une étendue pour le sousréseau LAN_11, nommez cette étendue Net101, elle comprend les adresses 172.26.101.2 à 172.26.101.14, masque /25. Configurez l’option d’étendue Routeur afin que le client DHCP obtienne également son adresse de passerelle.
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
■ Répétez ces opérations afin de créer trois autres étendues pour les réseaux LAN_12, LAN_21 et LAN_22.
La figure suivante illustre en partie ces opérations :
Étape 2 : activation du relais DHCP
■ En configuration d’interface, la commande ip helperaddress active le relais DHCP. Sur l’interface F0/0 de R101, soit l’interface connectée aux clients DHCP du réseau LAN_11, activez le relais :
R101(config)#int f0/0 R101(config-if)#ip help
R101(config-if)#ip helper-address 172.26.100.254 R101(config-if)#^Z
R101#
■ Répétez l’opération pour les interfaces F0/0 des trois routeurs R102, R201 et R202.
Étape 3 : activation du client et recette de la solution
■ Sur chacune des machines virtuelles clientes, remplacez la configuration IP statique par une configuration dynamique. Si les machines sont celles préconisées (Ubuntu), la procédure est décrite dans le chapitre Annexes.
Pour mémoire :
■ Configurez l’interface réseau (mot de passe sunrise) :
$ sudonano /etc/network/interfaces
■ Activez le client DHCP (remplacez eth0 par ethx, votre eth) :
auto lo
iface lo inet loopback auto eth0
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
iface eth0 inet dhcp
■ Quittez par [Ctrl] X, acceptez le lieu et le nom de sauvegarde en tapant Y, puis confirmez par la touche [Entrée].
■ Provoquez un redémarrage du réseau afin de prendre en compte la modification de la configuration :
$ sudo /etc/init.d/networking restart
La figure suivante illustre en partie ces opérations sur la machine PC102 de notre topologie :
Vos clients ont obtenu leur configuration IP. Bravo. Cet atelier est maintenant terminé.
3. Configuration avancée
a. Authentification
EIGRP peut authentifier ses messages et c’est le moyen pour l’administrateur de s’assurer que les routeurs n’accepteront que les messages issus de leurs pairs, c’estàdire les messages issus de routeurs partageant la même clé, dans le domaine dont il a la charge. Ainsi, un routeur ou toute source d’information de routage non approuvée ne risque pas de polluer les tables du domaine EIGRP avec de l’information illicite, ce quelle que soit l’intrusion, accidentelle ou malveillante.
C’est l’atelier 7B qui a servi de support pour illustrer la mise en œuvre de l’authentification. La création de clés a déjà été décrite, merci de vous reporter à la section Activation de l’authentification du chapitre Protocoles de routage type DV RIPv2. L’ensemble de clés Turing a été créé sur chacun des routeurs concernés, pour cet atelier nous nous en sommes tenus à authentifier les échanges entre RTR7C et RTR7A :
RTR7A#sh run
Building configuration...
...
key chain Turing key 1
key-string couronne
accept-lifetime 05:00:00 Jan 1 2010 duration 90000 send-lifetime 05:00:00 Jan 1 2010 duration 90000 key 2
key-string sicie
accept-lifetime 05:00:00 Jan 2 2010 06:00:00 Feb 2 2010 send-lifetime 05:00:00 Jan 2 2010 06:00:00 Feb 2 2010 key 3
key-string cepet
enidentnumber-AAEAAAD/////AQAAAAAAAAAMAgAAAE1FTkkuRWRpdGlvbnMuTUVESUFwbHVzLCBWZXJzaW9uPTEuMC4wLjAsIEN1bHR1cmU9bmV1dHJhbCwgUHVibGljS2V5VG9rZW49bnVsbAUBAAAAJ0VOSS5FZGl0aW9ucy5NRURJQXBsdXMuQ29tbW9uLldhdGVybWFyawIAAAAHcGlzVGV4dAlwaWR0ZURhdGUBAA0CAAAABgMAAAA6NDIzMzg5IC0gTW9oYSBBbmlzYSAtIGJhZDVmMjk5LWQzNDAtNGRmNi1iMDUyLTcyNDU5ZmM1NTI1Mj1Kb7wQPM2ICwA=-enidentnumber
accept-lifetime 05:00:00 Feb 2 2010 infinite send-lifetime 05:00:00 Feb 2 2010 infinite call rsvp-sync
!
