Sommaire:

1. Introduction
2. Présentation d’IPv6
3. Méchanismes de transition IPv4 vers IPv6
   1. ISATAP
   2. TEREDO
   3. 6to4 Tunneling
4. Routage IPv6
5. Conclusion

I. Introduction

Le protocole de routage principalement utilisé aujourd’hui pour les communications Internet est le protocole IP (Internet Protocol). La version la plus utilisée du protocole IP est la version 4 (IPv4) et n’a fait l’objet d’aucune évolution majeure depuis la publication du document fondateur, la RFC 791. Le protocole IP dans sa version 4 s’est avéré assez robuste tout au long de l’essor de l’Internet. Cependant, un certain nombre de caractéristiques et d’évolutions n’ont pas été prises en compte, ce qui à conduit à la nécessité de l’élaboration d’un successeur au protocole IP actuel.

Parmi les évolutions actuelles mal considérées par IPv4, on peut citer :

• la croissance rapide de l’Internet qui conduit rapidement à un épuisement des adresses IPv4 disponibles L’IANA à distribué les derniers ranges IPv4 récemment, voir mon dernier article sur IPv6 (Graphiques).
  
• la multiplication des systèmes communiquant mobiles (PDAs, téléphones portables, …) ;
• l’essor de nouveaux services de diffusion multimédia (Vidéoconférence, VoD, … ).

Le successeur naturel aurait pu logiquement être IPv5, mais cette version a été attribuée à un protocole expérimental : ST (Internet Stream Protocol) qui n’a jamais atteint le grand public. Le successeur fut donc choisi sous le nom de IPv6, également appelé IPng (IP Next Generation).

Les détails techniques du protocole s’appuient sur la RFC suivante:  [RFC3513].

II. Présentation d’IPv6

La différence majeure entre IPv4 et IPv6 est la taille des paquets, 32 bits pour IPv4 contre 128 bits pour IPv6. Cette modification est liée à la pénurie actuelle d’adresses IPv4. IPv6 augmente le nombre d’adresses disponibles, soit 667 millions de milliards d’adresses IP disponibles par mm² de la surface de la Terre.

On peut également notter les améliorations suivantes:

• Des mécanismes de configuration et de renumérotation automatique.
• IPsec, QoS et le multicast font partie de la spécification d’IPv6, au lieu d’être des ajouts ultérieurs comme en IPv4.
• La simplification des en-têtes de paquets, qui facilite notamment le routage.

Composition d’une adresse IPv6

128bits, découpés en 8 octets dans sa forme canonique, soit 39 caractères: 1fff:0000:0a88:85a3:0000:0000:ac1f:8001.
Une grande série de 0 peuvent êtres remplacés une seule fois dans l’adresse par deux “semicolon” (::) ce qui donne 1fff:0000:0a88:85a3::ac1f:8001.
la notation décimale pointée est autorisée uniquement pour les 2 derniers blocs représentant les 32 derniers bits de l’adresse IPv6. Ainsi l’adresse ci-dessus est équivalente à 1fff:0000:0a88:85a3:0000:0000:172.31.128.1

Différence entre les entêtes (headers) IPv4 et IPv6

Pour commenter ce schéma, voici la description des éléments de l’entête (header) IPv6:

• Version (4 bits) Toujours à 06, il représente le numéro de version du protocole Internet.
• Traffic Class (8 bits) Définie la priorité du datagramme pour la QoS.
• Flow Label (20 bits) Utilisé par une source lorsqu’un traitement spécial de la part des routeurs IPv6 est demandé. (optionnel)
• Payload Length (16 bits) Longeur des données qui suivent l’entête IPv6 en octet
• Next Header (8 bits) entête ou protocole qui suit (Ex: 88 -010011000 - EIGRP)
• Hop Limit (8 bits) TTL (Time To Live) similaire à IPv4
• Source Address (128 bits) Adresse IP source
• Destination Address (128 bits) Adresse IP de destination

Les différents types d’adresses IPv6

• Unicast - Communication vers un hôte
• Multicast - Communication vers plusieurs hôtes
• Anycast - Une adresse Multicast destinée à un seul membre d’un groupe Multicast

Les ranges spécifiques d’adresses IPv6

Méchanismes de transition IPv4 vers IPv6

Pendant la période de transition (actuelle) entre IPv4 et IPv6, il est nécessaire de pouvoir utiliser, (et ce pendant encore très longtemps) les deux types d’adresses.

Voici les principales méthodes

• ISATAP - [RFC 4214]
• TEREDO - [RFC 4380]
  
• Nat-PT - [RFC 4966]
  
• 6to4 tunneling - [RFC 3142]

ISATAP

ISATAP définit un méthode pour générer un lien local IPv6 depuis une IPv4, et un mécanisme pour la découverte des voisins IPv4.

TEREDO

TEREDO définit une méthode permettant d’accéder à l’Internet IPv6 derrière un équipement réalisant du NAT. Il consiste à encapsuler les paquets IPv6 dans de l’UDP sur IPv4 entre le client et le relais Teredo, avec l’aide d’un serveur Teredo.

6to4 Tunneling

Encapsulation d’une adresse IPv6 dans un tunnel IPv4.

Fonctionnement

Suivons le chemin d’un paquet IPv6 depuis un hôte derrière R1 vers un hôte après R2. Le paquet commence normalement son chemin avec une source IPv6 et une destination IPv6. Ces adresses ne changent pas durant le parcours du paquet.

R1 reçois le paquet IPv6 et compare la destination IPv6 dans sa table de routage IPv6.

R1# show ipv6 route
IPv6 Routing Table - 7 entries
Codes: C - Connected, L - Local, S - Static, R - RIP, B - BGP
       U - Per-user Static route, M - MIPv6
       I1 - ISIS L1, I2 - ISIS L2, IA - ISIS interarea, IS - ISIS summary
       O - OSPF intra, OI - OSPF inter, OE1 - OSPF ext 1, OE2 - OSPF ext 2
       ON1 - OSPF NSSA ext 1, ON2 - OSPF NSSA ext 2
       D - EIGRP, EX - EIGRP external
C   2001:DB8:0:1::/64 [0/0]
     via ::, Loopback0
L   2001:DB8:0:1::1/128 [0/0]
     via ::, Loopback0
S   2001:DB8:0:2::/64 [1/0]
     via 2002:A00:201::
S   2001:DB8:0:3::/64 [1/0]
     via 2002:A00:301::
S   2002::/16 [1/0]
     via ::, Tunnel0
LC  2002:A00:101::/128 [0/0]
     via ::, Tunnel0
L   FF00::/8 [0/0]
     via ::, Null0

Le meilleur chemin est la route statique pour 2001:db8:0:2::/64, le prochain saut est 2002:a00:201::.

Cela force un recursive lookup pour 2002:a00:201::. La meilleure route est Tunnel0.

C’est ici que l’on commence à jouer avec du 6to4. Le paquet IPv6 est routé dans le tunnel 0, il est encapsulé dans un paquet IPv4. L’adresse IPv4 source est celle du tunnel. La destination est calculée en fonction de l’adresse de destination 2001:db8:0:2::/64; 2002:a00:201:: est convertie en 10.0.2.1.

Le paquet encapsulé est routé en IPv4 jusqu’à R2. Le header IPv4 est retiré quand il entre sur l’interface 10.0.2.1 de R2. Le paquet IPv6 qui reste est routé jusqu’à l’hôte B.

Cet exemple se base sur un routage statique, notez que les protocoles de routage (EIGRP, OSPFv3..) ne peuvent être utilisés au travers de tunnels 6to4 car les adresses IPv6 de type ‘link-local’ (requises pour former les adjacences) ne sont pas supportées. Seul BGP peut-être utilisé ici.

Malgré le réseau NBMA (Non Broadcast Multi Access), les tunnels 6to4 sont quand même des tunnels, ils requièrent chacun une interface IN et OUT en IPv6; elles ne peuvent pas être utilisées pour faire communiquer directement les hôtes IPv4 vers IPv6.

Voici quelques notes tirées de la RFC 4762, ainsi que des exemples appliqués à du matériel Juniper.

VPLS fournis de la connectivité entre deux clients géographiquement éloignés entre des MAN/WAN, comme s’ils étaient sur le même LAN.

Le but pour l’utilisateur final:
○ Connectivité entre les routeurs clients: routage LAN
○ Connectivité entre les switchs clients : commutation LAN

Le broadcast et le multicast sont disponibles.
Les sites qui font partis du même domaine de broadcast et qui sont connectés via MPLS peuvent utiliser le trafic broadcast, multicast et unicast sans problème.
Cela requiert l’apprentissage des adresses MAC, et la réplication des paquets multicast/broadcast..

