Bienvenue à tous dans ce nouveau chapitre qui clôt la partie sur les protocoles de routage avec CISCO. Vous avez appris à configurer un réseau grâce à EIGRP. Dans ce chapitre, vous allez apprendre à le faire avec OSPF, un protocole standard et très répandu depuis de nombreuses années. Maîtriser ce protocole vous permettra de configurer n'importe quel routeur du marché, et pas seulement les routeurs CISCO.
Allez, c’est parti !
Mettez-vous dans la peau d'un fournisseur d'accès Internet
Vous allez partir de la même topologie que dans le chapitre précédent sur EIGRP.
Pour rappel, voici la topologie :
Encore une fois, l’objectif est de créer un réseau interne, en l'occurrence celui d’un FAI (Fournisseur d'Accès Internet), comme Free par exemple. Il faut qu’au sein de ce réseau interne, chaque routeur puisse acheminer les paquets vers les bonnes adresses et pour cela vous allez configurer un protocole de routage OSPF. Une fois ce protocole configuré sur chaque routeur, un utilisateur lambda d’Internet pourra faire ses achats sur le site d’e-commerce.
Faites communiquer les routeurs d’Internet entre eux grâce à OSPF
Comme pour le chapitre sur EIGRP, vous allez commencer par configurer OSPF sur les routeurs 2, 3 et 4.
Grâce à la ligne de commande suivante, vous allez lancer le protocole OSPF sur le routeur 2. Le chiffre 1 indique un numéro de processus interne au routeur.
routeur2(config)#router ospf 1
Une fois OSPF lancé, vous n’avez plus qu’à indiquer quels réseaux vous souhaitez inclure dans OSPF.
routeur2(config-router)#network 223.0.0.0 0.0.0.255 area 0 routeur2(config-router)#network 223.0.1.0 0.0.0.255 area 0 routeur2(config-router)#network 223.0.2.0 0.0.0.255 area
Vous l’avez sûrement remarqué, ici, il s’agit d’un masque inversé (0.0.0.255 correspond à 255.0.0.0), comme pour la liste du NAT. C’est ici que vous notez de quelle area fait partie le réseau. Dans cet exemple, nous n’avons qu’une seule area.
Vous pouvez essayer par vous-même de configurer les routeurs 3 et 4. Si vous ne vous sentez pas prêt, la marche à suivre est indiquée ci-dessous.
Sur le routeur 3 :
routeur3(config)#router ospf 1 routeur3(config-router)#network 223.0.2.0 0.0.0.255 area 0 routeur3(config-router)#network 223.0.3.0 0.0.0.255 area 0 routeur3(config-router)#end
Sur le routeur 4 :
routeur4(config)#router ospf 1 routeur4(config-router)#network 223.0.1.0 0.0.0.255 area 0 routeur4(config-router)#network 223.0.3.0 0.0.0.255 area 0 routeur4(config-router)#network 223.0.4.0 0.0.0.255 area 0 routeur4(config-router)#end
Vos routeurs sont maintenant configurés. Passons au routeur 1 et à la BOX.
Installez la BOX de votre client
La BOX, comme le routeur 1, est un routeur un peu différent des trois autres routeurs. Leur différence réside dans le fait qu’ils utilisent le NAT pour rendre des réseaux privés accessibles (on dit qu’ils NAT les réseaux privés) alors que les autres routeurs n’ont pas de réseau privé. Leur configuration OSPF ne doit donc pas inclure ces réseaux privés.
Voilà la configuration de la BOX :
BOX(config)#router ospf 1 BOX(config-router)#network 223.0.4.0 0.0.0.255 area 0 BOX(config-router)#end
Comme vous pouvez le voir, vous ne devez pas inclure le réseau privé, c’est le NAT qui s’occupera de le rendre accessible. Le NAT peut-être vu comme un intermédiaire entre un réseau privé et un réseau public.
Reliez votre datacenter à Internet
Pour le routeur 1, celui du data center, il s’agit de la même configuration que la BOX. Comme vous l’avez compris, les réseaux privés ne doivent pas être inclus dans la configuration d’OSPF.
Voici la configuration du routeur 1 :
routeur1(config)#router ospf 1 routeur1(config-router)#network 223.0.0.0 0.0.0.255 area 0 routeur1(config-router)#end
Vos routeurs sont configurés, il ne vous reste plus qu’à vérifier avant de valider votre installation.
Vérifiez votre configuration
Afin de vérifier votre configuration, commencez par regarder les informations que vous donne OSPF. Connectez-vous au routeur 2 et entrez ces commandes :
routeur2#sh ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 223.0.2.2 Number of areas in this router is 1. 1 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 223.0.0.0 0.0.0.255 area 0 223.0.1.0 0.0.0.255 area 0 223.0.2.0 0.0.0.255 area 0 Routing Information Sources: Gateway Distance Last Update 223.0.4.4 110 01:09:41 223.0.3.3 110 01:10:01 Distance: (default is 110)
Vous pouvez voir qu’OSPF :
est bien lancé et qu’il route les réseaux 223.0.0.0/24, 223.0.1.0/24 et 223.0.2.0/24.
possède un ID unique (pour le différencier des autres routeurs) est 223.0.2.2.. Vous pouvez le changer avec la commande router-id adresse-IP.
n’appartient qu’à une seule area.
possède deux passerelles (gateway), les routeurs 3 et 4. Les adresses
que vous voyez sont leur ID pour OSPF.
