En effet, chez Microsoft, la limite pour les OS 32bits est de 2Gb par processus (http://msdn.microsoft.com/en-us/library/aa366778.aspx). Mais on peut facilement augmenter cette limite avec un lab comme celui que je prépare… Voici donc comment contourner cette limitation en utilisant deux instances simultanées de l’hyperviseur dynamips.

Même si votre distribution peut gérer plus de 2Gb par process (Je vois dejà les linuxiens en train d’écrire leurs commentaire) ceci augmentera les performances de votre Lab.

Il faut donc lancer deux hyperviseurs dynamips, et répartir vos routeurs dans le fichier .net entre les deux superviseurs. Voici le fichier .cmd à utiliser pour lancer plusieurs instances de Dynamips (Windows):

@echo off
rem Launch a local copy of dynamips
set dynamips=C:\Program Files\Dynamips\dynamips.exe
cd %TEMP%
start /belownormal "Dynamips"  cmd /c ""%dynamips%" -H 7200 & pause"
start /belownormal "Dynamips"  cmd /c ""%dynamips%" -H 7201 & pause"
pause

Ensuite il faut diviser votre fichier .net avec des balises LOCALHOST et des ports différents pour séparer les différents hyperviseurs (Rappel: 1 hyperviseur par coeur - Dual core=2 hyperviseur, Quad core=4 hyperviseurs):

! Premier hyperviseur:
[localhost:7200]
udp=10000

!vos IOS et routeurs ici

! Deuxième hyperviseur:
[localhost:7201]
udp=10100

!vos IOS et routeurs ici

Utilisez ce système quand vous devez émuler plus de 6 routeurs, vos performances seront bien meilleures et vous éviterez les plantages en plein millieux de votre Troubleshooting !

PS: pour faire tourner les 14 routeurs sous Windows.. on oublie.. il n’y arrive pas le pépère.. donc je vais diviser mon Lab en plusieurs parties… Et merci à Bastien pour toutes les infos sur Dynagen !

Voici le Lab prévu à la base:

Topologie:

Configuration Dynagen:

###
# Vendor: Cisco
# Course: OSPF
# Version: 1.1
# Date: 16.03.2007
# Modified: 20.04.2009
###

autostart = True

[localhost:7200]
[[7200]]

[[ROUTER R1]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R1.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
S1/0 = R2 S1/0
F0/0 = S1 1

[[ROUTER R2]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R2.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling
F0/0 = S1 3

[[ROUTER R3]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R3.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2004
# modules/slots
# cabling
F0/0 = S1 5

[[ETHSW S1]]
1 = access 1
3 = access 1
5 = access 1

R1

no ip domain lookup
no ip http server
!
hostname R1
!
interface Loopback1
description Engineering Department
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.1 255.255.255.0
ip ospf cost 50
ip ospf priority 10
duplex auto
speed auto
!
interface Serial 1/0
ip address 10.1.100.1 255.255.255.0
clock rate 64000
!
end

R2

no ip domain lookup
no ip http server
!
hostname R2
!
interface Loopback2
description Marketing Department
ip address 10.1.2.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.2 255.255.255.0
ip ospf priority 5
!
interface Serial 1/0
ip address 10.1.100.2 255.255.255.0
!
end

R3

no ip domain lookup
no ip http server
!
hostname R3
!
interface Loopback3
description Accounting Department
ip address 10.1.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.3 255.255.255.0
!
end

On commence par activer OSPF sur nos 3 routeurs:
R1

(config)#router ospf 1
(config-router)#network 10.1.1.0 0.0.0.255 area 0
(config-router)#network 10.1.100.0 0.0.0.255 area 0
(config-router)#network 10.1.200.1 0.0.0.0 area 0

R2

(config)#router ospf 1
(config-router)#network 10.1.2.0 0.0.0.255 area 0
(config-router)#network 10.1.100.0 0.0.0.255 area 0
(config-router)#network 10.1.200.0 0.0.0.255 area 0

R3

(config)#router ospf 1
(config-router)#network 10.1.3.0 0.0.0.255 area 0
(config-router)#network 10.1.200.0 0.0.0.255 area 0

Lorsqu’on shut/no shut une interface, et en appliquant un “debug ip ospf adjacency” on retrouve bien les différentes étapes
qu’un routeur suit pour former une adjacence (DOWN, INIT, 2 WAY, MASTER/SLAVE, EXSTART…).

R2(config)#int s1/0
R2(config-if)#sh
R2(config-if)#no sh

R1#deb ip ospf adj
OSPF adjacency events debugging is on
R1#
!interface shutted
*Jan 25 17:42:59.995: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 76 LSA count 1

!interface unshutted
*Jan 25 17:43:09.583: OSPF: Cannot see ourself in hello from 10.1.2.1 on Serial1/0, state INIT
*Jan 25 17:43:09.715: OSPF: 2 Way Communication to 10.1.2.1 on Serial1/0, state2WAY
*Jan 25 17:43:09.719: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1339 opt 0x52 flag 0x7 len 32
*Jan 25 17:43:09.723: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x118F opt 0x52 flag 0x7 len 32  mtu 1500 state EXSTART
*Jan 25 17:43:09.723: OSPF: NBR Negotiation Done. We are the SLAVE
*Jan 25 17:43:09.727: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x118F opt 0x52 flag 0x2 len 112
*Jan 25 17:43:09.891: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x1190 opt 0x52 flag 0x3 len 112  mtu 1500 state EXCHANGE
*Jan 25 17:43:09.895: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1190 opt 0x52 flag 0x0 len 32
*Jan 25 17:43:10.019: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 88 LSA count 1
*Jan 25 17:43:10.027: OSPF: Rcv LS UPD from 10.1.2.1 on Serial1/0 length 88 LSAcount 1
*Jan 25 17:43:10.031: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x1191 opt 0x52 flag 0x1 len 32  mtu 1500 state EXCHANGE
*Jan 25 17:43:10.035: OSPF: Exchange Done with 10.1.2.1 on Serial1/0
*Jan 25 17:43:10.035: OSPF: Synchronized with 10.1.2.1 on Serial1/0, state FULL
*Jan 25 17:43:10.039: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on Serial1/0 fromLOADING to FULL, Loading Done
*Jan 25 17:43:10.043: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1191 opt 0x52 flag 0x0 len 32
*Jan 25 17:43:14.859: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 100 LSA count 1
*Jan 25 17:43:14.867: OSPF: Rcv LS UPD from 10.1.2.1 on Serial1/0 length 100 LSA count 1

Commandes utiles:

R1#sh ip protocol
Routing Protocol is "ospf 1"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 10.1.1.1
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Maximum path: 4
  Routing for Networks:
    10.1.1.0 0.0.0.255 area 0
    10.1.100.0 0.0.0.255 area 0
    10.1.200.1 0.0.0.0 area 0
 Reference bandwidth unit is 100 mbps
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.1.2.1             110      00:08:28
    10.1.3.1             110      00:08:28
    10.1.1.1             110      00:08:28
  Distance: (default is 110)

R1#sh ip ospf
 Routing Process "ospf 1" with ID 10.1.1.1
 Start time: 00:00:18.272, Time elapsed: 00:10:07.864
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Supports Link-local Signaling (LLS)
 Supports area transit capability
 Router is not originating router-LSAs with maximum metric
 Initial SPF schedule delay 5000 msecs
 Minimum hold time between two consecutive SPFs 10000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs
 Incremental-SPF disabled
 Minimum LSA interval 5 secs
 Minimum LSA arrival 1000 msecs
 LSA group pacing timer 240 secs
 Interface flood pacing timer 33 msecs
 Retransmission pacing timer 66 msecs
 Number of external LSA 0. Checksum Sum 0x000000
 Number of opaque AS LSA 0. Checksum Sum 0x000000
 Number of DCbitless external and opaque AS LSA 0
 Number of DoNotAge external and opaque AS LSA 0
 Number of areas in this router is 1. 1 normal 0 stub 0 nssa
 Number of areas transit capable is 0
 External flood list length 0
 IETF NSF helper support enabled
 Cisco NSF helper support enabled
    Area BACKBONE(0)
        Number of interfaces in this area is 3
        Area has no authentication
        SPF algorithm last executed 00:06:39.804 ago
        SPF algorithm executed 5 times
        Area ranges are
        Number of LSA 4. Checksum Sum 0x023A86
        Number of opaque link LSA 0. Checksum Sum 0x000000
        Number of DCbitless LSA 0
        Number of indication LSA 0
        Number of DoNotAge LSA 0
        Flood list length 0