Q-in-Q - 802.1ad - extension du 802.1q sur la partie provider
Qualified learning -mode d’apprentissage dans lequel chaque VLAN client est mappé à son instance VPLS.
Service delimiter - identificateur d’une instance client spécifique. Encodé dans le header des trames du client (ex:VLAN id)
Tagged Frame - Trame avec un tag 802.1q
Unqualified learning - Mode d’apprentissage ou tout les VLAN clients font partis d’une seule instance VPLS.
Untaged Frame - Trame sans tag 802.1q

Acronymes:
AC - Attachment Circuit
BPDU - Bridge Protocol Data Unit
CE - Customer Edge device
FEC - Forwarding Equivalence Class
FIB - Forwarding Information Base
GRE - Generic Routing Encapsulation
IPsec - IP security
L2TP - Layer Two Tunneling Protocol
LAN - Local Area Network
LDP - Label Distribution Protocol
MTU-s  - Multi-Tenant Unit switch
PE  - Provider Edge device
PW - Pseudowire
STP - Spanning Tree Protocol
VLAN - Virtual LAN
VLAN tag - VLAN Identifier

Modèle VPLS:

Une interface participant à VPLS doit être capable de flooder, transférer, et filtrer des trames Ethernet.
Les routeurs PE interconnectés via les pseudowires apparaissent comme un unique LAN émulé pour le client X.
Modèle topologique d’un VPLS pour le client X avec 3 sites géographiquement éloignés.

Ici nous allons voir des exemples utilisant du MPLS, mais ça marche aussi avec GRE, L2TP, IPsec.

L’accès à un site client peut être fait par:
• un port Ethernet physique
• un port Ethernet logique (taggé)
• un PVC ATM transportant des trames Ethernet..
• Un Pseudo-wire Ethernet

Le PE doit être capable de supporter le protocole LDP. Il doit aussi monter des tunnels de transports vers les autres PE.

Flooding & forwarding
Sur les services ethernet, les trames envoyés en broadcast sur une MAC inconnue sont floodées sur tous les ports.
L’ISP doit donc être capable de retransmettre ces trames aux autres PE participent à la même instance VPLS.

Pour transférer une trame, le PE doit être capable d’associer une MAC de destination à un PW. Les PE ne peuvent cependant pas retenir toute les associations de MAC possibles avec les PW..
mais ils doivent être capables d’apprendre les MAC dynamiquement et de retransmettre et répliquer les paquets au travers des AC et PW.

Address learning
Quand un paquet arrive sur le PW, si l’adresse MAC source est inconnue, il doit s’associer avec le PW, pour que les paquets sortants avec cette MAC soient associés au PW.
Pareil pour les AC.

Learning, filtering et forwarding requis quand un PW ou un AC change d’état.

Tunnel topology
les routeurs PE sont tous capables de monter des tunnels vers les autres PE.
Pour etre simple, la topologie VPLS est une full-mesh de PW..

Loop free VPLS
Si le VPLS n’est pas strictement Full-mesh, un PE devra probablement passer par un autre PE pour atteindre un PW, ce qui pourrait causer des boucles, il faudrait donc mettre en place un protocole anti boucle comme sTP.
Au lieu de ça, un full-mesh de PW est établi entre PE.

Discovery
Il est nécessaire de configurer les adresses des PE distants.
Ou alors d’utiliser la découverte automatique.

Fonctionnement du VPLS

Sur la figure suivante, nous pouvons voir un exemple de fonctionnement du VPLS.

Un VPLS à été établis entre PE1, PE2, et PE3.
Le VPLS interconnecte un client avec 4 sites aux labels A1, A2, A3, et A4 au travers de CE1, CE2, CE3, et CE4, respectivement.

Le VPLS est monté pour que PE1, PE2, et PE3 soit une full-mesh de PWs.
L’instance VPLS à un identificateur (AGI).
Ici PE1 signale le tag de PW 102 au PE2 et 103 au PE3,
et PE2 signale le tag de PW 201 à PE1 et 203 à PE3.

Si un paquet dans A1 est destiné à A2, quand il quitte CE1, avec une MAC source de M1 et une MAC destination M2.
Si PE1 ne connait pas la MAC M2, il va flooder le paquet et donc le transférer à PE2 et PE3.
Quand PE2 le reçoit, le paquet à un label 201, PE2 sait donc que la MAC M1 est derrière PE1.
Il peut donc associer la MAC M1 avec le label PW 102.

MAC address aging.

Les PE doivent avoir un mécanisme de limite d’âge pour supprimer les MAC non utilisée depuis trop longtemps.
Le compteur est reset à chaque fois qu’il reçoit un paquet avec la même MAC source.

Considérations de sécurité

• Data plane

• • L’isolation du trafic entre les domaines VPLS est guarantis par l’usage des tables FIB unique à chaque VPLS L2 et l’usage des PW unique par VPLS.
  • Le trafic client (les trames ethernet) est transporté tel quel sur le VPLS.
  • Si une sécurité est requise, le client doit encrypter ses données avant d’entrer sur le réseau VPLS.
  • Prévenir les tempêtes de broadcast en utilisant des routeurs comme CPE ou limiter le taux de broadcast max. que le client peut envoyer.
• Control plane
  • La sécurité LDP (authentication) doit être mise en place.
• DOS Attacks
  • Limiter le nombre d’adresses MAC apprises (par domaine VPLS) pour les PE.

Application à Juniper

Voici un exemple illustré d’une topologie VPLS:

Plusieurs composants:
Domaines VPLS
Un domaine VPLS est associé à un LAN client.
Pour fournir la connectivité VPLS, BGP construit un réseau full-mesh (LSP) entre toute les instances VPLS sur chaque PE.

Sur l’image ci-dessus, il y à deux domaines VPLS, VPLS A et B. Le VPLS A connecte les bureaux du client A entre Boston et Chicago.
Le VPLS B interconnecte le client B pour ses bureaux entre boston et chicago.

Equipements CE (Customer Edge)
Sur l’image, il y à 4 CE. Chacun d’eux est localisé sur les sites clients et participe à un ou plusieurs domaines VPLS.
Ici, les CE1 et CE3 sont membres du domaine VPLS A.
CE2 et CE4 sont membres du domaine VPLS B.
Chaque CE est directement connecté à un edge VPLS (interface Ethernet) mais ne fait pas tourner VPLS. Pour le CE, tout le réseau apparait comme un simple switch L2.

Equipements VPLS Edge (VE)
Dans une configuration VPLS, les routeurs E-series fonctionnement en tant que VPLS Edge (VE) = PE comme pour BGP/VPN;
Sur l’image ci-dessus, VE1 (local) et VE2 (remote). Chaque VE à une instance VPLS configurée pour chaque domaine VPLS. La topologie à donc 4 instances VPLS.
VPLS A et B sur VE1
VPLS A et B sur VE2

Chaque VE à deux types d’interfaces (ports) associés avec chaque instance VPLS.
L’interface coté CE est de type Ethernet // L’interface coté coeur est une interface virtuelle VPLS, automatiquement générée par le routeur pour chaque instance VPLS.
Le VE encapsule les trames etheernet des CE dans un paquet MPLS et les transmet à l’ISP (routeur P) - Ethernet layer 2 services over MPLS.

VPLS et bridging transparent

Une instance VPLS est analogue à un groupe de switchs (bridging transparent), et fonctionne de la même façon.
Un groupe de switch est une collection de switchs stackés en L2 pour former un unique domaine de broadcast.

Chaque domaine VPLS maintiens sa table de forwarding et filtres (MACs).
Exemples des tables de MAC pour les VE de la figue ci-dessus.

Table 13: VPLS Forwarding Table on VE 1 for VPLS A

Table 14: VPLS Forwarding Table on VE 1 for VPLS B

Table 15: VPLS Forwarding Table on VE 2 for VPLS A

Table 16: VPLS Forwarding Table on VE 2 for VPLS B

Configuration VPLS Juniper
Pour configurer un VE et fournir du VPLS:
1. Configurer une instance VPLS sur le VE pour chaque domaine VPLS du routeur.
2. (Optional) Configurer les attributs de chaque instance VPLS.
3. Configurer les interfaces réseau pour connecter le VE à chaque équipements CE.
4. (Optional) Configurer les règles pour les interfaces VPLS.
5. Configurer les chemins MPLS label-switched paths (LSPs) pour connecter les VE locaux et distants.
6. Mettre en place un signaling BGP sur l’AS pour signaler le fait que l’instance VPLS est joignable.