Il reste à appliquer l’authentification aux interfaces concernées de chacun des routeurs. La commande ip authentication mode eigrp en configuration d’interface spécifie le type d’authentification à mettre en œuvre :
Router(config-if)#ip authentication mode eigrp as-number md5
... mais au moment où ces lignes sont écrites, le seul mode prévu est MD5.
Toujours en configuration d’interface, une seconde commande est nécessaire pour activer l’authentification proprement dite :
Router(config-if)#ip authentication key-chain eigrp as-number key-chain
Appliquées au cas présent : ...
interface Serial0/0
ip address 192.168.0.250 255.255.255.252 ip authentication mode eigrp 64501 md5
ip authentication key-chain eigrp 64501 Turing
!
...
RTR7A#
L’administrateur souhaitera probablement superviser l’authentification : RTR7A#show key chain
Key-chain Turing:
key 1 -- text "couronne"
accept lifetime (05:00:00 UTC Jan 1 2010) - (90000 seconds) send lifetime (05:00:00 UTC Jan 1 2010) - (90000 seconds) key 2 -- text "sicie"
accept lifetime (05:00:00 UTC Jan 2 2010) - (06:00:00 UTC Feb 2 2010) send lifetime (05:00:00 UTC Jan 2 2010) - (06:00:00 UTC Feb 2 2010) key 3 -- text "cepet"
accept lifetime (05:00:00 UTC Feb 2 2010) - (infinite) [valid now]
send lifetime (05:00:00 UTC Feb 2 2010) - (infinite) [valid now]
RTR7A#
Une commande debug est également instructive mais évidemment plus dangereuse : RTR7A#debug eigrp packets
EIGRP Packets debugging is on
(UPDATE, REQUEST, QUERY, REPLY, HELLO, IPXSAP, PROBE, ACK, STUB, SIAQUERY, SIAREPLY)
00:12:55: EIGRP: received packet with MD5 authentication, key id = 3 00:12:55: EIGRP: Received HELLO on Serial0/0 nbr 192.168.0.249
00:12:55: AS 64501, Flags 0x0, Seq 0/0 idbQ 0/0 iidbQ un/rely 0/0 peerQ un/rely 0/0
L’administrateur en charge de ce réseau a pris soin d’assurer la redondance des liens qui relient les deux sites. Mais le mieux étant toujours l’ennemi du bien, l’administrateur s’est ainsi créé un certain nombre de problèmes qu’il ne soupçonnait pas au début de sa réflexion. Imaginez par exemple que le lien qui relie RTR8A au commutateur de LAN_NANTES fasse défaut. C’est entendu, le trafic intersites bascule vers RTR8B. Mais qu’advientil du trafic entre LAN_VERTOU et LAN_LUCE ? Vous dites ? Interrompu ? Ne transiteraitil pas plutôt par les quatre routeurs ? Hélas oui et il est peu probable que les liens WAN puissent accepter ce trafic et même s’ils le pouvaient, ce serait probablement une aberration économique (Un trafic local qui effectue un allerretour par un site distant !) De plus, la bande passante consommée le sera au détriment du trafic utile intersites.
Alors bien sûr, on peut imaginer moult solutions comme par exemple ajouter de la redondance entre les deux routeurs du siège, sous forme de liens Ethernet supplémentaires. Mais puisqu’EIGRP a été choisi sur cette topologie,
Alors bien sûr, on peut imaginer moult solutions comme par exemple ajouter de la redondance entre les deux routeurs du siège, sous forme de liens Ethernet supplémentaires. Mais puisqu’EIGRP a été choisi sur cette topologie,