R1#sh ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
10.1.2.1          5   FULL/BDR        00:00:37    10.1.200.2      FastEthernet0/0
10.1.3.1          1   FULL/DROTHER    00:00:37    10.1.200.3      FastEthernet0/0
10.1.2.1          0   FULL/  -        00:00:39    10.1.100.2      Serial1/0

R1#show ip ospf interface FastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
  Internet Address 10.1.200.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type BROADCAST, Cost: 50
  Transmit Delay is 1 sec, State DR, Priority 10
  Designated Router (ID) 10.1.1.1, Interface address 10.1.200.1
  Backup Designated router (ID) 10.1.2.1, Interface address 10.1.200.2
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:06
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 3/3, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 0, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 2, Adjacent neighbor count is 2
    Adjacent with neighbor 10.1.2.1  (Backup Designated Router)
    Adjacent with neighbor 10.1.3.1
  Suppress hello for 0 neighbor(s)

R1#sh ip ospf database

            OSPF Router with ID (10.1.1.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.1.1.1        10.1.1.1        665         0x80000004 0x00820F 4
10.1.2.1        10.1.2.1        515         0x80000005 0x003984 4
10.1.3.1        10.1.3.1        666         0x80000002 0x0090B8 2

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.1.200.1      10.1.1.1        669         0x80000001 0x00EE3B

Interface Loopback

L’interface loopback permet de stabiliser OSPF, et donc d’éviter les bagots (flapping) d’interfaces. Cela représent également l’ID du routeur, qui peut servir lors de l’élection de DR/BDR si le router-id ou la priorité n’est pas définie.

R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
O 10.1.2.1/32 [110/2] via 10.1.200.2, 00:00:03, FastEthernet0/0
O 10.1.3.1/32 [110/2] via 10.1.200.3, 00:00:03, FastEthernet0/0
C 10.1.1.0/24 is directly connected, Loopback1
C 10.1.100.0/24 is directly connected, Serial1/0
C 10.1.200.0/24 is directly connected, FastEthernet0/0

On peut voir les loopback des routeurs, mais leurs subnet est faux (/32), car le type de réseau par défaut annonce les loopback en /32.
Pour remédier à cela, il faut ajouter la commande ip ospf network point-to-point.

R1(config)# interface loopback1
R1(config-if)# ip ospf network point-to-point
R2(config)# interface loopback2
R2(config-if)# ip ospf network point-to-point
R3(config)# interface loopback3
R3(config-if)# ip ospf network point-to-point

R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 5 subnets
O 10.1.3.0 [110/2] via 10.1.200.3, 00:00:01, FastEthernet0/0
O 10.1.2.0 [110/2] via 10.1.200.2, 00:00:01, FastEthernet0/0
C 10.1.1.0 is directly connected, Loopback1
C 10.1.100.0 is directly connected, Serial1/0
C 10.1.200.0 is directly connected, FastEthernet0/0

Priorité des interfaces

On change la priorité des interfaces suivantes:

R1(config)# interface fastEthernet 0/0
R1(config-if)# ip ospf priority 10
R2(config)# interface fastEthernet 0/0
R2(config-if)# ip ospf priority 5

On peut vérifier le changement avec la commande show ip ospf neighbor detail:

R1#sh ip ospf neighbor detail
 Neighbor 10.1.2.1, interface address 10.1.200.2
    In the area 0 via interface FastEthernet0/0
    Neighbor priority is 5, State is FULL, 6 state changes
    DR is 10.1.200.1 BDR is 10.1.200.2
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:18:19
    Index 2/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.1.3.1, interface address 10.1.200.3
    In the area 0 via interface FastEthernet0/0
    Neighbor priority is 1, State is FULL, 6 state changes
    DR is 10.1.200.1 BDR is 10.1.200.2
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:18:19
    Index 1/1, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.1.2.1, interface address 10.1.100.2
    In the area 0 via interface Serial1/0
    Neighbor priority is 0, State is FULL, 12 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:15:50
    Index 3/3, retransmission queue length 0, number of retransmission 2
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec

Pour forcer la réelection de DR/BDR, on peut utiliser la commande clear ip ospf process

R1#clear ip ospf process
Reset ALL OSPF processes? [no]: yes
R1#
*Jan 25 18:02:27.423: OSPF: Interface FastEthernet0/0 going Down
*Jan 25 18:02:27.423: OSPF: 10.1.1.1 address 10.1.200.1 on FastEthernet0/0 is dead, state DOWN
*Jan 25 18:02:27.427: OSPF: Neighbor change Event on interface FastEthernet0/0
*Jan 25 18:02:27.431: OSPF: DR/BDR election on FastEthernet0/0
*Jan 25 18:02:27.431: OSPF: Elect BDR 10.1.2.1
*Jan 25 18:02:27.435: OSPF: Elect DR 10.1.2.1
*Jan 25 18:02:27.435: OSPF: Elect BDR 10.1.2.1
*Jan 25 18:02:27.439: OSPF: Elect DR 10.1.2.1
*Jan 25 18:02:27.439:        DR: 10.1.2.1 (Id)   BDR: 10.1.2.1 (Id)
*Jan 25 18:02:27.439: OSPF: Reset adjacency with 10.1.3.1 on FastEthernet0/0, state 2WAY
*Jan 25 18:02:27.439: OSPF: Flush network LSA immediately
*Jan 25 18:02:27.439: OSPF: Remember old DR 10.1.1.1 (id)
*Jan 25 18:02:27.439: OSPF: 10.1.2.1 address 10.1.200.2 on FastEthernet0/0 is dead, state DOWN
*Jan 25 18:02:27.439: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on FastEthernet0/0 from FULL to DOWN,
Neighbor Down: Interface down or detached
*Jan 25 18:02:27.439: OSPF: Neighbor change Event on interface FastEthernet0/0
*Jan 25 18:02:27.439: OSPF: DR/BDR election on FastEthernet0/0
*Jan 25 18:02:27.439: OSPF: Elect BDR 10.1.3.1
*Jan 25 18:02:27.439: OSPF: Elect DR 10.1.3.1
*Jan 25 18:02:27.439:        DR: 10.1.3.1 (Id)   BDR: 10.1.3.1 (Id)
[....]

Changement de topologie

Si nous désactivons l’interface F0/0 sur R1, OSPF va recalculer ses routes et passer par R2, et l’interface Série.

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#sh

!Avant le shut de F0/0
R3#traceroute 10.1.1.1

Type escape sequence to abort.
Tracing the route to 10.1.1.1

  1 10.1.200.1 180 msec *  132 msec

!Pendant le shut de F0/0
R3#ping 10.1.1.1 rep 50

Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 94 percent (47/50), round-trip min/avg/max = 24/163/356 ms

!Après le shut de F0/0
R3#traceroute 10.1.1.1

Type escape sequence to abort.
Tracing the route to 10.1.1.1

  1 10.1.200.2 296 msec 168 msec 100 msec
  2 10.1.100.1 144 msec *  176 msec

OSPF Authentication

Plain-text

R1(config)# interface serial 1/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication-key cisco

R2(config)# interface serial 1/0
R2(config-if)# ip ospf authentication
R2(config-if)# ip ospf authentication-key cisco

R1#sh ip ospf interface s1/0
*Jan 25 18:25:34.731: %SYS-5-CONFIG_I: Configured from console by console
Serial1/0 is up, line protocol is up
  Internet Address 10.1.100.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:01
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 10.1.2.1
  Suppress hello for 0 neighbor(s)
  Simple password authentication enabled

MD5

R1(config)# interface serial 1/0
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf message-digest-key 1 md5 cisco

R2(config)# interface serial 1/0
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf message-digest-key 1 md5 cisco

R1#sh ip ospf interface s1/0
Serial1/0 is up, line protocol is up
  Internet Address 10.1.100.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:05
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 10.1.2.1
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
    Youngest key id is 1

Nous allons voir le Load balancing avec des Equal-costs, et des Unequal-costs, Enjoy !