1. instances VPLS

! Configurer une instance VPLS “customer1″.
! En mode de configuration globale:

host1(config)#bridge customer1 vpls transport-virtual-router vr1

!Sppécifier le nombre maximum de sites clients qui participent à l’instance VPLS (Par défaut, au moins 1).

host1(config)#bridge customer1 vpls site-range 15

!Spécifier le nom et l’id du client pour l’instance VPLS.

host1(config)#bridge customer1 vpls site-name westford site-id 1

! Spécifier le route distinguisher (RD) pour l’instance VPLS.

host1(config)#bridge customer1 vpls rd 100:11

! Créer ou ajouter une route target pour importer/exporter la liste des VPN pour l’instance MPLS.

host1(config)#bridge customer1 vpls route-target both 100:1

! Commandes complètes

host1(config)#bridge customer1 vpls transport-virtual-router vr1
host1(config)#bridge customer1 vpls site-range 15
host1(config)#bridge customer1 vpls site-name westford site-id 1
host1(config)#bridge customer1 vpls rd 100:11
host1(config)#bridge customer1 vpls route-target both 100:1

2. Attributs optionnels pour les instances VPLS

3. Configurer les interfaces VPLS

! Configurer l’interface Gigabit Ethernet 3/0 et l’assigner à l’instance VPLS “customer1″ comme une interface trunk

!Depuis le mode de configuration globale, selectionner l’interface que vous voulez assigner à l’instance VPLS.

host1(config)#interface gigabitEthernet 3/0

!Depuis le mode de configuration d’interface, tapez la commande “bridge-group” pour assigner l’interface à une instance VPLS.

host1(config-if)#bridge-group customer1

!(Optionel) Configurer les attributs optionnels pour l’interface réseau. Une commande par attribut.

host1(config-if)#bridge-group customer1 subscriber-trunk
host1(config-if)#bridge-group customer1 learn 100
host1(config-if)#bridge-group customer1 snmp-trap link-status

4. Configurer les règes pour les interfaces VPLS
… optionnel

5. MPLS LSP

Dans la configuration VPLS, vous devez créer des (LSPs) pour connecter le VE local au VE distant.

! Activer MPLS sur le VE.

host1(config)#mpls

! Configurer l’interface loopback et lui assigner une adresse IP.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.3.3.3 255.255.255.255

! Activer MPLS sur l’interface loopback.

host1(config-if)#mpls

! Activer LDP et les topology-driven LSPs sur la loopback.

host1(config-if)#mpls ldp
host1(config-if)exit

6. BGP signaling
Pour configurer le signaling BGP pour VPLS sur le VE:

! Assigner le routeur ID.

host1(config)#ip router-id 10.3.3.3

! Activer BGP dans l’AS 100.

host1(config)#router bgp 100

! Configurer la session BGP VE-to-VE.

host1(config-router)#neighbor 10.4.4.4 remote-as 100
host1(config-router)#neighbor 10.4.4.4 update-source loopback 0
host1(config-router)#neighbor 10.4.4.4 next-hop-self

! Créer le L2VPN avec BGP signaling pour toutes les instances VPLS.

host1(config-router)#address-family l2vpn signaling

! Activer la session VE-to-VE dans la famille d’adresse L2VPN.

host1(config-router-af)#neighbor 10.4.4.4 activate
host1(config-router-af)#neighbor 10.4.4.4 next-hop-self
host1(config-router-af)#exit-address-family

! Créer le VPLS address family pour l’instance VPLS “customer1″.

host1(config-router)#address-family vpls customer1
host1(config-router-af)#exit-address-family

! Créer le VPLS address family pour l’instance VPLS “customer2″.

host1(config-router)#address-family vpls customer2
host1(config-router-af)#exit-address-family

! Exit

host1(config-router)#exit

Exemple de configuration sur une architecture réelle:

Topology Overview

La topologie inclus deux domaines VPLS, A et B.
Le VPLS A connecte le CE1, sur le site de boston du client A vers le CE3 sur le site de chicago.
Le VPLS B connecte le CE2, sur le site de boston du client B vers le CE4 sur le site de chicago.

Les routeurs E-series (VE1 et VE2) participent aux domaines VPLS A et B. Il y à 4 instances séparées, une pour chaque instance de VE. VPLSA et VPLSB.

Pour chaque instance, une interface Ethernet fournis une connexion au CE associé.
Chaque instance VPLS maintiens sa propre table de forwarding et de filtres pour apprendre la topologie, de façon identique à un LAN.. Comme discuté plus haut.

Vous devez configurer les MPLS LSPs pour connecter VE1 et VE2 au travers du provider (P). Et finalement vous devrez configurer BGP sur chacun des VE (1&2) pour fournir du signaling pour chaque domaine VPLS.

Après avoir configuré le bridging, MPLS, BGP, le routeur génère une interface VPLS virtuelle pour chaque instance. Elle représente les tunnels du VE local, au VE distant.

Configuration de VE 1 (VE local)

! Configure VPLS instance vplsA.

host1(config)#bridge vplsA vpls transport-virtual-router default
host1(config)#bridge vplsA vpls site-range 10
host1(config)#bridge vplsA vpls site-name boston site-id 1
host1(config)#bridge vplsA vpls rd 100:11
host1(config)#bridge vplsA vpls route-target both 100:1

! Configure VPLS instance vplsB.

host1(config)#bridge vplsB vpls transport-virtual-router default
host1(config)#bridge vplsB vpls site-range 20
host1(config)#bridge vplsB vpls site-name boston site-id 1
host1(config)#bridge vplsB vpls rd 100:12
host1(config)#bridge vplsB vpls route-target both 100:2

! Configure Fast Ethernet interface 3/0 between VE 1 and CE 1,
! and assign it to vplsA as a trunk interface.

host1(config)#interface fastEthernet 3/1
host1(config-if)#bridge-group vplsA subscriber-trunk
host1(config-if)#exit

! Configure bridged Ethernet interface 2/0.12 between VE 1 and CE 2,
! and assign it to vplsB as a trunk interface.

host1(config)#interface atm 2/0.12 point-to-point
host1(config-subif)#atm pvc 12 0 12 aal5snap 0 0 0
host1(config-subif)#encapsulation bridge1483 mac-address 0090.1a40.9991
host1(config-subif)#bridge-group vplsB subscriber-trunk
host1(config-if)#exit

! Enable MPLS on the default virtual router.

host1(config)#mpls

! Configure a loopback interface on VE 1 and assign it an IP address.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.1.1.1 255.255.255.255

! Enable MPLS, LDP, and topology-driven LSPs on the loopback interface.

host1(config-if)#mpls
host1(config-if)#mpls ldp
host1(config-if)exit

! Configure BGP signaling.

host1(config)#ip router-id 10.1.1.1
host1(config)#router bgp 100
host1(config-router)#neighbor 10.2.2.2 remote-as 100
host1(config-router)#neighbor 10.2.2.2 update-source loopback 0
host1(config-router)#neighbor 10.2.2.2 next-hop-self
host1(config-router)#address-family l2vpn signaling
host1(config-router-af)#neighbor 10.2.2.2 activate
host1(config-router-af)#neighbor 10.2.2.2 next-hop-self
host1(config-router-af)#exit-address-family
host1(config-router)#address-family vpls vplsA
host1(config-router-af)#exit-address-family
host1(config-router)#address-family vpls vplsB
host1(config-router-af)#exit-address-family
host1(config-router)#exit

Configuration on VE 2 (Remote VE Router)

! Configurer l’instance VPLS vplsA. La route target (100:1)
! matches la route target configurée pour vplsA sur VE 1.

host2(config)#bridge vplsA vpls transport-virtual-router default
host2(config)#bridge vplsA vpls site-range 10
host2(config)#bridge vplsA vpls site-name chicago site-id 2
host2(config)#bridge vplsA vpls rd 100:21
host2(config)#bridge vplsA vpls route-target both 100:1

! Configurer l’instance VPLS vplsB. Route target (100:2)
! matches la route target configurée pour vplsB sur VE 1.

host2(config)#bridge vplsB vpls transport-virtual-router default
host2(config)#bridge vplsB vpls site-range 20
host2(config)#bridge vplsB vpls site-name chicago site-id 2
host2(config)#bridge vplsB vpls rd 100:22
host2 (config)#bridge vplsB vpls route-target both 100:2

! Configurer l’interface FastEthernet 3/5 entre VE 2 et CE 3,
! and assign it to vplsA as a trunk interface.

host2(config)#interface fastEthernet 3/5
host2(config-if)#bridge-group vplsA subscriber-trunk
host2(config-if)#exit

