Etant donnée que les transitions d’états ne sont pas assez fiables, le stateful failover n’est pas prêt pour le monde réel.
Je n’ai d’ailleurs pas encore réussi à faire fonctionner SSO sous Dynagen (à cause des reload successifs et du fait que le routeur ne garde pas sa configuration suite à cela, donc si quelqu’un sait faire, laissez un commentaire).
Cet article va présenter les étapes à suivre pour mettre en place ce système, et les vérifications/troubleshooting viendront dans un second temps, je mettrai la configuration en place sur le Lab. de PacketLife. Je mettrai à jour l’article au fur et à mesure si besoin après les essai sur le Lab réel.

3 Grandes étapes dans la mise en place du Stateful Failover:

• HSRP
• SSO
• IPsec

Les configurations tiennent compte de la topologie suivante:
Un site distant (Routeur A) tente de se connecter au HQ représenté par les deux routeurs B et C.
Le Tunnel IPsec aura pour endpoint l’adresse HSRP virtuelle du HQ, et les paramètre de la session IPsec seront partagés entre B et C grâce à SSO.

1 - HSRP

HSRP permet de déterminer quel sera le routeur Actif qui terminera le tunnel IPsec.
Le plus important sera de bien définir l’IP Virtuelle, ici 172.20.1.5, ainsi qu’un nom de groupe HSRP, qui servira à mapper SSO sur HSRP.
Le nom de notre groupe sera vpn-remote.

B(config)#interface f0/1
B(config-if)#ip address 172.20.1.1 255.255.255.0
B(config-if)#standby 1 ip 172.20.1.5
B(config-if)#standby 1 priority 150
B(config-if)#standby 1 preempt
B(config-if)#standby 1 name vpn-remote
B(config-if)#no sh

C(config)#interface f0/1
C(config-if)#ip address 172.20.1.2 255.255.255.0
C(config-if)#standby 1 ip 172.20.1.5
C(config-if)#standby 1 priority 100
C(config-if)#standby 1 preempt
C(config-if)#standby 1 name vpn-remote
C(config-if)#no sh

Pour vérifier l’état de notre configuration HSRP, vous pouvez entrer la commande “show standby”

B#show standby

2 - SSO

SSO synchronise les deux routeurs afin que ceux-ci puissent partager des infos IPsec et IKE.
On commence par activer la redondance pour notre groupe HSRP (vpn-remote).

B(config)#redundancy inter-device
B(config-red-interdevice)#scheme standby vpn-remote

C(config)#redundancy inter-device
C(config-red-interdevice)#scheme standby vpn-remote

Après avoir entré ces commandes, un message doit apparaitre sur un des deux routeurs
(Celui qui est en mode HSRP “Standby”) Ce routeur aura besoin d’être redémarré afin que la redondance puisse être active.

% Standby scheme configuration cannot be processed now group vpn-remote is not in active state

Dans un deuxième temps, on défini l’association IPC (Inter-process Communication).

B(config)# ipc zone default
B(config-ipczone)# association 1
B(config-ipczone)# no shutdown
B(config-ipczone-assoc)# protocol ?
  sctp  SCTP transport configuration

B(config-ipczone-assoc)# protocol sctp
B(config-ipc-protocol-sctp)# local-port 5005
B(config-ipc-local-sctp)# local-ip 172.20.1.1
B(config-ipc-local-sctp)# exit
B(config-ipc-protocol-sctp)# remote-port 5005
B(config-ipc-remote-sctp)# remote-ip 172.20.1.2

C(config)# ipc zone default
C(config-ipczone)# association 1
C(config-ipczone)# no shutdown
C(config-ipczone-assoc)# protocol ?
  sctp  SCTP transport configuration

C(config-ipczone-assoc)# protocol sctp
C(config-ipc-protocol-sctp)# local-port 5005
C(config-ipc-local-sctp)# local-ip 172.20.1.2
C(config-ipc-local-sctp)# exit
C(config-ipc-protocol-sctp)# remote-port 5005
c(config-ipc-remote-sctp)# remote-ip 172.20.1.1

Maintenant, les routeurs B et C doivent être redémarrés afin que la redondance puisse être active.