Voici la topo:

Dynagen

####
#
# Author: Benoit GONCALVES
# Course: BSCI - EIGRP - Load balancing
# Version: 1.1
#
####

autostart = True

[localhost:7200]
[[7200]]

[[ROUTER R1]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R1.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
S1/0 = R2 S1/0

[[ROUTER R2]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R2.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling
S1/1 = R3 S1/1

[[ROUTER R3]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R3.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2004
# modules/slots
# cabling
S1/0 = R1 S1/1

R1

hostname R1
!
interface Loopback 11
ip address 10.1.1.1 255.255.255.252
!
interface Loopback 15
ip address 10.1.1.5 255.255.255.252
!
interface Loopback 19
ip address 10.1.1.9 255.255.255.252
!
!
interface Serial 1/0
description R1 -> R2
bandwidth 64
ip address 10.1.102.1 255.255.255.248
clockrate 64000
no shutdown
!
interface Serial 1/1
description R1 -> R3
bandwidth 64
ip address 10.1.103.1 255.255.255.248
clockrate 64000
no shutdown
!
router eigrp 100
network 10.0.0.0
!
end

R2

hostname R2
!
interface Loopback 21
ip address 10.1.2.1 255.255.255.252
!
interface Loopback 25
ip address 10.1.2.5 255.255.255.252
!
interface Loopback 29
ip address 10.1.2.9 255.255.255.252
!
!
interface Serial 1/0
description R2 -> R1
bandwidth 64
ip address 10.1.102.2 255.255.255.248
clockrate 64000
no shutdown
!
interface Serial 1/1
description R2 -> R3
bandwidth 64
ip address 10.1.203.2 255.255.255.248
clockrate 64000
no shutdown
!
router eigrp 100
network 10.0.0.0
!
end

R3

hostname R3
!
interface Loopback 31
ip address 10.1.3.1 255.255.255.252
!
interface Loopback 35
ip address 10.1.3.5 255.255.255.252
!
interface Loopback 39
ip address 10.1.3.9 255.255.255.252
!
!
interface Serial 1/0
description R3 -> R1
bandwidth 64
ip address 10.1.103.3 255.255.255.248
clockrate 64000
no shutdown
!
interface Serial 1/1
description R3 -> R2
bandwidth 64
ip address 10.1.203.3 255.255.255.248
clockrate 64000
no shutdown
!
router eigrp 100
network 10.0.0.0
!
end

Une petite vue de la table de routage de R1:

R1#sh ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 12 subnets, 2 masks
D       10.1.3.8/30 [90/40640000] via 10.1.103.3, 01:06:49, Serial1/1
D       10.1.2.8/30 [90/40640000] via 10.1.102.2, 01:06:49, Serial1/0
C       10.1.1.8/30 is directly connected, Loopback19
D       10.1.3.0/30 [90/40640000] via 10.1.103.3, 01:06:49, Serial1/1
D       10.1.2.0/30 [90/40640000] via 10.1.102.2, 01:06:49, Serial1/0
C       10.1.1.0/30 is directly connected, Loopback11
D       10.1.3.4/30 [90/40640000] via 10.1.103.3, 01:06:49, Serial1/1
D       10.1.2.4/30 [90/40640000] via 10.1.102.2, 01:06:49, Serial1/0
C       10.1.1.4/30 is directly connected, Loopback15
C       10.1.103.0/29 is directly connected, Serial1/1
C       10.1.102.0/29 is directly connected, Serial1/0
D       10.1.203.0/29 [90/41024000] via 10.1.103.3, 01:06:49, Serial1/1
                      [90/41024000] via 10.1.102.2, 01:06:49, Serial1/0

Ainsi que la table de voisinage de nos 3 routeurs:

R1#sh ip ei nei
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
1   10.1.103.3              Se1/1             11 01:09:21  432  2592  0  8
0   10.1.102.2              Se1/0             12 01:10:12  369  2280  0  10

R2#sh ip ei nei
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
1   10.1.203.3              Se1/1             12 01:09:26  301  2280  0  6
0   10.1.102.1              Se1/0             10 01:10:17  952  5000  0  9

R3#sh ip ei nei
IP-EIGRP neighbors for process 100
H   Address                 Interface       Hold Uptime   SRTT   RTO  Q  Seq
                                            (sec)         (ms)       Cnt Num
1   10.1.203.2              Se1/1             14 01:09:31  352  2280  0  11
0   10.1.103.1              Se1/0             10 01:09:31  380  2280  0  10

Table topologique

La table topologique contient une vue de la topologie avoisinante, et nous pouvons voir toutes les routes possibles,

dont les “successor routes”.

R3#sh ip eigrp topology
IP-EIGRP Topology Table for AS(100)/ID(10.1.3.9)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 10.1.3.8/30, 1 successors, FD is 128256
        via Connected, Loopback39
P 10.1.2.8/30, 1 successors, FD is 40640000
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.8/30, 1 successors, FD is 40640000
        via 10.1.103.1 (40640000/128256), Serial1/0
P 10.1.3.0/30, 1 successors, FD is 128256
        via Connected, Loopback31
P 10.1.2.0/30, 1 successors, FD is 40640000
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.0/30, 1 successors, FD is 40640000
        via 10.1.103.1 (40640000/128256), Serial1/0
P 10.1.3.4/30, 1 successors, FD is 128256
        via Connected, Loopback35
P 10.1.2.4/30, 1 successors, FD is 40640000
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.4/30, 1 successors, FD is 40640000
        via 10.1.103.1 (40640000/128256), Serial1/0
P 10.1.103.0/29, 1 successors, FD is 40512000
        via Connected, Serial1/0
P 10.1.102.0/29, 2 successors, FD is 41024000
        via 10.1.103.1 (41024000/40512000), Serial1/0
        via 10.1.203.2 (41024000/40512000), Serial1/1
P 10.1.203.0/29, 1 successors, FD is 40512000
        via Connected, Serial1/1

Le plus impotant dans cette table topologique se situe à la fin, avec les 2 successors en etat passif.

R1 et R2 “advertisent” (annoncent) leurs subnet 10.1.102.0/30. Les deux routes ayant la même distance (40512000) elle sont toutes les deux installées dans la table topologique.

40512000 est le résultat de la métrique en fonction du chemin de destination du réseau 10.1.102.0/30.
Le calcul de la métrique se fait grâce à la formule suivante: (mais j’y reviendrais dans un prochain article sur les fondamentaux d’EIGRP):

-

-

Avec les valeurs suivantes:

• min(bandwidth) est la bande passante minimale le long du chemin, exprimée en kbit/s
• les délais sont exprimés en microsecondes.

R3#sh ip eigrp topology 10.1.102.0/29
IP-EIGRP (AS 100): Topology entry for 10.1.102.0/29
  State is Passive, Query origin flag is 1, 2 Successor(s), FD is 41024000
  Routing Descriptor Blocks:
!Chemin passant par R1
  10.1.103.1 (Serial1/0), from 10.1.103.1, Send flag is 0x0
      Composite metric is (41024000/40512000), Route is Internal
      Vector metric:
        Minimum bandwidth is 64 Kbit
        Total delay is 40000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 1
!Chemin passant par R2
  10.1.203.2 (Serial1/1), from 10.1.203.2, Send flag is 0x0
      Composite metric is (41024000/40512000), Route is Internal
      Vector metric:
        Minimum bandwidth is 64 Kbit
        Total delay is 40000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 1

Les points importants de la vue ci-dessus sont:

• Bandwidth metric: bande passante minimum utilisée sur ce lien (ici 64k).
• Delay: Délai TOTAL sur ce lien (ici 40000 micro sec.)
• Load : Charge du lien (255/255 = Full, ici il n’est pas utilisé)
• MTU: le MTU le plus petit présent sur ce lien.
• Hop count: Le nombre de saut (routeurs/Niveau 3) jusqu’au réseau distant

Load balancing Equal-Cost

EIGRP effectue un partage de charge entre R1 et R2 pour le réseau 10.1.102.0/30.