! Configurer un interface bridged Ethernet 2/0.21 entre VE 2 et CE 4,
! et l’assigner au vplsB en tant que trunk

host2(config)#interface atm 2/0.21 point-to-point
host2(config-subif)#atm pvc 21 0 21 aal5snap 0 0 0
host2(config-subif)#encapsulation bridge1483 mac-address 0090.1a40.9992
host2(config-subif)#bridge-group vplsB subscriber-trunk
host2(config-if)#exit

! Activer MPLS sur le routeur Virtuel.

host1(config)#mpls

! Configurer la loopback sur VE2 et lui assigner son IP.

host1(config)#interface loopback 0
host1(config-if)#ip address 10.2.2.2 255.255.255.255

! Activer MPLS, LDP, et les topology-driven LSPs sur la loopback.

host1(config-if)#mpls
host1(config-if)#mpls ldp
host1(config-if)exit

! Configurer le BGP signaling.

host2(config)#ip router-id 10.2.2.2
host2(config)#router bgp 100
host2(config-router)#neighbor 10.1.1.1 remote-as 100
host2(config-router)#neighbor 10.1.1.1 update-source loopback 0
host2(config-router)#neighbor 10.1.1.1 next-hop-self
host2(config-router)#address-family l2vpn signaling
host2(config-router-af)#neighbor 10.1.1.1 activate
host2(config-router-af)#neighbor 10.1.1.1 next-hop-self
host2(config-router-af)#exit-address-family
host2(config-router)#address-family vpls vplsA
host2(config-router-af)#exit-address-family
host2(config-router)#address-family vpls vplsB
host2(config-router-af)#exit-address-family
host2(config-router)#exit

Fonctionnement
Avec un tunnel Q-in-Q, quand un paquet voyage d’un VLAN client à un VLAN ISP, l’ISP ajoute un tag 802.1q aux paquets. Ce tag permet au provider de différencier les VLANs. Le tag initial du client est conservé et retransmis au travers du réseau ISP.
Quand un paquet quitte le réseau ISP, le Tag 802.1q du réseau fournisseur est retiré.
Quand Q-in-Q est activé sur un Switch, les interfaces Trunk font partis de la partie du réseau ISP et les interfaces d’accèssont relatives au client. Une interface d’accès peut recevoir des trames tagguées ou non tagguées.

L’interface Trunk peut faire partis de plusieurs VLANs ISP.

On peut mapper un ou plusieurs clients sur un VLAN ISP, et on peut également ajouter une deuxième couche (tag) dans le réseau ISP.
On peut ensuite configurer de la QoS et des CoS.

Limitations:

• Pas d’IGMP Snooping
• Pas de port-security
• On ne peut désactiver l’apprentissage des MACs
• Pas de filtres/shaping/limiting per-VLAN based.
• Configuration (Exemple de configuration JunOS sur un Switch EX-series)

Voici la topologie utilisée:

Définir le VLAN ID pour le  S-VLAN:

[edit vlans]
user@switch#set      qinqvlan vlan-id 4001

Définir le Q-in-Q tunneling et spécifier les ranges de VLAN:

[edit vlans]
user@switch#set      qinqvlan dot1q-tunneling customer-vlans 1-100
user@switch#set      qinqvlan dot1q-tunneling customer-vlans 201-300

Définir le mode du port VLAN pour les interfaces :

[edit      interfaces]
user@switch#set      ge-0/0/0 unit 0 family ethernet-switching port-mode trunk
user@switch#set      ge-0/0/0 unit 0 family ethernet-switching vlan members 4001
user@switch#set      ge-0/0/12 unit 0 family ethernet-switching port-mode access
user@switch#set      ge-0/0/12 unit 0 family ethernet-switching vlan members 4001
user@switch#set      ge-0/0/13 unit 0 family ethernet-switching port-mode access
user@switch#set      ge-0/0/13 unit 0 family ethernet-switching vlan members 4001

Définir la valeure Q-in-Q de l’Ethertype* :

[edit]
user@switch#set ethernet-switching-options dot1q-tunneling  ether-type 0x9100

Format de la trame Ethernet V2

Description de l’EtherType : ou type de trame (2 octets)
Indique quel protocole est concerné par le message. La carte réalise un démultiplexage en fournissant les données au protocole concerné.
Les != types sont (en hexadécimal) définis par la RFC 1700.

• 8100—Specifies Ethertype value 0×8100, IEEE Standard 802.1q
• 88a8—Specifies Ethertype value 0×88a8, draft IEEE Standard 802.1ad
• 9100—Specifies Ethertype value 0×9100, défault Interface Configuration mode

Vérification

user@switch> show configuration vlans qinqvlan 
vlan-id 4001;
dot1q-tunneling {
 customer-vlans [ 1-100 201-300 ];
}

user@switch> show vlans qinqvlan extensive 
VLAN: qinqvlan, Created at: Tue Dec 28 19:12:29 2010
802.1Q Tag: 4001, Internal index: 4, Admin State: Enabled,
Origin: Static
Dot1q Tunneling status: Enabled
Customer VLAN ranges:
 1-100
 201-300
Protocol: Port Mode, Mac aging time: 300 seconds
Number of interfaces: Tagged 1 (Active = 1), Untagged 2
(Active = 0)
 ge-0/0/0.0*, tagged, trunk
 ge-0/0/12.0, untagged, access
 ge-0/0/13.0, untagged, access

SPAN à été créer à cause de la différence entre les hub et les switch. Quand un hub reçoit un paquet sur un port, il transfert une copie du paquet à tous les ports excepté le port source. Le switch, quand à lui, envoi les paquets qui sont destinés à une adresse MAC précise sur un port spécifique, il utilise pour cela sa table de correspondance de niveau 2, la “forwarding table“, qu’il remplis avec les adresses MAC des équipements directement connectés.

SPAN nous aide à capturer du trafic sur un switch, en écoutant avec un sniffer, comme si nous étions sur un Hub. En effet, si vous branchez un sniffer sur un switch, vous ne verrez passer aucun trafic qui ne vous est pas directement envoyé. Vous ne recevrez que les flux suivants:

• Broadcast
• Multicast
• Unicast unconnu (quand le switch ne connait pas l’adresse de destination, il flood tous les ports)

Pour recevoir tous les autre flux, il faut copier les paquets Unicast destinés aux ordinateurs connectés au switch et les transférer au sniffer.

Ci-dessous un exemple de mise en place du SPAN / Port-mirroring. Le client A envoi des paquets au client B, et tout est dupliqué et envoyé au sniffer.

Terminologie SPAN:

• Ingress traffic—Trafic entrant dans le switch.
• Egress traffic—Trafic sortant du switch.
• Source (SPAN) port — Ports monitorés par SPAN.
• Destination (SPAN) port — Port qui monitor des ports Source, avec un sniffer derrière en général.

Étapes de configuration:
Nous allons configurer les ports FastEthernet 0/1 et 0/2 en tant que source port et copier les paquets dans le destination port FastEthernet 0/24.

! interface destination
Switch(config)#interface fastethernet 0/24

! interfaces sources
Switch(config-if)#port monitor fastethernet 0/2
Switch(config-if)#port monitor fastethernet 0/5

A noter que les ports sources doivent êtres dans le même VLAN.
Nous pouvons maintenant vérifier notre configuration:

Switch#show port monitor
Monitor Port       Port Being Monitored
--------------------- ---------------------
FastEthernet0/24 FastEthernet0/1
FastEthernet0/24 FastEthernet0/2

Vous pouvez maintenant brancher votre sniffer préféré sur le port 24 et réceptionner les copies des trames destinées aux ports Fe0/1 et Fe0/2.

Étapes de configuration (2e méthode):
Ici le port source est le Fa0/2 et la destination, le port Fa0/24.

Switch(config)#monitor session 1 source interface Fa0/2
Switch(config)#monitor session 1 destination interface Fa0/24

Configuration plus poussée maintenant.

! on prend les paquets reçus sur Fa0/2
Switch(config)#monitor session 1 source interface Fa0/2 rx
! on prend les paquets envoyés depuis Fa0/3
Switch(config)#monitor session 1 source interface Fa0/3 tx
! on prend les paquets envoyés/reçus sur Fa0/4
Switch(config)#monitor session 1 source interface Fa0/4
! on exclu (filter) les vlan 5,6,7,8
Switch(config)#monitor session 1 filter vlan 5-8
! Destination Fa0/24
Switch(config)#monitor session 1 destination interface Fa0/24

Commande de vérification

Switch#show monitor session

Conclusion

SPAN peux être vraiment utile lors d’une période de troubleshooting de votre réseau, lorsque vous souhaitez connaitre le trafic qui circule sur certains ports de votre switch.
Attention néanmoins, il est préférable d’utiliser cette fonctionnalité en période de maquette d’un réseau. En effet, lorsque le SPAN est configuré, les paquets arrivant sur les ports source sont copiés en mémoire dans le switch puis transféré au destinataire, et au port SPAN de monitoring. Si le trafic est important, vous pourriez accélérer la congestion du port et donc provoquer un ralentissement sur votre réseau.