B(config)#reload
C(config)#reload

Le routeur en standby doit de nouveau être redémarré quand vous avez le message suivant:

%RF_INTERDEV-4-RELOAD: % RF induced self-reload. my state = NEGOTIATION peer state = STANDBY COLD

(Il s’agit normalement du routeur C, d’après la configuration HSRP précédente)

Maintenant que nos associations sont faites, il ne reste qu’a mettre en place notre tunnel IPsec.

3 - IPsec

Dans cette partie, je vous donne les configurations, brutes, nous ne revoyons pas le détail d’IPsec.

IKE & ISAKMP

Routeurs B et C:

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

Routeur A:

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 172.20.1.5
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

CRYPTO MAPS

Un point important de la crypto map des routeurs B et C est le RRI, mis en place avec la commande reverse-route. RRI pour Reverse Route Injection permet aux routeurs centraux d’apprendre les bonnes routes pour joindre l’équipement actif. Quand le Failover est en place, le routeur actif (B ou C) injecte les routes RRI dans sa table de routage et les envoi à ses voisins.

Routeurs B et C:

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 192.168.0.1
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

Routeur A:

ip access-list extended local-acl
 permit ip 192.168.0.0 0.0.0.255 172.20.1.0 0.0.0.255
!
crypto map local-map 10 ipsec-isakmp
 set peer 172.20.1.5
 set transform-set MYTR
 match address local-acl

Application des crypto map aux interfaces
Routeur A:

R1(config)#interface f0/0
R1(config-if)#crypto map local-map

routeur B et C:

R1(config)#interface f0/1
R1(config-if)#crypto map vpn-remote-map redundancy vpn-remote stateful

4 - Vérifications / Troubleshooting

Wait & see…

######################################
Configurations globales des 3 routeurs
######################################

ROUTEUR A

hostname A

interface f0/0
	ip add 192.168.0.1 255.255.255.0
	crypto map local-map
	no shut

interface f0/1
	ip add 10.10.1.1 255.255.255.0
	no shut

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 172.20.1.5
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

ip access-list extended local-acl
 permit ip 192.168.0.0 0.0.0.255 172.20.1.0 0.0.0.255
!
crypto map local-map 10 ipsec-isakmp
 set peer 10.0.0.15
 set transform-set MYTR
 match address local-acl

router rip
version 2
network 192.168.0.0
network 172.20.1.0

ROUTEUR B

hostname B

Interface f0/1
	ip address 172.20.1.1 255.255.255.0
	standby 1 ip 172.20.1.5
	standby 1 priority 150
	standby 1 preempt
	standby 1 name vpn-remote
	no sh
	crypto map vpn-remote-map redundancy vpn-remote stateful

interface f0/0
	ip add 192.168.0.2 255.255.255.0
	no shut	

redundancy inter-device
 scheme standby vpn-remote
!
ipc zone default
 association 1
  no shutdown
  protocol sctp
   local-port 5005
  local-ip 172.20.1.1
   remote-port 5005
  remote-ip 172.20.1.2

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac  

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 172.16.0.18
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

router rip
version 2
network 192.168.0.0
network 172.20.1.0

ROUTEUR C

hostname C

Interface f0/1
	ip address 172.20.1.2 255.255.255.0
	no shut
	standby 1 ip 172.20.1.5
	standby 1 priority 100
	standby 1 preempt
	standby 1 name vpn-remote
	crypto map vpn-remote-map redundancy vpn-remote stateful

interface f0/0
	ip add 192.168.0.3 255.255.255.0
	no shut		

redundancy inter-device
 scheme standby vpn-remote
!
ipc zone default
 association 1
  no shutdown
  protocol sctp
   local-port 5005
  local-ip 172.20.1.2
   remote-port 5005
  remote-ip 172.20.1.1

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac 

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 172.16.0.18
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

router rip
version 2
network 192.168.0.0
network 172.20.1.0

Ressource:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t11/feature/guide/gt_topht.html

2 types de Failover, les stateless qui ne permettent pas de connaitre l’état du tunnel, et les statefull qui utilisent 2 équipements redondants afin de connaitre a chaque instant, lequel est actif.