Comme nous venons de le voir, nous avons deux “coûts” égaux entre ces deux chemins.

R3#debug ip packet
IP packet debugging is on
R3#
R3#ping 10.1.102.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.1.102.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/3/4 ms
R3#
*Jan 13 18:39:01.579: IP: tableid=0, s=10.1.103.3 (local), d=10.1.102.1 (Serial1/0), routed via RIB
*Jan 13 18:39:01.583: IP: s=10.1.103.3 (local), d=10.1.102.1 (Serial1/0), len 100, sending
[...]
*Jan 13 18:39:01.747: IP: tableid=0, s=10.1.102.1 (Serial1/0), d=10.1.103.3 (Serial1/0), routed via RIB
*Jan 13 18:39:01.751: IP: s=10.1.102.1 (Serial1/0), d=10.1.103.3 (Serial1/0), len 100, rcvd 3
[...]
*Jan 13 18:39:01.763: IP: tableid=0, s=10.1.203.3 (local), d=10.1.102.1 (Serial1/1), routed via RIB
*Jan 13 18:39:01.763: IP: s=10.1.203.3 (local), d=10.1.102.1 (Serial1/1), len 100, sending
[...]
*Jan 13 18:39:02.055: IP: tableid=0, s=10.1.102.1 (Serial1/1), d=10.1.203.3 (Serial1/1), routed via RIB
*Jan 13 18:39:02.059: IP: s=10.1.102.1 (Serial1/1), d=10.1.203.3 (Serial1/1), len 100, rcvd 3
[...]
*Jan 13 18:39:02.067: IP: tableid=0, s=10.1.103.3 (local), d=10.1.102.1 (Serial1/0), routed via RIB
*Jan 13 18:39:02.071: IP: s=10.1.103.3 (local), d=10.1.102.1 (Serial1/0), len 100, sending
[...]
*Jan 13 18:39:02.187: IP: tableid=0, s=10.1.102.1 (Serial1/0), d=10.1.103.3 (Serial1/0), routed via RIB
*Jan 13 18:39:02.191: IP: s=10.1.102.1 (Serial1/0), d=10.1.103.3 (Serial1/0), len 100, rcvd 3
[...]
*Jan 13 18:39:02.203: IP: tableid=0, s=10.1.203.3 (local), d=10.1.102.1 (Serial1/1), routed via RIB
*Jan 13 18:39:02.207: IP: s=10.1.203.3 (local), d=10.1.102.1 (Serial1/1), len 100, sending
[...]
*Jan 13 18:39:02.555: IP: tableid=0, s=10.1.102.1 (Serial1/1), d=10.1.203.3 (Serial1/1), routed via RIB
*Jan 13 18:39:02.559: IP: s=10.1.102.1 (Serial1/1), d=10.1.203.3 (Serial1/1), len 100, rcvd 3
[...]

Nous voyons bien ci-dessus le partage de charge fait entre R1 (Serial1/0) et R2 (Serial1/1).

Unequal-Cost Load Balancing

R3#sh ip ei topo 10.1.2.0/30
*Jan 14 10:26:54.867: %SYS-5-CONFIG_I: Configured from console by console
IP-EIGRP (AS 100): Topology entry for 10.1.2.0/30
  State is Passive, Query origin flag is 1, 1 Successor(s), FD is 40640000
  Routing Descriptor Blocks:
  10.1.203.2 (Serial1/1), from 10.1.203.2, Send flag is 0x0
      Composite metric is (40640000/128256), Route is Internal
      Vector metric:
        Minimum bandwidth is 64 Kbit
        Total delay is 25000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 1
  10.1.103.1 (Serial1/0), from 10.1.103.1, Send flag is 0x0
      Composite metric is (41152000/40640000), Route is Internal
      Vector metric:
        Minimum bandwidth is 64 Kbit
        Total delay is 45000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 2

Nous allons changer la valeur des bandwidth comme suit:

Voici comment effectuer ce changement:

R1(config)#interface serial 1/0
R1(config-if)#bandwidth 128
R1(config-if)#clock rate 128000
R1(config-if)#interface serial 1/1
R1(config-if)#bandwidth 128
!
R2(config)#interface serial 1/0
R2(config-if)#bandwidth 128
!
R3(config)#interface serial 1/0
R3(config-if)#clock rate 128000
R3(config-if)#bandwidth 128

Et maintenant, voici la nouvelle topologie, vue par EIGRP.
Le chemin préféré de R3 pour aller vers R2 est R1, car deux saut de 128k vont plus vites qu’un saut de 64 !!

R3#sh ip ei topo 10.1.2.0/30
IP-EIGRP (AS 100): Topology entry for 10.1.2.0/30
  State is Passive, Query origin flag is 1, 1 Successor(s), FD is 21152000
  Routing Descriptor Blocks:
 10.1.103.1 (Serial1/0), from 10.1.103.1, Send flag is 0x0
      Composite metric is (21152000/20640000), Route is Internal
      Vector metric:
        Minimum bandwidth is 128 Kbit
        Total delay is 45000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 2
  10.1.203.2 (Serial1/1), from 10.1.203.2, Send flag is 0x0
      Composite metric is (40640000/128256), Route is Internal
      Vector metric:
        Minimum bandwidth is 64 Kbit
        Total delay is 25000 microseconds
        Reliability is 255/255
        Load is 1/255
        Minimum MTU is 1500
        Hop count is 1

-

-

-

-

Nous allons maintenant manipuler la Variance d’EIGRP.
Variance : Variance x FD (Feasible Distance pour chaque route dans la table de routage). Par exemple avec une Variance de 2, si nous avons deux chemins pour une destination,  si 25 paquets sont envoyés sur une interface, 50 seront envoyés sur l’autre. ou Si 64 paquets sont envoyés sur une interface, 128 seront envoyés sur l’autre… etc.

Avant d’effectuer la manipulation, on garde la table de routage actuelle du R3

R3#sh ip route eigrp
     10.0.0.0/8 is variably subnetted, 12 subnets, 2 masks
D       10.1.2.8/30 [90/21152000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.1.8/30 [90/20640000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.2.0/30 [90/21152000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.1.0/30 [90/20640000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.2.4/30 [90/21152000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.1.4/30 [90/20640000] via 10.1.103.1, 00:18:16, Serial1/0
D       10.1.102.0/29 [90/21024000] via 10.1.103.1, 00:18:16, Serial1/0

Maintenant, on change la variance du process EIGRP à 2:

R3#deb ip eigrp 100
IP-EIGRP Route Events debugging is on
R3#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R3(config)#router eigrp 100
R3(config-router)#variance 2

*Jan 14 10:51:05.023: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.3.8/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.027: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.8  ()
*Jan 14 10:51:05.031: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.8  ()
*Jan 14 10:51:05.035: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.1.8  ()
*Jan 14 10:51:05.039: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.1.8/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.043: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.3.0/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.047: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.0  ()
*Jan 14 10:51:05.051: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.0  ()
*Jan 14 10:51:05.055: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.1.0  ()
*Jan 14 10:51:05.059: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.1.0/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.063: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.3.4/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.067: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.4  ()
*Jan 14 10:51:05.071: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.2.4  ()
*Jan 14 10:51:05.075: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.1.4  ()
*Jan 14 10:51:05.079: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.1.4/30 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.079: IP-EIGRP(Default-IP-Routing-Table:100): 10.1.103.0/29 routing table not updated thru 10.1.203.2
*Jan 14 10:51:05.079: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.102.0  ()
*Jan 14 10:51:05.079: IP-EIGRP(Default-IP-Routing-Table:100): route installed for 10.1.102.0  ()

Voyons ce qui à changé:

R3#sh ip route
*Jan 14 10:52:38.103: %SYS-5-CONFIG_I: Configured from console by consoleroute
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is not set