Le dot1x permet de sécuriser la couche 2 (Liaison de donnée) de votre réseau. Ainsi, n’importe quel utilisateur, interne ou non de votre entreprise serait obligé de s’authentifier avant de ne pouvoir faire quoi que soit sur le réseau, comme poser un serveur DHCP “pirate” par exemple… Mais bien sûr vous avez déjà configuré le DHCP Snooping !

Voici l’architecture que nous allons mettre en place:

• VLAN Utilisateurs 100
• VLAN Utilisateurs 200
• VLAN Administration 500
• 1 serveur Radius
• 1 switch L3 (Catalyst 3550)

Configuration du switch

Création des différents VLAN et de leurs plages d’IPs

vlan 2
  name QUARANTAINE
vlan 100
  name USERS1
vlan 200
  name USERS2
vlan 500
  name ADMINISTRATION

int vlan 2
  ip add 172.16.0.1 255.255.255.0
  no sh

int vlan 100
  ip add 192.168.0.1 255.255.255.0
  no sh

int vlan 200
  ip add 192.168.1.1 255.255.255.0
  no sh

On configure les pools DHCP pour les utilisateurs (le VLAN d’administration est laissé en statique pour cette maquette). Nous pourrions également installer un service DHCP sur le serveur (10.1.1.2), il faudrait alors ajouter la commande ip helper-address 10.1.1.2 dans les différentes interfaces VLAN afin de relayer les DHCP Discover vers le serveur. Mais voyons plutôt les commandes DHCP cisco !

ip dhcp pool users1
network 192.168.0.0 255.255.255.0
default-router 192.168.0.1

ip dhcp pool users2
network 192.168.1.0 255.255.255.0
default-router 192.168.1.1

ip dhcp pool quarantaine
network 172.16.0.1 255.255.255.0
default-router 172.16.0.1

On configure le nouveau modèle AAA, en indiquant que l’authentification se fera en 802.1x grâce au serveur radius.

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius

On indique l’adresse IP et la clé partagée de notre serveur radius

radius-server host 10.1.1.2 key maquette

On active le protocole 802.1x sur le switch

dot1x system-auth-control

Configuration des interfaces du switch en accès

int range f0/1-4
switchport mode access

On active le dot1x sur le port

dot1x port-control auto

Si l’authentification ne fonctionne pas, l’utilisateur sera positionné dans le VLAN 2 (QUARANTAINE)

dot1x guest-vlan 2

Topologie:

Configuration Dynagen:

###
# Vendor: Cisco
# Course: OSPF
# Version: 1.1
# Date: 16.03.2007
# Modified: 20.04.2009
###

autostart = True

[localhost:7200]
[[7200]]

[[ROUTER R1]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R1.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2002
# modules/slots
# cabling
S1/0 = R2 S1/0
F0/0 = S1 1

[[ROUTER R2]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R2.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2003
# modules/slots
# cabling
F0/0 = S1 3

[[ROUTER R3]]
image = c7200-adventerprisek9-mz.124-15.T6.bin
cnfg = R3.txt
npe = npe-400
ram = 160
nvram = 256
mmap = False
console = 2004
# modules/slots
# cabling
F0/0 = S1 5

[[ETHSW S1]]
1 = access 1
3 = access 1
5 = access 1

R1

no ip domain lookup
no ip http server
!
hostname R1
!
interface Loopback1
description Engineering Department
ip address 10.1.1.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.1 255.255.255.0
ip ospf cost 50
ip ospf priority 10
duplex auto
speed auto
!
interface Serial 1/0
ip address 10.1.100.1 255.255.255.0
clock rate 64000
!
end

R2

no ip domain lookup
no ip http server
!
hostname R2
!
interface Loopback2
description Marketing Department
ip address 10.1.2.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.2 255.255.255.0
ip ospf priority 5
!
interface Serial 1/0
ip address 10.1.100.2 255.255.255.0
!
end

R3

no ip domain lookup
no ip http server
!
hostname R3
!
interface Loopback3
description Accounting Department
ip address 10.1.3.1 255.255.255.0
!
interface FastEthernet0/0
ip address 10.1.200.3 255.255.255.0
!
end

On commence par activer OSPF sur nos 3 routeurs:
R1

(config)#router ospf 1
(config-router)#network 10.1.1.0 0.0.0.255 area 0
(config-router)#network 10.1.100.0 0.0.0.255 area 0
(config-router)#network 10.1.200.1 0.0.0.0 area 0

R2

(config)#router ospf 1
(config-router)#network 10.1.2.0 0.0.0.255 area 0
(config-router)#network 10.1.100.0 0.0.0.255 area 0
(config-router)#network 10.1.200.0 0.0.0.255 area 0

R3

(config)#router ospf 1
(config-router)#network 10.1.3.0 0.0.0.255 area 0
(config-router)#network 10.1.200.0 0.0.0.255 area 0

Lorsqu’on shut/no shut une interface, et en appliquant un “debug ip ospf adjacency” on retrouve bien les différentes étapes
qu’un routeur suit pour former une adjacence (DOWN, INIT, 2 WAY, MASTER/SLAVE, EXSTART…).

R2(config)#int s1/0
R2(config-if)#sh
R2(config-if)#no sh

R1#deb ip ospf adj
OSPF adjacency events debugging is on
R1#
!interface shutted
*Jan 25 17:42:59.995: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 76 LSA count 1

!interface unshutted
*Jan 25 17:43:09.583: OSPF: Cannot see ourself in hello from 10.1.2.1 on Serial1/0, state INIT
*Jan 25 17:43:09.715: OSPF: 2 Way Communication to 10.1.2.1 on Serial1/0, state2WAY
*Jan 25 17:43:09.719: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1339 opt 0x52 flag 0x7 len 32
*Jan 25 17:43:09.723: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x118F opt 0x52 flag 0x7 len 32  mtu 1500 state EXSTART
*Jan 25 17:43:09.723: OSPF: NBR Negotiation Done. We are the SLAVE
*Jan 25 17:43:09.727: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x118F opt 0x52 flag 0x2 len 112
*Jan 25 17:43:09.891: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x1190 opt 0x52 flag 0x3 len 112  mtu 1500 state EXCHANGE
*Jan 25 17:43:09.895: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1190 opt 0x52 flag 0x0 len 32
*Jan 25 17:43:10.019: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 88 LSA count 1
*Jan 25 17:43:10.027: OSPF: Rcv LS UPD from 10.1.2.1 on Serial1/0 length 88 LSAcount 1
*Jan 25 17:43:10.031: OSPF: Rcv DBD from 10.1.2.1 on Serial1/0 seq 0x1191 opt 0x52 flag 0x1 len 32  mtu 1500 state EXCHANGE
*Jan 25 17:43:10.035: OSPF: Exchange Done with 10.1.2.1 on Serial1/0
*Jan 25 17:43:10.035: OSPF: Synchronized with 10.1.2.1 on Serial1/0, state FULL
*Jan 25 17:43:10.039: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on Serial1/0 fromLOADING to FULL, Loading Done
*Jan 25 17:43:10.043: OSPF: Send DBD to 10.1.2.1 on Serial1/0 seq 0x1191 opt 0x52 flag 0x0 len 32
*Jan 25 17:43:14.859: OSPF: Rcv LS UPD from 10.1.2.1 on FastEthernet0/0 length 100 LSA count 1
*Jan 25 17:43:14.867: OSPF: Rcv LS UPD from 10.1.2.1 on Serial1/0 length 100 LSA count 1

Commandes utiles:

R1#sh ip protocol
Routing Protocol is "ospf 1"
  Outgoing update filter list for all interfaces is not set
  Incoming update filter list for all interfaces is not set
  Router ID 10.1.1.1
  Number of areas in this router is 1. 1 normal 0 stub 0 nssa
  Maximum path: 4
  Routing for Networks:
    10.1.1.0 0.0.0.255 area 0
    10.1.100.0 0.0.0.255 area 0
    10.1.200.1 0.0.0.0 area 0
 Reference bandwidth unit is 100 mbps
  Routing Information Sources:
    Gateway         Distance      Last Update
    10.1.2.1             110      00:08:28
    10.1.3.1             110      00:08:28
    10.1.1.1             110      00:08:28
  Distance: (default is 110)