Les 3 méthodes de Stateless Failover sont les suivantes:

• DPD (Dead Peer Detection)
• IGP avec GRE over IPSEC
• HSRP (Hot Standby Routing Protocol)

DPD - Dead peer detection

Dead Peer Detection (DPD) est une méthode pour détecter les peers qui ne répondent plus.
DPD est mis en place grâce aux keepalives avec la commande:

crypto isakmp keepalive seconds [retries] [periodic | on-demand]

seconds: Nombre de secondes entre les messages DPD (entre 10 et 3600)
retries: (Optionnel) Nombre de secondes entre les essais, si les DPD indiquent que le lien est DOWN (2 à 60)
Periodic: (Optional) messages envoyés à intervalles réguliers.
on-demand:(Optional) par défaut. les Retries sont envoyés à la demande.

Au niveau de la crypto map, nous allons spécifier 2 peer, un peer par défaut, ainsi qu’un peer de backup.

crypto map central 10 ipsec-isakmp
set peer 192.168.0.2 default
set peer 192.168.0.3

Le reste de la configuration du tunnel IPsec est identique à une configuration de base. ISAKMP, IPSEC, et Transform-set.. etc.

Voici un Lab Dynagen de démonstration pour la mise en place d’IPsec et de stateless Failover.
Topologie du LAB Dynagen
Dans le Lab, le WAN est représenté par un switch.

Configuration des routeurs
Fichier Dynagen

##################################################
# Author: Benoit GONCALVES
# Course: Implementing Secure Converged Wide Area Networks (ISCW)
# Version: 1.1
# Date: 24.12.2009
# Modified: 24.12.2009
##################################################
autostart = True

[localhost:7200]
[[7200]]

[[ROUTER A]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = A.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
F0/0 = S1 1

[[ROUTER B]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = B.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling
F0/0 = S1 2
F0/1 = C F0/1

[[ROUTER C]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = C.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2004
# modules/slots
# cabling
F0/0 = S1 3

[[ETHSW S1]]
1 = access 1
2 = access 1
3 = access 1

config Router A

enable secret cisco
!
no ip domain lookup
ip http server
!
hostname A

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.2
crypto isakmp key cisco address 192.168.0.3

crypto isakmp keepalive 10 3

crypto ipsec transform-set to-central esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.1 host 192.168.0.2
access-list 100 permit host 192.168.0.1 host 192.168.0.3

crypto map central 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.2 default
	set peer 192.168.0.3
	set transform-set to-central

interface f0/1
	ip add 10.10.1.1 255.255.255.0
	no shut

interface f0/0
	ip add 192.168.0.1 255.255.255.0
	crypto map central
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

config Router B

enable secret cisco
!
no ip domain lookup
ip http server
!

hostname B

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.1

crypto ipsec transform-set to-remote esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.2 host 192.168.0.1

crypto map remote 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.1
	set transform-set to-remote

interface f0/0
	ip add 192.168.0.2 255.255.255.0
	crypto map remote
	no shut

interface f0/1
	ip add 172.20.0.1 255.255.255.0
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

config Router C

enable secret cisco
!
no ip domain lookup
ip http server
!

hostname C

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.1

crypto ipsec transform-set to-remote esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.3 host 192.168.0.1

crypto map remote 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.1
	set transform-set to-remote

interface f0/0
	ip add 192.168.0.3 255.255.255.0
	crypto map remote
	no shut	

interface f0/1
	ip add 172.20.0.2 255.255.255.0
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

Tests
Nous allons pinger l’interface LAN du central office sur le router B (172.20.0.1), depuis le routeur A. Ensuite, nous allons “shutter” l’interface f0/0 du routeur B, ce qui va faire tomber le tunnel IPsec. DPD va détecter le lien “DOWN” et au bout de 3 fois 10 essais, il va faire monter un nouveau tunnnel IPsec vers le routeur C pour atteindre l’interface F0/1 du routeur B (172.16.0.1).

A#ping 172.20.0.1 rep 100

Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 172.20.0.1, timeout is 2 seconds:
!!!!!!...........!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 89 percent (89/100), round-trip min/avg/max = 64/164/324 ms

On fait tomber l’interface WAN du routeur B:

B(config)#int f0/0
B(config-if)#shutdown
B(config-if)#
*Dec 24 00:40:41.211: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*Dec 24 00:40:41.215: %ENTITY_ALARM-6-INFO: ASSERT INFO Fa0/0 Physical Port Administrative State Down

La crypto est remontée sur le routeur C:

C#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.0.3     192.168.0.1     QM_IDLE           1001    0 ACTIVE

Score: 849/1000 - Passing score: 790.