     10.0.0.0/8 is variably subnetted, 12 subnets, 2 masks
C       10.1.3.8/30 is directly connected, Loopback39
D       10.1.2.8/30 [90/40640000] via 10.1.203.2, 00:01:34, Serial1/1
                    [90/21152000] via 10.1.103.1, 00:01:34, Serial1/0
D       10.1.1.8/30 [90/20640000] via 10.1.103.1, 00:01:34, Serial1/0
C       10.1.3.0/30 is directly connected, Loopback31
D       10.1.2.0/30 [90/40640000] via 10.1.203.2, 00:01:34, Serial1/1
                    [90/21152000] via 10.1.103.1, 00:01:34, Serial1/0
D       10.1.1.0/30 [90/20640000] via 10.1.103.1, 00:01:34, Serial1/0
C       10.1.3.4/30 is directly connected, Loopback35
D       10.1.2.4/30 [90/40640000] via 10.1.203.2, 00:01:34, Serial1/1
                    [90/21152000] via 10.1.103.1, 00:01:34, Serial1/0
D       10.1.1.4/30 [90/20640000] via 10.1.103.1, 00:01:34, Serial1/0
C       10.1.103.0/29 is directly connected, Serial1/0
D       10.1.102.0/29 [90/41024000] via 10.1.203.2, 00:01:35, Serial1/1
                      [90/21024000] via 10.1.103.1, 00:01:35, Serial1/0
C       10.1.203.0/29 is directly connected, Serial1/1

Ces routes aux coûts inégaux se voient également dans la table topologique EIGRP, même
s’ils ne sont pas considérés comme des successeurs (la distance n’est pas plus petite que la feasible distance).
On vérifie celà avec un “show ip eigrp topology”.

R3#sh ip ei topo
IP-EIGRP Topology Table for AS(100)/ID(10.1.3.9)

Codes: P - Passive, A - Active, U - Update, Q - Query, R - Reply,
       r - reply Status, s - sia Status

P 10.1.3.8/30, 1 successors, FD is 128256
        via Connected, Loopback39
P 10.1.2.8/30, 1 successors, FD is 21152000
        via 10.1.103.1 (21152000/20640000), Serial1/0
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.8/30, 1 successors, FD is 20640000
        via 10.1.103.1 (20640000/128256), Serial1/0
P 10.1.3.0/30, 1 successors, FD is 128256
        via Connected, Loopback31
P 10.1.2.0/30, 1 successors, FD is 21152000
        via 10.1.103.1 (21152000/20640000), Serial1/0
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.0/30, 1 successors, FD is 20640000
        via 10.1.103.1 (20640000/128256), Serial1/0
P 10.1.3.4/30, 1 successors, FD is 128256
        via Connected, Loopback35
P 10.1.2.4/30, 1 successors, FD is 21152000
        via 10.1.103.1 (21152000/20640000), Serial1/0
        via 10.1.203.2 (40640000/128256), Serial1/1
P 10.1.1.4/30, 1 successors, FD is 20640000
        via 10.1.103.1 (20640000/128256), Serial1/0
P 10.1.103.0/29, 1 successors, FD is 20512000
        via Connected, Serial1/0
P 10.1.102.0/29, 1 successors, FD is 21024000
        via 10.1.103.1 (21024000/20512000), Serial1/0
        via 10.1.203.2 (41024000/20512000), Serial1/1
P 10.1.203.0/29, 1 successors, FD is 40512000
        via Connected, Serial1/1

L’équilibrage de charge sur des liaisons série se produit en utilisant des blocs de paquets, leurs nombre est enregistré dans les informations de la table de routage.
Utilisez le “show ip route 10.1.2.0″ pour obtenir une vue détaillée de la façon dont le partage de traffic se produit.

R3#sh ip route 10.1.2.0
Routing entry for 10.1.2.0/30
  Known via "eigrp 100", distance 90, metric 21152000, type internal
  Redistributing via eigrp 100
  Last update from 10.1.203.2 on Serial1/1, 00:07:01 ago
  Routing Descriptor Blocks:
    10.1.203.2, from 10.1.203.2, 00:07:01 ago, via Serial1/1
      Route metric is 40640000, traffic share count is 25
      Total delay is 25000 microseconds, minimum bandwidth is 64 Kbit
      Reliability 255/255, minimum MTU 1500 bytes
      Loading 1/255, Hops 1
  * 10.1.103.1, from 10.1.103.1, 00:07:01 ago, via Serial1/0
      Route metric is 21152000, traffic share count is 48
      Total delay is 45000 microseconds, minimum bandwidth is 128 Kbit
      Reliability 255/255, minimum MTU 1500 bytes
      Loading 1/255, Hops 2

Nous pouvons voir que 25 paquets sont routés vers R2 pour 48 paquets routés vers R1.

Etant donnée que les transitions d’états ne sont pas assez fiables, le stateful failover n’est pas prêt pour le monde réel.
Je n’ai d’ailleurs pas encore réussi à faire fonctionner SSO sous Dynagen (à cause des reload successifs et du fait que le routeur ne garde pas sa configuration suite à cela, donc si quelqu’un sait faire, laissez un commentaire).
Cet article va présenter les étapes à suivre pour mettre en place ce système, et les vérifications/troubleshooting viendront dans un second temps, je mettrai la configuration en place sur le Lab. de PacketLife. Je mettrai à jour l’article au fur et à mesure si besoin après les essai sur le Lab réel.

3 Grandes étapes dans la mise en place du Stateful Failover:

• HSRP
• SSO
• IPsec

Les configurations tiennent compte de la topologie suivante:
Un site distant (Routeur A) tente de se connecter au HQ représenté par les deux routeurs B et C.
Le Tunnel IPsec aura pour endpoint l’adresse HSRP virtuelle du HQ, et les paramètre de la session IPsec seront partagés entre B et C grâce à SSO.

1 - HSRP

HSRP permet de déterminer quel sera le routeur Actif qui terminera le tunnel IPsec.
Le plus important sera de bien définir l’IP Virtuelle, ici 172.20.1.5, ainsi qu’un nom de groupe HSRP, qui servira à mapper SSO sur HSRP.
Le nom de notre groupe sera vpn-remote.

B(config)#interface f0/1
B(config-if)#ip address 172.20.1.1 255.255.255.0
B(config-if)#standby 1 ip 172.20.1.5
B(config-if)#standby 1 priority 150
B(config-if)#standby 1 preempt
B(config-if)#standby 1 name vpn-remote
B(config-if)#no sh

C(config)#interface f0/1
C(config-if)#ip address 172.20.1.2 255.255.255.0
C(config-if)#standby 1 ip 172.20.1.5
C(config-if)#standby 1 priority 100
C(config-if)#standby 1 preempt
C(config-if)#standby 1 name vpn-remote
C(config-if)#no sh

Pour vérifier l’état de notre configuration HSRP, vous pouvez entrer la commande “show standby”

B#show standby

2 - SSO

SSO synchronise les deux routeurs afin que ceux-ci puissent partager des infos IPsec et IKE.
On commence par activer la redondance pour notre groupe HSRP (vpn-remote).

B(config)#redundancy inter-device
B(config-red-interdevice)#scheme standby vpn-remote

C(config)#redundancy inter-device
C(config-red-interdevice)#scheme standby vpn-remote

Après avoir entré ces commandes, un message doit apparaitre sur un des deux routeurs
(Celui qui est en mode HSRP “Standby”) Ce routeur aura besoin d’être redémarré afin que la redondance puisse être active.

% Standby scheme configuration cannot be processed now group vpn-remote is not in active state

Dans un deuxième temps, on défini l’association IPC (Inter-process Communication).

B(config)# ipc zone default
B(config-ipczone)# association 1
B(config-ipczone)# no shutdown
B(config-ipczone-assoc)# protocol ?
  sctp  SCTP transport configuration

B(config-ipczone-assoc)# protocol sctp
B(config-ipc-protocol-sctp)# local-port 5005
B(config-ipc-local-sctp)# local-ip 172.20.1.1
B(config-ipc-local-sctp)# exit
B(config-ipc-protocol-sctp)# remote-port 5005
B(config-ipc-remote-sctp)# remote-ip 172.20.1.2

C(config)# ipc zone default
C(config-ipczone)# association 1
C(config-ipczone)# no shutdown
C(config-ipczone-assoc)# protocol ?
  sctp  SCTP transport configuration

C(config-ipczone-assoc)# protocol sctp
C(config-ipc-protocol-sctp)# local-port 5005
C(config-ipc-local-sctp)# local-ip 172.20.1.2
C(config-ipc-local-sctp)# exit
C(config-ipc-protocol-sctp)# remote-port 5005
c(config-ipc-remote-sctp)# remote-ip 172.20.1.1

Maintenant, les routeurs B et C doivent être redémarrés afin que la redondance puisse être active.