R1#sh ip ospf
 Routing Process "ospf 1" with ID 10.1.1.1
 Start time: 00:00:18.272, Time elapsed: 00:10:07.864
 Supports only single TOS(TOS0) routes
 Supports opaque LSA
 Supports Link-local Signaling (LLS)
 Supports area transit capability
 Router is not originating router-LSAs with maximum metric
 Initial SPF schedule delay 5000 msecs
 Minimum hold time between two consecutive SPFs 10000 msecs
 Maximum wait time between two consecutive SPFs 10000 msecs
 Incremental-SPF disabled
 Minimum LSA interval 5 secs
 Minimum LSA arrival 1000 msecs
 LSA group pacing timer 240 secs
 Interface flood pacing timer 33 msecs
 Retransmission pacing timer 66 msecs
 Number of external LSA 0. Checksum Sum 0x000000
 Number of opaque AS LSA 0. Checksum Sum 0x000000
 Number of DCbitless external and opaque AS LSA 0
 Number of DoNotAge external and opaque AS LSA 0
 Number of areas in this router is 1. 1 normal 0 stub 0 nssa
 Number of areas transit capable is 0
 External flood list length 0
 IETF NSF helper support enabled
 Cisco NSF helper support enabled
    Area BACKBONE(0)
        Number of interfaces in this area is 3
        Area has no authentication
        SPF algorithm last executed 00:06:39.804 ago
        SPF algorithm executed 5 times
        Area ranges are
        Number of LSA 4. Checksum Sum 0x023A86
        Number of opaque link LSA 0. Checksum Sum 0x000000
        Number of DCbitless LSA 0
        Number of indication LSA 0
        Number of DoNotAge LSA 0
        Flood list length 0

R1#sh ip ospf neighbor
Neighbor ID     Pri   State           Dead Time   Address         Interface
10.1.2.1          5   FULL/BDR        00:00:37    10.1.200.2      FastEthernet0/0
10.1.3.1          1   FULL/DROTHER    00:00:37    10.1.200.3      FastEthernet0/0
10.1.2.1          0   FULL/  -        00:00:39    10.1.100.2      Serial1/0

R1#show ip ospf interface FastEthernet 0/0
FastEthernet0/0 is up, line protocol is up
  Internet Address 10.1.200.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type BROADCAST, Cost: 50
  Transmit Delay is 1 sec, State DR, Priority 10
  Designated Router (ID) 10.1.1.1, Interface address 10.1.200.1
  Backup Designated router (ID) 10.1.2.1, Interface address 10.1.200.2
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:06
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 3/3, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 0, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 2, Adjacent neighbor count is 2
    Adjacent with neighbor 10.1.2.1  (Backup Designated Router)
    Adjacent with neighbor 10.1.3.1
  Suppress hello for 0 neighbor(s)

R1#sh ip ospf database

            OSPF Router with ID (10.1.1.1) (Process ID 1)

                Router Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum Link count
10.1.1.1        10.1.1.1        665         0x80000004 0x00820F 4
10.1.2.1        10.1.2.1        515         0x80000005 0x003984 4
10.1.3.1        10.1.3.1        666         0x80000002 0x0090B8 2

                Net Link States (Area 0)

Link ID         ADV Router      Age         Seq#       Checksum
10.1.200.1      10.1.1.1        669         0x80000001 0x00EE3B

Interface Loopback

L’interface loopback permet de stabiliser OSPF, et donc d’éviter les bagots (flapping) d’interfaces. Cela représent également l’ID du routeur, qui peut servir lors de l’élection de DR/BDR si le router-id ou la priorité n’est pas définie.

R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
O 10.1.2.1/32 [110/2] via 10.1.200.2, 00:00:03, FastEthernet0/0
O 10.1.3.1/32 [110/2] via 10.1.200.3, 00:00:03, FastEthernet0/0
C 10.1.1.0/24 is directly connected, Loopback1
C 10.1.100.0/24 is directly connected, Serial1/0
C 10.1.200.0/24 is directly connected, FastEthernet0/0

On peut voir les loopback des routeurs, mais leurs subnet est faux (/32), car le type de réseau par défaut annonce les loopback en /32.
Pour remédier à cela, il faut ajouter la commande ip ospf network point-to-point.

R1(config)# interface loopback1
R1(config-if)# ip ospf network point-to-point
R2(config)# interface loopback2
R2(config-if)# ip ospf network point-to-point
R3(config)# interface loopback3
R3(config-if)# ip ospf network point-to-point

R1# show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
E1 - OSPF external type 1, E2 - OSPF external type 2
i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
ia - IS-IS inter area, * - candidate default, U - per-user static route
o - ODR, P - periodic downloaded static route
Gateway of last resort is not set
10.0.0.0/24 is subnetted, 5 subnets
O 10.1.3.0 [110/2] via 10.1.200.3, 00:00:01, FastEthernet0/0
O 10.1.2.0 [110/2] via 10.1.200.2, 00:00:01, FastEthernet0/0
C 10.1.1.0 is directly connected, Loopback1
C 10.1.100.0 is directly connected, Serial1/0
C 10.1.200.0 is directly connected, FastEthernet0/0

Priorité des interfaces

On change la priorité des interfaces suivantes:

R1(config)# interface fastEthernet 0/0
R1(config-if)# ip ospf priority 10
R2(config)# interface fastEthernet 0/0
R2(config-if)# ip ospf priority 5

On peut vérifier le changement avec la commande show ip ospf neighbor detail:

R1#sh ip ospf neighbor detail
 Neighbor 10.1.2.1, interface address 10.1.200.2
    In the area 0 via interface FastEthernet0/0
    Neighbor priority is 5, State is FULL, 6 state changes
    DR is 10.1.200.1 BDR is 10.1.200.2
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:18:19
    Index 2/2, retransmission queue length 0, number of retransmission 0
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 0, maximum is 0
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.1.3.1, interface address 10.1.200.3
    In the area 0 via interface FastEthernet0/0
    Neighbor priority is 1, State is FULL, 6 state changes
    DR is 10.1.200.1 BDR is 10.1.200.2
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:18:19
    Index 1/1, retransmission queue length 0, number of retransmission 1
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec
 Neighbor 10.1.2.1, interface address 10.1.100.2
    In the area 0 via interface Serial1/0
    Neighbor priority is 0, State is FULL, 12 state changes
    DR is 0.0.0.0 BDR is 0.0.0.0
    Options is 0x52
    LLS Options is 0x1 (LR)
    Dead timer due in 00:00:39
    Neighbor is up for 00:15:50
    Index 3/3, retransmission queue length 0, number of retransmission 2
    First 0x0(0)/0x0(0) Next 0x0(0)/0x0(0)
    Last retransmission scan length is 1, maximum is 1
    Last retransmission scan time is 0 msec, maximum is 0 msec

Pour forcer la réelection de DR/BDR, on peut utiliser la commande clear ip ospf process

R1#clear ip ospf process
Reset ALL OSPF processes? [no]: yes
R1#
*Jan 25 18:02:27.423: OSPF: Interface FastEthernet0/0 going Down
*Jan 25 18:02:27.423: OSPF: 10.1.1.1 address 10.1.200.1 on FastEthernet0/0 is dead, state DOWN
*Jan 25 18:02:27.427: OSPF: Neighbor change Event on interface FastEthernet0/0
*Jan 25 18:02:27.431: OSPF: DR/BDR election on FastEthernet0/0
*Jan 25 18:02:27.431: OSPF: Elect BDR 10.1.2.1
*Jan 25 18:02:27.435: OSPF: Elect DR 10.1.2.1
*Jan 25 18:02:27.435: OSPF: Elect BDR 10.1.2.1
*Jan 25 18:02:27.439: OSPF: Elect DR 10.1.2.1
*Jan 25 18:02:27.439:        DR: 10.1.2.1 (Id)   BDR: 10.1.2.1 (Id)
*Jan 25 18:02:27.439: OSPF: Reset adjacency with 10.1.3.1 on FastEthernet0/0, state 2WAY
*Jan 25 18:02:27.439: OSPF: Flush network LSA immediately
*Jan 25 18:02:27.439: OSPF: Remember old DR 10.1.1.1 (id)
*Jan 25 18:02:27.439: OSPF: 10.1.2.1 address 10.1.200.2 on FastEthernet0/0 is dead, state DOWN
*Jan 25 18:02:27.439: %OSPF-5-ADJCHG: Process 1, Nbr 10.1.2.1 on FastEthernet0/0 from FULL to DOWN,
Neighbor Down: Interface down or detached
*Jan 25 18:02:27.439: OSPF: Neighbor change Event on interface FastEthernet0/0
*Jan 25 18:02:27.439: OSPF: DR/BDR election on FastEthernet0/0
*Jan 25 18:02:27.439: OSPF: Elect BDR 10.1.3.1
*Jan 25 18:02:27.439: OSPF: Elect DR 10.1.3.1
*Jan 25 18:02:27.439:        DR: 10.1.3.1 (Id)   BDR: 10.1.3.1 (Id)
[....]