Vous allez pouvoir enfin faire le tour du voisinage, pour vérifier l’état des routeurs voisins. Pour cela, rentrez la commande suivante :
routeur2#sh ip ospf neighbor Neighbor ID Pri State Dead Time Address Interface 223.0.3.3 1 FULL/BDR 00:00:34 223.0.2.3 GigabitEthernet0/1 223.0.4.4 1 FULL/BDR 00:00:39 223.0.1.4 GigabitEthernet0/2 223.0.0.1 1 DOWN/DROTHER - 223.0.0.1 GigabitEthernet0/0
Vous vous apercevez d’ailleurs que le routeur 1 est DOWN !
Mais ça veut dire quoi DOWN ?
Un voisin DOWN, c’est un voisin dont on n’a pas reçu de message HELLO mais qui est pourtant en mesure d’en recevoir. Vous vous rappelez qu’avec cette même commande sur EIGRP vous aviez des problèmes sur le routeur 1 ?
C’est en fait dû au port forwarding que nous avons configuré afin que les pings soient envoyés vers le serveur d’e-commerce. Comme nous transmettons tout, nous transmettons même le paquet d’OSPF et de EIGRP !
Ceci pour vous montrer comment cette commande vous permet de voir rapidement les problèmes sur votre réseau.
Il ne vous manque plus qu’à faire un ping depuis l’Utilisateur_Internet vers l’adresse 223.0.0.1 afin de voir s’il a accès au site d’e-commerce.
Voilà, vous êtes maintenant en mesure de créer de toutes pièces un réseau avec OSPF. Vous vous souvenez qu’il est possible de créer des zones, ou area, avec ce protocole ? C’est exactement ce que nous allons faire, en ajoutant un peu de complexité à notre topologie.
Étendez votre réseau
Vous l’avez vu dans le chapitre comparatif entre OSPF et EIGRP, OSPF peut diviser son réseau en plusieurs area (zone en français). Ces zones permettent de réduire le coût du calcul que demande OSPF, en limitant ce calcul à une seule zone. Les zones ensuite, délimitées par un routeur, ne s’échangent que des informations minimes. Par exemple, dans un réseau composé de 40 routeurs, chaque routeur possède 39 routes dans sa table. Si l’on sépare ses 40 routeurs en 2 zones de 20 routeurs, chaque routeur ne possède plus que 19 routes pour sa zone et 1 route vers l’autre zone.
C’est ce que vous allez faire, bien que votre topologie ne comprenne que quelques routeurs. Vous allez séparer l’Utilisateur_Internet et le placer dans une autre zone, comme ceci :
Faites communiquer vos deux zones
Dans le protocole OSPF, le routeur chargé de faire communiquer deux zones s’appelle un Area Border Router ou ABR. Il est placé entre la zone 0 que l’on appelle aussi la backbone area. Cette zone 0 est obligatoire lorsque vous avez plus d’une zone. De plus, chaque zone doit être reliée à la zone 0. Ainsi, si vous créez une zone 2, vous devez la brancher par un ABR sur la zone 0.
Regardons comment configurer un ABR. C’est très simple, il suffit d’ajouter les deux réseaux des deux zones.
On ajoute d’abord la zone 0.
ABR(config)#router ospf 1 ABR(config-router)#network 223.0.4.0 0.0.0.255 area 0
On ajoute ensuite la zone 1.
ABR(config-router)#network 223.0.10.0 0.0.0.255 area 1
Et on peut terminer la configuration.
ABR(config-router)#exit
Et voilà ! C’est fini, votre ABR est maintenant prêt à faire communiquer vos deux zones.
Vérifiez votre configuration
Pour vérifier votre configuration, regardez ce qu’il se passe sur la BOX, notamment comment elle dirige ses paquets vers une autre zone que la sienne.
BOX#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2 E1 - OSPF external type 1, E2 - OSPF external type 2 i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2 ia - IS-IS inter area, * - candidate default, U - per-user static route o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP a - application route + - replicated route, % - next hop override, p - overrides from PfR Gateway of last resort is not set 192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C 192.168.0.0/24 is directly connected, GigabitEthernet0/1 L 192.168.0.254/32 is directly connected, GigabitEthernet0/1 O IA 223.0.0.0/24 [110/4] via 223.0.10.1, 00:21:29, GigabitEthernet0/0 O IA 223.0.1.0/24 [110/3] via 223.0.10.1, 00:31:11, GigabitEthernet0/0 O IA 223.0.2.0/24 [110/4] via 223.0.10.1, 00:29:39, GigabitEthernet0/0 O IA 223.0.3.0/24 [110/3] via 223.0.10.1, 00:31:11, GigabitEthernet0/0 O IA 223.0.4.0/24 [110/2] via 223.0.10.1, 00:35:26, GigabitEthernet0/0 223.0.10.0/24 is variably subnetted, 2 subnets, 2 masks C 223.0.10.0/24 is directly connected, GigabitEthernet0/0 L 223.0.10.2/32 is directly connected, GigabitEthernet0/0
Comme vous pouvez le voir, la BOX connaît tous les réseaux de la zone 0. C’est le routeur ABR qui les lui a donnés. Vous pouvez voir devant les adresses O IA, ce qui signifie que la route vient d’une autre zone d’OSPF.