B(config)#reload
C(config)#reload

Le routeur en standby doit de nouveau être redémarré quand vous avez le message suivant:

%RF_INTERDEV-4-RELOAD: % RF induced self-reload. my state = NEGOTIATION peer state = STANDBY COLD

(Il s’agit normalement du routeur C, d’après la configuration HSRP précédente)

Maintenant que nos associations sont faites, il ne reste qu’a mettre en place notre tunnel IPsec.

3 - IPsec

Dans cette partie, je vous donne les configurations, brutes, nous ne revoyons pas le détail d’IPsec.

IKE & ISAKMP

Routeurs B et C:

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

Routeur A:

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 172.20.1.5
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

CRYPTO MAPS

Un point important de la crypto map des routeurs B et C est le RRI, mis en place avec la commande reverse-route. RRI pour Reverse Route Injection permet aux routeurs centraux d’apprendre les bonnes routes pour joindre l’équipement actif. Quand le Failover est en place, le routeur actif (B ou C) injecte les routes RRI dans sa table de routage et les envoi à ses voisins.

Routeurs B et C:

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 192.168.0.1
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

Routeur A:

ip access-list extended local-acl
 permit ip 192.168.0.0 0.0.0.255 172.20.1.0 0.0.0.255
!
crypto map local-map 10 ipsec-isakmp
 set peer 172.20.1.5
 set transform-set MYTR
 match address local-acl

Application des crypto map aux interfaces
Routeur A:

R1(config)#interface f0/0
R1(config-if)#crypto map local-map

routeur B et C:

R1(config)#interface f0/1
R1(config-if)#crypto map vpn-remote-map redundancy vpn-remote stateful

4 - Vérifications / Troubleshooting

Wait & see…

######################################
Configurations globales des 3 routeurs
######################################

ROUTEUR A

hostname A

interface f0/0
	ip add 192.168.0.1 255.255.255.0
	crypto map local-map
	no shut

interface f0/1
	ip add 10.10.1.1 255.255.255.0
	no shut

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 172.20.1.5
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac

ip access-list extended local-acl
 permit ip 192.168.0.0 0.0.0.255 172.20.1.0 0.0.0.255
!
crypto map local-map 10 ipsec-isakmp
 set peer 10.0.0.15
 set transform-set MYTR
 match address local-acl

router rip
version 2
network 192.168.0.0
network 172.20.1.0

ROUTEUR B

hostname B

Interface f0/1
	ip address 172.20.1.1 255.255.255.0
	standby 1 ip 172.20.1.5
	standby 1 priority 150
	standby 1 preempt
	standby 1 name vpn-remote
	no sh
	crypto map vpn-remote-map redundancy vpn-remote stateful

interface f0/0
	ip add 192.168.0.2 255.255.255.0
	no shut	

redundancy inter-device
 scheme standby vpn-remote
!
ipc zone default
 association 1
  no shutdown
  protocol sctp
   local-port 5005
  local-ip 172.20.1.1
   remote-port 5005
  remote-ip 172.20.1.2

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac  

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 172.16.0.18
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

router rip
version 2
network 192.168.0.0
network 172.20.1.0

ROUTEUR C

hostname C

Interface f0/1
	ip address 172.20.1.2 255.255.255.0
	no shut
	standby 1 ip 172.20.1.5
	standby 1 priority 100
	standby 1 preempt
	standby 1 name vpn-remote
	crypto map vpn-remote-map redundancy vpn-remote stateful

interface f0/0
	ip add 192.168.0.3 255.255.255.0
	no shut		

redundancy inter-device
 scheme standby vpn-remote
!
ipc zone default
 association 1
  no shutdown
  protocol sctp
   local-port 5005
  local-ip 172.20.1.2
   remote-port 5005
  remote-ip 172.20.1.1

crypto isakmp policy 1
 authentication pre-share
crypto isakmp key cisco address 192.168.0.1
!
crypto ipsec transform-set MYTR esp-aes esp-sha-hmac 

ip access-list extended vpn-remote-acl
 permit ip 172.20.1.0 0.0.0.255 192.168.0.0 0.0.0.255
!
crypto map vpn-remote-map 10 ipsec-isakmp
 set peer 172.16.0.18
 set transform-set MYTR
 match address vpn-remote-acl
 reverse-route

router rip
version 2
network 192.168.0.0
network 172.20.1.0

Ressource:
http://www.cisco.com/en/US/docs/ios/12_3t/12_3t11/feature/guide/gt_topht.html

2 types de Failover, les stateless qui ne permettent pas de connaitre l’état du tunnel, et les statefull qui utilisent 2 équipements redondants afin de connaitre a chaque instant, lequel est actif.

Les 3 méthodes de Stateless Failover sont les suivantes:

• DPD (Dead Peer Detection)
• IGP avec GRE over IPSEC
• HSRP (Hot Standby Routing Protocol)

DPD - Dead peer detection

Dead Peer Detection (DPD) est une méthode pour détecter les peers qui ne répondent plus.
DPD est mis en place grâce aux keepalives avec la commande:

crypto isakmp keepalive seconds [retries] [periodic | on-demand]

seconds: Nombre de secondes entre les messages DPD (entre 10 et 3600)
retries: (Optionnel) Nombre de secondes entre les essais, si les DPD indiquent que le lien est DOWN (2 à 60)
Periodic: (Optional) messages envoyés à intervalles réguliers.
on-demand:(Optional) par défaut. les Retries sont envoyés à la demande.

Au niveau de la crypto map, nous allons spécifier 2 peer, un peer par défaut, ainsi qu’un peer de backup.

crypto map central 10 ipsec-isakmp
set peer 192.168.0.2 default
set peer 192.168.0.3

Le reste de la configuration du tunnel IPsec est identique à une configuration de base. ISAKMP, IPSEC, et Transform-set.. etc.

Voici un Lab Dynagen de démonstration pour la mise en place d’IPsec et de stateless Failover.
Topologie du LAB Dynagen
Dans le Lab, le WAN est représenté par un switch.

Configuration des routeurs
Fichier Dynagen

##################################################
# Author: Benoit GONCALVES
# Course: Implementing Secure Converged Wide Area Networks (ISCW)
# Version: 1.1
# Date: 24.12.2009
# Modified: 24.12.2009
##################################################
autostart = True

[localhost:7200]
[[7200]]

[[ROUTER A]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = A.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
F0/0 = S1 1

[[ROUTER B]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = B.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling
F0/0 = S1 2
F0/1 = C F0/1

[[ROUTER C]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = C.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2004
# modules/slots
# cabling
F0/0 = S1 3

[[ETHSW S1]]
1 = access 1
2 = access 1
3 = access 1

config Router A

enable secret cisco
!
no ip domain lookup
ip http server
!
hostname A

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.2
crypto isakmp key cisco address 192.168.0.3

crypto isakmp keepalive 10 3

crypto ipsec transform-set to-central esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.1 host 192.168.0.2
access-list 100 permit host 192.168.0.1 host 192.168.0.3

crypto map central 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.2 default
	set peer 192.168.0.3
	set transform-set to-central

interface f0/1
	ip add 10.10.1.1 255.255.255.0
	no shut

interface f0/0
	ip add 192.168.0.1 255.255.255.0
	crypto map central
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

config Router B

enable secret cisco
!
no ip domain lookup
ip http server
!

hostname B

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.1

crypto ipsec transform-set to-remote esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.2 host 192.168.0.1

crypto map remote 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.1
	set transform-set to-remote

interface f0/0
	ip add 192.168.0.2 255.255.255.0
	crypto map remote
	no shut

interface f0/1
	ip add 172.20.0.1 255.255.255.0
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

config Router C

enable secret cisco
!
no ip domain lookup
ip http server
!

hostname C

crypto isakmp policy 1
	hash sha
	encryption 3des
	group 5
	authentication pre-share
	lifetime 1600

crypto isakmp key cisco address 192.168.0.1

crypto ipsec transform-set to-remote esp-3des esp-sha-hmac
	mode tunnel

access-list 100 permit host 192.168.0.3 host 192.168.0.1

crypto map remote 10 ipsec-isakmp
	match address 100
	set peer 192.168.0.1
	set transform-set to-remote

interface f0/0
	ip add 192.168.0.3 255.255.255.0
	crypto map remote
	no shut	

interface f0/1
	ip add 172.20.0.2 255.255.255.0
	no shut

router rip
version 2
network 192.168.0.0
network 172.20.0.0

Tests
Nous allons pinger l’interface LAN du central office sur le router B (172.20.0.1), depuis le routeur A. Ensuite, nous allons “shutter” l’interface f0/0 du routeur B, ce qui va faire tomber le tunnel IPsec. DPD va détecter le lien “DOWN” et au bout de 3 fois 10 essais, il va faire monter un nouveau tunnnel IPsec vers le routeur C pour atteindre l’interface F0/1 du routeur B (172.16.0.1).