Changement de topologie

Si nous désactivons l’interface F0/0 sur R1, OSPF va recalculer ses routes et passer par R2, et l’interface Série.

R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#sh

!Avant le shut de F0/0
R3#traceroute 10.1.1.1

Type escape sequence to abort.
Tracing the route to 10.1.1.1

  1 10.1.200.1 180 msec *  132 msec

!Pendant le shut de F0/0
R3#ping 10.1.1.1 rep 50

Type escape sequence to abort.
Sending 50, 100-byte ICMP Echos to 10.1.1.1, timeout is 2 seconds:
!!!!!!!!!!!!!!!!!!!!!!!!...!!!!!!!!!!!!!!!!!!!!!!!
Success rate is 94 percent (47/50), round-trip min/avg/max = 24/163/356 ms

!Après le shut de F0/0
R3#traceroute 10.1.1.1

Type escape sequence to abort.
Tracing the route to 10.1.1.1

  1 10.1.200.2 296 msec 168 msec 100 msec
  2 10.1.100.1 144 msec *  176 msec

OSPF Authentication

Plain-text

R1(config)# interface serial 1/0
R1(config-if)# ip ospf authentication
R1(config-if)# ip ospf authentication-key cisco

R2(config)# interface serial 1/0
R2(config-if)# ip ospf authentication
R2(config-if)# ip ospf authentication-key cisco

R1#sh ip ospf interface s1/0
*Jan 25 18:25:34.731: %SYS-5-CONFIG_I: Configured from console by console
Serial1/0 is up, line protocol is up
  Internet Address 10.1.100.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:01
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 10.1.2.1
  Suppress hello for 0 neighbor(s)
  Simple password authentication enabled

MD5

R1(config)# interface serial 1/0
R1(config-if)# ip ospf authentication message-digest
R1(config-if)# ip ospf message-digest-key 1 md5 cisco

R2(config)# interface serial 1/0
R2(config-if)# ip ospf authentication message-digest
R2(config-if)# ip ospf message-digest-key 1 md5 cisco

R1#sh ip ospf interface s1/0
Serial1/0 is up, line protocol is up
  Internet Address 10.1.100.1/24, Area 0
  Process ID 1, Router ID 10.1.1.1, Network Type POINT_TO_POINT, Cost: 64
  Transmit Delay is 1 sec, State POINT_TO_POINT
  Timer intervals configured, Hello 10, Dead 40, Wait 40, Retransmit 5
    oob-resync timeout 40
    Hello due in 00:00:05
  Supports Link-local Signaling (LLS)
  Cisco NSF helper support enabled
  IETF NSF helper support enabled
  Index 2/2, flood queue length 0
  Next 0x0(0)/0x0(0)
  Last flood scan length is 1, maximum is 1
  Last flood scan time is 4 msec, maximum is 4 msec
  Neighbor Count is 1, Adjacent neighbor count is 1
    Adjacent with neighbor 10.1.2.1
  Suppress hello for 0 neighbor(s)
  Message digest authentication enabled
    Youngest key id is 1

Les informations dans l’aire 10 passent par une aire intermédiaire (Area 3).
L’ABR à une connection directe vers:

• Aire 0
• Son aire (Aire 10)
• L’aire traversée (Aire 3)

Les liens virtuels ne sont pas recommandés, et ne doivent servir qu’en cas de solution temporaire car ils peuvent causer certains problèmes, dont l’adressage IP.

Configuration d’un lien Virtuel

Voici comment configurer les routeurs A et M afin de créer un lien virtuel pour relier l’aire 10 au Backbone (aire 0):

A(config)#interface Loopback 0
A(config-if)#ip address 10.10.10.30 255.255.255.255
A(config)#router ospf 100
A(config)#area 3 virtual-link 10.10.10.33

M(config)#interface Loopback 0
M(config-if)#ip address 10.10.10.33 255.255.255.255
M(config)#router ospf 100
M(config)#area 3 virtual-link 10.10.10.30

Il existe différents éléments que nous retrouverons tout au long de cet article sur les Aires OSPF:

• Internal Router - Maintiens une base de LSA, toutes ses interface sont dans la même aire.
• Backbone Router - Routeur situé dans l’Aire 0 (Backbone)
• ABR (Area Border Router) - Interconnecte 2 aires
• ASBR (Autonomous System Border Router) - Connecte aux autres domaines de routages

Les différents types de LSA:

• Type 1 - Router Link LSA - Liste des voisins et leurs coûts. Base pour la sélection SPF.
• Type 2 - Network Link LSA - Généré par le DR - Liste ses routeurs adjacents. Base pour la sélection SPF.
• Type 3 - Network Summary Link LSA - Généré par les ABR entre les Area.
• Type 4 - AS External ASBR Summary Link LSA - Généré par les ASBR pour avertir de leurs présence.
• Type 5 - External Link LSA - Depuis l’ASBR vers l’AS. Désigne une route externe à OSPF.
• Type 7 - NSSA External LSA - Généré par un ASBR dans une NSSA (Not-So-Stubby-Area) pour remplacer les LSA type 5.

Les LSA de type 1 et 2 sont présents dans toute les aires, les autres LSA dépendent des types d’aires.

Voici les différents type d’aires:

• Backbone - (Area 0) Aire à laquelle toutes les autres sont reliées.
• Standard area - Chaque routeur connait les préférés dans l’aire. Ils ont tous la même base topologique.
• Stub area - Area qui n’accepte pas les LSA Type 5 (Summary). Remplacés par une route par défaut. Cela protège les routeurs afin qu’ils n’aient pas trop d’informations sur les routes extérieurs.
• Totally stubby area - N’accepte pas les LSR des autres aires. Les LSR de type 3,4,5 sont remplacés par une route par défaut (Propriétaire CISCO).
• NSSA (Not-So-Stubby-Area) - Utilise les LSR de type 7.

Standard Area

Les LSA de type 1 et 2 sont floodés dans chaque aires. Ces LSA construisent un arbre SPF unique à chaque aire. Les LSA de type 3 et 5 décrivent des routes internes et externes, et sont floodées entre le backbone et les standard Area. Les routes externes sont générées par l’ASBR, et les routes internes peuvent être générés par un routeur OSPF. Les LSA de type 4 sont injectés dans l’aire de Backbone par une area qui contient un ASBR, afin que tous les autres routeurs puissent joindre l’ASBR.

Les aires standard fonctionnent bien, mais parfois, une aire n’a pas besoin d’avoir une vue totale sur le réseau, c’est pourquoi il existe les aires de stub, dans lequelle on bloque intentionnellement certaines LSA, elles ont donc moins d’informations sur le réseau.

Stub Area

Dans une zone de stub, au lieu de propager des routes externes dans l’aire, l’ABR injecte des LSA de type 3 et une route par défaut dans la zone de stub. Les routeurs dans la zone de stub pourront router le trafic vers des destinations externes sans avoir à maintenir plusieurs routes différentes. Les tables de routages des routeurs internes aux zones de stub sont donc réduites par rapport a une zone standard.

Tous les ABR autours d’une zone de stub doivent être configurés comme ceci:

Router(config-router)# area 10 stub

Totally stubby area

Comme les zones de stub, les aires totally-stubby ne reçoivent pas de LSA 4 et 5 par leurs ABR. Mais ils ne recoivent pas non plus de LSA de type 3. Tous le routage se repose sur une seule route par défaut injectée par l’ABR.

Tous les ABR autours d’une zone Totally-stubby doivent être configurés comme ceci:

Router(config-router)# area 10 stub no-summary

Les zones de stub, et totally-stubby sont pratiques pour réduire les ressources mémoires et CPU de leurs routeurs quand  le réseau ne requiert pas de routage particulier.

Not-so-stubby area (NSSA)

Une aire NSSA, utilise les LSA de type 7 qui seront remplacés par des LSA de type 5 (par l’ABR) dans l’aire de Backbone. Un ASBR peut donc annoncer des liens externes à l’ABR qui seront floodés dans l’aire de backbone.
Une zone NSSA peut fonctionner comme une zone de stub ou totally stubby.
Pour configurer une zone NSSA Normale:

Router(config-router)# area 10 nssa

Les LSA de type 3 passent entre les aires par défaut car les ABR n’injectent pas de route par défaut dans une zone NSSA sans commande explicite.
Voici la commande pour injecter une route par défaut vers les destinations externes:

Router(config-router)# area 10 nssa default-information-originate

Pour étendre une zone NSSA comme une zone Totally-stubby, en éliminant les LSA de type 3, tous les ABR doivent avoir la commande suivante:

Router(config-router)# area 10 nssa no-summary

L’ABR d’une zone “totally stubby NSSA” (ou not-so-totally-stubby area) injecte une route par défaut dans l’aire sans plus de configuration.