Review des types de questions:

Beaucoup de Drag & Drop avec des définitions/processus qui m’ont un peu déroutés pour certains,
Quelques de Lab SDM (sur IPsec) - Attention à bien réviser/pratiquer cette partie,
Beaucoup de questions sur les virus, worms, attaques.
1 Lab PPPoE,
1 Lab AAA (Attention, voir note ci-dessous),
Et des questions, basiques, sur tout les élèments du cursus sauf IIN & SONA.

!Attention!: pour ceux qui comptent passer l’examen, voici comment faire un # (Dièse) dans le simulateur:
ALT+SHIFT pour passer le clavier en QWERTY puis SHIFT + #,
Je remercie mes collègues qui avaient passé l’éxam quelques mois plus tôt et m’avaient prévenu sur ce coup là !!

Pour préparer l’examen, j’ai utilisé le Study Guide CISCO Press, Labs Dynagen & le Laboratoire de Packetlife.
J’ai également eu la chance de participer à une session de formation ISCW chez Global Knowledge.

Et voilà, un premier examen sur les 4 du CCNP de réussi.
J’enchaine sans attendre sur le BSCI que je prévoi de passer fin Février, puis j’aurai 4 mois pour BCMSN et ONT.

Les cours ont eu lieux dans une petite salle de cours, type SUPINFO, mais seulement 10 étudiants, 1 PC par personnes et les TPs par groupe de 2, chacun un routeur! A notre arrivée, le formateur nous remet le package CCNP ISCW (2 classeurs de cours avec les slides passés au rétro-projecteur + les explications détaillées + 1 classeur pour les TPs), et à la fin si tout le monde à été sage pendant la semaine, nous avons droit à notre petit diplôme signé CISCO pour avoir suivi la formation!

Quelques points de cours ont été trop survolés à mon goût en fin de semaine, tel que AAA, le Firewalling et IPS, surement par manque de temps.

Les TP étaient un peu trop portés sur SDM (notamment pour IPsec, GRE, GRE over IPsec), mais ceux-ci sont prévus pour coller parfaitement à la certification, et celle-ci s’avère être grandement portée sur SDM, comme nous pouvons l’apprendre sur le forum de MadRouter:- “bien 50% de la certif, lab et questions y compris, qui tournent autour de SDM!”.
Pas assez de CLI, mais apparemment la certification se repose également beaucoup sur SDM.
Ayant étudié le CCNP ISCW Study Guide avant cette formation, je m’était beaucoup plus focalisé sur la CLI.

Prochaine étape: L’examen, dans quelques jours… d’ici là, de nouveaux aide mémoire devraient voir le jour sur Networklife…

Je viens de mettre à jour le planning ISCW, ayant terminé mes fiches de lecture du Livre CCNP ISCW Official Exam Cert. Guide. Il ne me reste plus qu’à les apprendre correctement, pratiquer un peu avec dynagen (et le super laboratoire de Packetlife.net) et la formation me permettra d’approfondir tout cela avec un vrai formateur !

Voici le détail de cette formation qui débouchera sur le premier examen de la certification CCNP pour moi:

Implementing Secure Converged Wide Area Networks 1.0

Durée: 5 Jours
Résumé: Ce cours donnera aux stagiaires une vue d’ensemble des fonctionnalités pour implémenter ou améliorer un WAN et les solutions d’accès à distance. Le cours mettra l’accent sur l’utilisation des technoloigies de connection à distance de WAN entre plusieurs sites.
Public visé: Ce cours s’adresse aux responsables et administrateurs réseaux et aux candidats à la certification CCNP Routing and Switching.
Objectifs: Etre capable de sécuriser et d’augmenter l’extension d’un réseau d’entreprise aux sites et travailleurs à distance. Etre capable d’assurer la sécurisation des accès distants et la configuration du client VPN.

Plus d’infos ici sur le contenu de cette certification : http://www.cisco.com/web/learning/le3/current_exams/642-825.html