Je n'ai malheureusement pas de bonnes solutions à proposer .... Je vais vous expliquer pourquoi.
Plan A :
On pourrait concevoir une architecture comme celle-ci :
Le routeurs IPv6/IPv4 seraient les points d'entrée du réseau avec une configuration NAT et ZBF par exemple. Le problème ici est que IBGP et VRF ne fonctionnent correctement sur un routeur qu'à partir d'une version 15.4 d'IOS; en effet la commande neighbor internal-vpn-client est implémentée.
N'ayant qu’une version 15.2, je me retrouve bloqué ....
Voici le plan B :
La configuration de BGP dans ce cas se fait bien .
Configuration de PE1 :
router bgp 4294
bgp log-neighbor-changes
no bgp default ipv4-unicast
.......
neighbor 172.168.2.2 remote-as 4294
neighbor 172.168.2.2 transport multi-session
!
address-family ipv4
exit-address-family
!
address-family vpnv4
........
exit-address-family
!
address-family vpnv6
.......
exit-address-family
!
address-family ipv4 vrf INTERNET
neighbor 172.168.2.2 remote-as 4295
neighbor 172.168.2.2 transport multi-session
neighbor 172.168.2.2 activate
neighbor 172.168.2.2 next-hop-self
exit-address-family
L'interface f1/1 étant configurée dans la CRF Internet, la désignation du neighbor distant va s'effectuer dans address-family ipv4 vrf INTERNET.
Configuration de IPv4/IPv6 :
router bgp 4295
bgp log-neighbor-changes
neighbor 172.168.2.1 remote-as 4294
neighbor 172.168.2.1 transport multi-session
!
address-family ipv4
network 82.82.82.82 mask 255.255.255.255
neighbor 172.168.2.1 activate
exit-address-family
Dans le cas de ce routeur rien de particulier. J'ai créé une interface de loopback 82 pour pouvoir visualiser la propagation du réseau à travers le réseau MPLS.
Si on observer un CE comme Data Center :
82.0.0.0/32 is subnetted, 1 subnets
D EX 82.82.82.82
[170/2560002816] via 172.168.2.1, 00:20:30, FastEthernet0/0
100.0.0.0/32 is subnetted, 1 subnets
D EX 100.100.100.100
[170/2560002816] via 172.168.2.1, 00:20:30, FastEthernet0/0
172.168.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.168.2.0/30 is directly connected, FastEthernet0/0
L 172.168.2.2/32 is directly connected, FastEthernet0/0
La relation EBGP entre PE1 et IPv4/IPv6 est donc opérationnelle.
Cela amène néanmoins un problème. En effet, nos routeurs CE ne doivent pas contenir la totalité des tables de routage d'Internet ! Étant des machines limitées physiquement, il nous faut trouver une parade.
Nous configurons une route statique pointant vers PE2 sur le routeur A_S_A.
ip route 0.0.0.0 0.0.0.0 209.168.35.2
De plus, nous retirons la redistribution de protocole existante de BGP dans chaque process EIGRP.
Mais où configurer le NAT ?
Il n'y a ici pas le choix, il doit être configuré sur les CE. Cela implique un changement d'adresse, il faut en effet que celle ci soit publique entre le PE et le CE. J' ai expliqué précédemment que de part l'utilisation de VRF, cette adresse pouvait être identique sur toutes les liaisons PE-CE, ici avec le NAT ce ne sera plus le cas.
Par flemme, je ne vais reconfigurer qu'un nombre restreint de routeurs.
Voici la configuration de A_S_A :
interface FastEthernet0/0
description Vers_PE2
ip address 209.168.35.1 255.255.255.252
ip nat outside
ip virtual-reassembly in
duplex full
!
interface FastEthernet1/0
ip address 192.168.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
duplex full
speed auto
!
router eigrp 20
network 192.168.10.0
network 209.168.35.0 0.0.0.3
!
ip nat inside source list NAT interface FastEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 209.168.35.2
!
ip access-list standard NAT
permit 192.168.1.0 0.0.0.255
Pour résumer :
Dernier point de détail
Comme vous pouvez le voir dans la conf, le réseau du Lan du bâtiment (192.168.10.0/24) est annoncé sur MP-BGP. Pour éviter que celui-ci "sorte sur Le Net", nous filtrons les MAJ BGP de PE1 vers IPv4/IPv6.
router bgp 4294
bgp log-neighbor-changes
.....
!
address-family ipv4
!
address-family vpnv
.......
!
address-family vpnv6
.........
!
address-family ipv4 vrf INTERNET
neighbor 172.168.2.2 remote-as 4295
neighbor 172.168.2.2 transport multi-session
neighbor 172.168.2.2 activate
neighbor 172.168.2.2 next-hop-self
distribute-list LAN out
exit-address-family
!
address-family ipv6 vrf INTERNET
......
!
ip access-list standard LAN
deny 192.168.0.0 0.0.255.255
permit any
On interdit aux réseaux LAN d'être annoncés à l'extérieur.
Du point de vue de IPv4/IPv6, on observe :
Gateway of last resort is not set
82.0.0.0/32 is subnetted, 1 subnets
C 82.82.82.82 is directly connected, Loopback82
172.168.0.0/16 is variably subnetted, 2 subnets, 2 masks
C 172.168.2.0/30 is directly connected, FastEthernet0/0
L 172.168.2.2/32 is directly connected, FastEthernet0/0
209.168.35.0/30 is subnetted, 2 subnets
B 209.168.35.0 [20/0] via 172.168.2.1, 01:36:11
B 209.168.35.4 [20/0] via 172.168.2.1, 00:45:02
211.12.1.0/24 is variably subnetted, 2 subnets, 2 masks
C 211.12.1.0/30 is directly connected, FastEthernet1/0
L 211.12.1.2/32 is directly connected, FastEthernet1/0
Seules les adresses RSO de NAT apparaissent
En vert : j'ai fais la même manip avec le routeur Data Center.
Test depuis Client 1
On test notre surf en pingant une adresse de loopback 82.82.82.82 :
Voilà pour cette "solution" Internet. Comme annoncé en début d'article, je n'en suis pas particulièrement content, le design étant selon moi un pourri.
Si jamais vous avez des idées .....
La prochaine fois nous clôturons cette série d'articles par la mise en place de tunnels VPN entre le routeur A_S_A et Data Center.
Architecture GNS3/Concepts généraux
Mise en place du Cloud MPLS
VRF
Routage, IPV6 et addess-familly
Mise en Place de MP-BGP
Les trucs qui fâchent
Bon clic à tous,
Aucun commentaire:
Enregistrer un commentaire