A#ping 172.20.0.1 rep 100

Type escape sequence to abort.
Sending 100, 100-byte ICMP Echos to 172.20.0.1, timeout is 2 seconds:
!!!!!!...........!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 89 percent (89/100), round-trip min/avg/max = 64/164/324 ms

On fait tomber l’interface WAN du routeur B:

B(config)#int f0/0
B(config-if)#shutdown
B(config-if)#
*Dec 24 00:40:41.211: %LINK-5-CHANGED: Interface FastEthernet0/0, changed state to administratively down
*Dec 24 00:40:41.215: %ENTITY_ALARM-6-INFO: ASSERT INFO Fa0/0 Physical Port Administrative State Down

La crypto est remontée sur le routeur C:

C#sh cry isa sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id slot status
192.168.0.3     192.168.0.1     QM_IDLE           1001    0 ACTIVE

Ce site propose entre autre des explication pour la virtualisation de routeurs avec Dynagen, mais également des fichiers de topologies pour s’entrainer sur les différentes certifications CISCO. Apparemment, certaine personnes ont même réussi à  passer le CCNP sans avoir besoin d’acheter de matériel. Je pense qu’il sera quand même nécessaire d’investir dans un switch L3 pour le BCMSN car nous ne pouvons émuler les switchs avec cet outil.

Voici la topologie de ce Laboratoire pour la préparation de l’ISCW (Implementing a secure and converged WAN):

Et voici le fichier .Net :

#################################################################
# Vendor: Cisco
# Course: Implementing Secure Converged Wide Area Networks (ISCW)
# Version: 1.1
# Date: 16.03.2007
# Modified: 20.04.2009
#################################################################

autostart = False

[localhost:7200]
[[7200]]
[[ROUTER HQ]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = startup-HQ.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2001
# modules/slots
# cabling
#f0/0 = SW1 1
f1/0 = Branch f1/0
s2/0 = ISP s2/0

[[ROUTER Branch]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = startup-BRANCH.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
#f0/0 = SW2 1
s2/0 = ISP s2/1

[[ROUTER ISP]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = startup-ISP.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling

#[[ethsw SW1]]
#1 = access 1
# *** Intel(R) PRO/100 VE Network Connection ***
#2 = access 1 NIO_gen_eth:\Device\NPF_{060721B4-B6AF-4E9C-895A-5A47DF1D5FDE}
# *** VMware Virtual Ethernet Adapter ***
#3 = access 1 NIO_gen_eth:\Device\NPF_{191FF5F2-E46A-4B15-B5AA-43F38E57F25C}

#[[ethsw SW2]]
#1 = access 1

startup-BRANCH.txt

enable secret cisco
!
no ip domain lookup
ip http server
hostname Branch
!
interface f0/0
ip address 10.6.6.1 255.255.255.0
!
interface f1/0
ip address 10.2.1.2 255.255.255.0
no shutdown
!
interface s2/0
ip address 10.4.1.2 255.255.255.0
no shutdown
!
interface loopback 0
ip address 10.0.1.2 255.255.255.255
no shutdown
!
line vty 0 4
exec-timeout 0 0
password cisco
login
!
!
end

startup-HQ.txt

enable secret cisco
!
no ip domain lookup
ip http server
hostname HQ
!
interface f1/0
ip address 10.2.1.1 255.255.255.0
no shutdown
!
interface s2/0
ip address 10.4.1.1 255.255.255.0
no shutdown
!
interface loopback 0
ip address 10.0.1.1 255.255.255.255
no shutdown
!
line vty 0 4
exec-timeout 0 0
password cisco
login
!
!
end

startup-ISP.txt

enable secret cisco
!
no ip domain lookup
ip http server
hostname ISP
!

interface s2/0
ip address 10.4.1.2 255.255.255.0
no shutdown
!
interface s2/1
ip address 10.5.1.1 255.255.255.0
no shutdown
!
interface loopback 0
ip address 10.10.10.10 255.255.255.0
no shutdown
!
line vty 0 4
exec-timeout 0 0
password cisco
login
!
!
end

Je posterai sur mon blog toutes les configurations en fonction des TP que j’effectuerai à  partir des exemples du CISCO Press (que j’ai commandé et qui devrait arriver d’ici quelques jours). Pour le moment, il me manque l’IOS (c7200-adventerprisek9-mz.124-9.T3.bin), je ne l’ai pas encore trouvé sur la toile, donc si quelqu’un l’à , je suis preneur !

I was getting tired of making one lab per exercise in the Cisco Lab Portfolios and the Certification Zone lab exercises. So I whipped up a 6 router setup that could handle the majority of the router scenarios I am using for practice.

It consists of 6 7206 routers in a full mesh topology. Each router has 2 ethernet connections to a dynamips ’switch’, one each in VLAN1 and VLAN2.

Each router has at least 4 frame connections to the other routers in the topology.

Each router also has 1 frame connection to a frame relay switch, with full mesh DLCI between all routers.

I use dynagen, not GNS3. I created a diagram of the topology using the freeware tool called Network Notepad (http://www.networknotepad.com/) so I can keep track of all the different connections.

Some of the CCNA & CCNP stuff calls for using the Cisco SDM. I created one generic_startup.txt config file. It sets the password to cisco for the router, and enables the http server. It also sets the exec-timeout on con0 to infinite, and disables domain lookup (your pings will work quickly now). All you have to do is bridge GNS3 or Dynagen to your physical network card, and you can use the Cisco SDM to interface with the routers. Or SecureACS, the VPN client, VMWare images, etc….

Warning: this topo uses a lot of RAM. When I have all 6 routers running, my memory utilization jumps from 900mb to 3.5GB. When all 6 routers are idle, I am seeing 10-15% CPU utilization - I have an Intel Core2 Quad processor.”

Routers Used: 7206

IOS: c7200-advipservicesk9-mz.124-2.T

• Voici le .net de cette topologie:

autostart = False
[localhost:7202]
workingdir = C:\Program Files\GNS3\Projects\Router\CCNA-CCNP-Full.Mesh.Topology\CCNA-CCNP-Full.Mesh.Topology-Chris_working
udp = 10200
[[7200]]
midplane = std
image = C:\Program Files\GNS3\Images\c7200-jk9o3s-mz.124-17a\C7200-JK.BIN
idlepc = 0×606e8c80
ghostios = True
[[ROUTER R5]]
console = 2004
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 5
f0/1 = SW0 11
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 5
s2/1 = R4 s2/1
s2/2 = R6 s2/1
s2/3 = R2 s2/3
s2/4 = R1 s2/4
s2/5 = R3 s2/4
slot3 = PA-POS-OC3
x = -42.0
y = 217.0
[[ROUTER R6]]
console = 2005
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 6
f0/1 = SW0 12
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 6
s2/1 = R5 s2/2
s2/2 = R3 s2/2
s2/3 = R1 s2/3
s2/4 = R2 s2/5
slot3 = PA-POS-OC3
x = 267.0
y = 133.0
[localhost:7200]
workingdir = C:\Program Files\GNS3\Projects\Router\CCNA-CCNP-Full.Mesh.Topology\CCNA-CCNP-Full.Mesh.Topology-Chris_working
[[7200]]
midplane = std
image = C:\Program Files\GNS3\Images\c7200-jk9o3s-mz.124-17a\C7200-JK.BIN
idlepc = 0×606e8c80
ghostios = True
[[ROUTER R1]]
console = 2000
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 1
f0/1 = SW0 7
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 1
s2/1 = R2 s2/1
s2/2 = R4 s2/2
s2/3 = R6 s2/3
s2/4 = R5 s2/4
slot3 = PA-POS-OC3
x = -288.0
y = -251.0
[[ROUTER R2]]
console = 2001
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 2
f0/1 = SW0 8
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 2
s2/1 = R1 s2/1
s2/2 = R3 s2/1
s2/3 = R5 s2/3
s2/4 = R4 s2/4
s2/5 = R6 s2/4
slot3 = PA-POS-OC3
x = -35.0
y = -302.0
[[FRSW FR2]]
1:102 = 2:201
1:103 = 3:301
1:104 = 4:401
1:105 = 5:501
1:106 = 6:601
2:201 = 1:102
2:203 = 3:302
2:204 = 4:402
2:205 = 5:502
2:206 = 6:602
3:301 = 1:103
3:302 = 2:203
3:304 = 4:403
3:305 = 5:503
3:306 = 6:603
4:401 = 1:104
4:402 = 2:204
4:403 = 3:304
4:405 = 5:604
4:406 = 6:604
5:501 = 1:105
5:502 = 2:205
5:503 = 3:305
5:506 = 6:605
5:604 = 4:405
6:601 = 1:106
6:602 = 2:206
6:603 = 3:306
6:604 = 4:406
6:605 = 5:506
x = 470.5
y = -49.5
[[ETHSW SW0]]
1 = access 1
2 = access 1
3 = access 1
4 = access 1
5 = access 1
6 = access 1
7 = access 2
8 = access 2
9 = access 2
10 = access 2
11 = access 2
12 = access 2
x = -501.5
y = -32.0
[localhost:7201]
workingdir = C:\Program Files\GNS3\Projects\Router\CCNA-CCNP-Full.Mesh.Topology\CCNA-CCNP-Full.Mesh.Topology-Chris_working
udp = 10100
[[7200]]
midplane = std
image = C:\Program Files\GNS3\Images\c7200-jk9o3s-mz.124-17a\C7200-JK.BIN
idlepc = 0×606e8c80
ghostios = True
[[ROUTER R4]]
console = 2003
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 4
f0/1 = SW0 10
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 4
s2/1 = R5 s2/1
s2/2 = R1 s2/2
s2/3 = R3 s2/3
s2/4 = R2 s2/4
slot3 = PA-POS-OC3
x = -302.0
y = 149.0
[[ROUTER R3]]
console = 2002
cnfg = C:\Documents and Settings\Administrator\My Documents\cisco stuff\generic_startup.txt
f0/0 = SW0 3
f0/1 = SW0 9
slot1 = PA-2FE-TX
slot2 = PA-8T
s2/0 = FR2 3
s2/1 = R2 s2/2
s2/2 = R6 s2/2
s2/3 = R4 s2/3
s2/4 = R5 s2/5
slot3 = PA-POS-OC3
x = 267.0
y = -254.0
[GNS3-DATA]
configs = CCNA-CCNP-Full.Mesh.Topology-Chris_configs
workdir = CCNA-CCNP-Full.Mesh.Topology-Chris_working
[[NOTE 1]]
text = GNS3-Labs:: Full Mesh CCNP Topology\nGet More Labs @ http://www.GNS3-Labs.com
x = -149.0
y = 270.5
rotate = 0

Et voici la configuration basique de ces routeurs:

enable secret 5 $1$A2Li$x9q4azTN8PZ35naGmEuaD/
!
no ip domain lookup
ip http server
!
line vty 0 4
exec-timeout 0 0
password cisco
login
!
!
end

Plus d’infos dans quelques jours, quand j’aurai eu le temps de tester ce lab….

Vous pouvez ensuite ouvrir votre routeur R1 (et au moin un autre routeur afin de faire transiter de l’information entre les deux). Une fois la capture terminée, vous devez taper no capture R1 f0/0 capture.cap dans la console Dynagen puis un fichier capture.cap apparait (dans le même dossier que votre fichier .net). Vous pouvez maintenant ouvrir ce fichier avec Wireshark et l’étudier.

Pourquoi enregistrer ces informations ?

Afin de mieux comprendre comment fonctionnent les protocoles de communications et de savoir ce qui transite éxactement sur le réseau. C’est ainsi que vous pouvez tester la différence entre les protocoles Telnet et ssh par exemple ! (Une fois le test effectué vous pourrez constater que les informations d’identifications et les promptes des routeurs passent en clair sur le réseau avec le protocole Telnet, contrairement à SSH qui lui, chiffre les paquets ) .

Faisons ce test SSH vs Telnet pour mieux comprendre ! Nous allons utiliser le fichier de topologie suivant:

[localhost:7200]

[[2620XM]]
image = c2600-advsecurityk9-mz.123-14.T7.image
ram = 128
# idlepc = 0x….

[[ROUTER R1]]
model = 2620XM
f0/0 = R2 f0/0

[[ROUTER R2]]
model = 2620XM

Lancez votre serveur Dynamips, puis le fichier de configuration. Entrez la commande capture R1 F0/0 capture.cap dans la console Dynagen puis lancez vos routeurs R1 et R2. Configurez Telnet sur le routeur R1 et SSH sur le routeur R2.

• R1(config)#Line vty 0 181
• R1(config-line)# login local
• R1(config-line)# transport input telnet
• R1(config)#Username labo password cisco

• R2(config)#Line vty 0 181
• R2(config-line)# login local
• R2(config-line)# transport input ssh
• R2(config)#username labo password cisco
• R2(config)#ip domain-name networklife.net
• R2(config)#crypto key generate rsa general-keys modulus 1024
• R2(config)#ip ssh time-out 60
• R2(config)#ip ssh authentication-retries 1

Connectez vous de R1 à R2 en ssh : ssh -l labo IP_DE_R2.

Connectez vous de R2 à R1 en Telnet : telnet IP_DE_R1.

Entrez quelques commandes puis dans la console Dynagen, entrez no capture R1 F0/0 capture.cap. Allez récupérer le fichier capture.cap puis lisez le avec Wireshark, vous savez maintenant pourquoi il est préférable de privilégier SSH à Telnet.

Wireshark

Communication telnet

Communication ssh

Je vous laisse mes 2 fichiers de captures afin que vous puissiez les étudier vous même avec wireshark:

telnet.cap

ssh.cap

Nous allons utiliser un fichier .net de configuration basique, avec deux routeurs 2620xm:

[localhost:7200]

[[2620XM]]
image = c2600-advsecurityk9-mz.123-14.T7.image
ram = 128
# idlepc = 0x…

[[ROUTER R1]]
model = 2620XM
f0/0 = R2 f0/0

[[ROUTER R2]]
model = 2620XM

Vous pouvez vous apercevoir que la valeur idlepc est volontairement mise en commentaire, c’est sur cette valeur que nous allons jouer afin de faire baisser l’utilisation CPU de dynagen.

Lancez ensuite votre server dynamips.

Lancement du serveur Dynamips

Lancez le fichier .NET

Lancement du fichier de configuration

Vous pouvez apercevoir le message d’erreur : Starting R1 with no idle pc value. Stoppez le routeur 2, et entrez la ligne de commande: idlepc get R1. Vous obtenez dix valeurs d’idlepc, dont quelques unes précédées du symbole “*”. Prenez une valeur précédée de l’étoile, et copiez la à  la place de l’idlepc commenté dans le fichier de configuration .net. Fermez vos fenêtres dynagen, relancez le serveur, et réouvrez votre fichier de configuration avec dynagen. Vous avez maintenant un dynagen qui consomme moitié moins de ressources !

idlepc get R1

Changement de la valeur de l'idlepc dans le fichier de configuration

Baisse significative de l'utilisation CPU