Conclusion

• Standard areas - LSA de type 1, 2, 3, 4, et 5 + ASBR. Le backbone fonctionne comme une aire standard.
• Stub areas - LSA type 1, 2, et 3. Une route par défaut remplace les routes externes.
• Totally stubby areas - LSA type 1 and 2, et une LSA de type 3. Les type 3 injectent une route par défaut représentant toute les routes externes ou inter-area.
• Not-so-stubby areas - Implémente les aires de stub ou totally stubby mais avec un ASBR. Les LSA de type 7, sont convertis en Type 5 par l’ABR vers le Backbone.

• Broadcast multiaccess
• Point-to-point
• Point-to-multipoint
• NBMA (Non-broadcast multiaccess)

Point-to-point

Le réseau le plus simple, un lien entre deux routeurs.

Broadcast

Les réseaux broadcast sont des réseaux “MultiAccess”, c’est à dire que le segment contient plusieurs end-points . Voici ci-dessous un exemple de segment Ethernet.

Les réseaux Ethernet supportent le Broadcast, un paquet transmit par un équipement peut être multiplié grâce ici à un switch et tous les end-points qui reçoivent une copie de ce paquet. Avantageux sur la bande passante, et facilite la découverte de voisins. (Les routeurs OSPF annoncent sur l’adresse broadcast 224.0.0.5)

Les routeurs OSPF dans un réseau Broadcast élisent un DR (Designated Router) et un BDR (Backup Designated Router).

Configuration du réseau OSPF Broadcast

Router(config)#interface FastEthernet 0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#ip ospf network broadcast

Router(config)#router ospf 1
Router(config-router)#network 10.1.1.0 0.0.0.255 area 0

Non Broadcast

Toutes les technologies ne supportent pas la transmission Broadcast. (Frame Relay et ATM par exemple). Ces réseaux requièrent des PVC (Permanent virtual Circuits) configurés entre les end-points.

Configuration du réseau OSPF NonBroadcast

Router(config)#interface Serial0
Router(config-if)#ip address 10.1.1.1 255.255.255.0
Router(config-if)#encapsulation frame-relay

Router(config)#router ospf 1
Router(config-router)#network 10.1.1.0 0.0.0.255 area 0
Router(config-router)#neighbor 10.1.1.2
Router(config-router)#neighbor 10.1.1.3
Router(config-router)#neighbor 10.1.1.4

Non-Broadcast Multi-Access (NBMA)

Un segment NBMA émule la fonction de réseau Broadcast. Chaque routeur sur chaque segment doit être configuré avec les adresses IP de tous ses voisins.
Comme dans un vrai réseau Broadcast, un DR et un BDR sont élus pour limiter le nombre d’adjacences.

Point-to-Multipoint

Les réseaux Point-to-multipoint gère les limitation des réseaux non-broadcast différemment des réseaux NBMA. Plutôt que d’émuler le broadcast, Ils organisent les PVCs en plusieurs réseaux Point-to-Point. Il n’y à donc pas d’élection de DR/BDR.

OSPF est un protocole de routage à état de liens (Link-state routing protocol). Il utilise l’algorithme SPF (Shortest Path First) de Dijkstra. Les protocoles à états de liens possèdent plus d’infos et ont une vue globale de la topologie. Cela réduit le traffic réseau (plus besoin d’autant d’update), mais nécessitent plus de mémoire pour le stockage de la topologie et de CPU pour le calcul des routes.

OSPF est:

• Classless - permet la summarization
• Convergence rapide
• Standard ouvert - Peut intéragir dans des environnements hétérogènes.
• Présèrve la bande passante
• Multicast (plutôt que broadcast)
• Updates incrémentaux
• Utilise le coût comme métrique

Protocol

Paquets

• HELLO - Etablie la communication avec les voisins
• DBD (Database description) - Envoi une liste d’ID en tant que LSA. Compare les infos du réseau.
• LSR (Link State Request) - Suis les DBD pour les LSA manquants
• LSU (Link State Update) - Suis un LSR avec des données
• LSAck (Link State Acknowledgment) - Confirme réception d’un LSR

Les routeurs à état de liens annoncent une liste de connections. Quand un lien deviens UP ou DOWN, un LSA (Link State Advertisement) est généré. Les LSA sont échangés entre voisins et une base topologique LSDB (Link-state Database) ou table topologique est créée. Chaque routeur process ça table topologique avec l’algorithme SPF et place les meilleurs routes vers les différents réseaux dans sa table de routage.

Voisinage et adjacences

Les routeurs envoient les changements en multicast sur l’adresse 224.0.0.5,  puis les routeurs échangent leurs tables de routages respectives.
Les Hello sont envoyés toutes les :

• 10 secondes - Sur un lien Broadcast
• 30 secondes - Sur un lien non-Broadcast

Contenu d’un Paquet HELLO:

• Router ID (32 bit)
• HELLO et Dead Intervalle
• Neighbor List
• Area ID
• Priority (Le plus grand sera le DR)
• DR/BDR (adresses IP)
• Authentification (Password)
• Stub area flag (si nous sommes dans une zone de stub)

Voici un schéma qui montre les échanges entre routeurs et les différentes phases d’initialisations:

Après ces échanges, les LSA sont envoyés à 30 minutes d’intervalle, ou lors d’un changement d’état topologique.

Métrique

Cost = 100 000 000 bps / LinkSpeed

100 Mb par défaut, mais peut être modifié ultérieurement.

Designated Router & Backup Designated Router

• DR - Designated Router : Maintiens les adjacences du segment. Il est sélectionné grâce aux informations contenues dans les HELLO.
• BDR - Backup Designated Router : Backup du DR

Les DR sont créées sur des liens MultiAccess car le nombre d’adjacences augmente.
Pour un réseau de n routeurs, le nombre d’adjacences requises devrait être:

Adjacences =  n(n-1) / 2

Adjacences en fonction des topologies:

Le DR reçoit les updates, et les renvoi aux routeurs du segment. Il s’assure de la bonne réception des LSA et de la bonne synchronisation des LSDB. Les routeurs envoient les changements sur 224.0.0.6 (AllDR). Le DR envoi les LSA sur 224.0.0.5, puis chaque routeur ACKnowledge.
Le BDR écoute passivement et maintiens des relations avec tous les routeurs. Si le DR n’envoi pas de HELLO, le BDR se promu automatiquement et assume le rôle de DR.
Usefull sur les liens Multiaccess car les DR et BDR réduisent les adjacences (voir le schéma ci-dessus). il ne sont pas utilisés sur les Liens Point-to-point.

Election de DR / BDR
Pour élire un DR, chaque routeur se voit attribuer un ID, qui sera soit la priorité, soit l’adresse IP de Loopback.

• Priorité de 1 = Défault
• Priorité de 0 = Aucune élection possible

Le DR est le routeur avec la priorité la plus grande. La priorité est entre 1 et 255.

Commande:

router(config-if)#ip ospf priority number

Forcer un élection de DR:

• Reboot du routeur
• clear ip ospf process 1

Configuration OSPF (Single Area)

Required:

• OSPF Process
• Interfaces qui participent au process
• Area
• Router ID

! Activation d'OSPF
Router(config)#router ospf process-number

! Interfaces/réseaux participant au routage OSPF
Router(config-router)#network ip wildcard-mask area number

Router ID et Interface Loopback
L’ID permet la stabilité d’OSPF, donc moins de bagots des interfaces physiques d’OSPF.
Voici les deux façons de configurer un ID:

Router(config)#router ospf process-number
Router(config-router)#router-id ip-address

ou

Router(config)#interface loopback number
Router(config-if)#ip address ip-address subnet-mask

Changer le cout par défaut
Par défaut, le cout est à 100Mb, mais voici comment le changer:

Router(config-if)#ip ospf cost value number (1 < 65 535)

On peut également changer le numérateur de calcul automatique, la valeur par défaut est 100, mais voici comment le changer:

Router(config-router)#ospf auto-cost reference-bandwidth number (1 < 4 294 967)

ATTENTION: Si on change le numérateur à un endroit, il faut le changer dans toute l’aire OSPF.

Vérifier la configuration OSPF

• show ip ospf
• show ip ospf database
• show ip ospf interface
• show ip ospf neighbor
• show ip protocols
• show ip route

Debugs

• debug ip ospf events
• debug ip packet