BOX#show ip ospf database OSPF Router with ID (223.0.10.2) (Process ID 1) Router Link States (Area 1) Link ID ADV Router Age Seq# Checksum Link count 223.0.10.1 223.0.10.1 390 0x80000003 0x00A5DD 1 223.0.10.2 223.0.10.2 379 0x80000003 0x00A0E0 1 Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 223.0.10.2 223.0.10.2 379 0x80000002 0x004842 Summary Net Link States (Area 1) Link ID ADV Router Age Seq# Checksum 223.0.0.0 223.0.10.1 1559 0x80000001 0x001E51 223.0.1.0 223.0.10.1 120 0x80000002 0x000767 223.0.2.0 223.0.10.1 120 0x80000002 0x000666 223.0.3.0 223.0.10.1 120 0x80000002 0x00F07B 223.0.4.0 223.0.10.1 390 0x80000002 0x00DB9
C’est à partir de cette base qu’OSPF établit ses routes.
Passez maintenant au routeur ABR afin de vérifier comment les liens entre les deux zones s’organisent. Commencez par rechercher l’ID du routeur si vous ne lui avez pas attribué un ID vous-même, ou si vous ne vous en rappelez plus.
ABR#sh ip protocols Routing Protocol is "ospf 1" Outgoing update filter list for all interfaces is not set Incoming update filter list for all interfaces is not set Router ID 223.0.10.1 It is an area border router Number of areas in this router is 2. 2 normal 0 stub 0 nssa Maximum path: 4 Routing for Networks: 223.0.4.0 0.0.0.255 area 0 223.0.10.0 0.0.0.255 area 1 Routing Information Sources: Gateway Distance Last Update 223.0.2.2 110 00:06:36 223.0.3.3 110 00:05:46 223.0.4.4 110 00:08:06
Vous voyez ici que l’ID du routeur est 223.0.10.1. Il vous servira pour la prochaine commande où vous vérifierez les états de liens. Vous regarderez notamment quel message est envoyé d’un routeur à un autre.
ABR#sh ip ospf database router 223.0.10.1 OSPF Router with ID (223.0.10.1) (Process ID 1) Router Link States (Area 0) LS age: 152 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 223.0.10.1 Advertising Router: 223.0.10.1 LS Seq Number: 80000002 Checksum: 0x7910 Length: 36 Area Border Router Number of Links: 1 !--- Voilà le contenu de la LSA pour la zone 0. Ici OSPF reconnaît que ce routeur est un ABR car il possède deux area (zone). Cette LSA est envoyée par le routeur 223.0.10.1, c’est-à-dire l’ABR. Il vous dit aussi qu’il n’a qu’un seul lien avec la zone 0. Link connected to: a Transit Network (Link ID) Designated Router address: 223.0.4.5 (Link Data) Router Interface address: 223.0.4.5 Number of MTID metrics: 0 TOS 0 Metrics: 1 !---Vous pouvez voir que le routeur désigné est le routeur 223.0.4.5. Router Link States (Area 1) LS age: 176 Options: (No TOS-capability, DC) LS Type: Router Links Link State ID: 223.0.10.1 Advertising Router: 223.0.10.1 LS Seq Number: 80000002 Checksum: 0xA7DC Length: 36 Area Border Router Number of Links: 1 !--- Voilà le contenu de la LSA pour la zone 1. Link connected to: a Transit Network (Link ID) Designated Router address: 223.0.10.2 (Link Data) Router Interface address: 223.0.10.1 Number of MTID metrics: 0 TOS 0 Metrics: 1
Ce routeur envoie donc à ces deux zones l’information qu’il est un ABR. C’est ainsi que chaque zone attendra de lui la mise à jour des routes de l’autre zone.
Voilà, vous en savez un peu plus sur OSPF.
Mais pourquoi on a nommé le routeur 3, ASBR ?
Je vous explique tout de suite pourquoi.
Connectez votre réseau autonome au reste d’Internet
Votre réseau interne (ou système autonome) est donc créé et il fonctionne comme vous le souhaitez. Mais autonome ne veut pas forcément dire qu’il ne doit pas interagir avec d’autres systèmes autonomes. C’est d'ailleurs le principe même d’Internet. En effet, que ce soit avec OSPF ou EIGRP, vous devrez connecter votre réseau à un autre AS afin qu’il puisse communiquer avec le reste d’Internet. Et c’est à cela que sert un routeur ASBR.
L’ASBR est donc le routeur qui va communiquer avec le reste d’Internet, un peu comme le fait un ABR avec une autre zone. Sauf que cette fois-ci, l’autre réseau, vous ne le contrôlez pas. C’est par là que doit passer votre route par défaut. Tous les réseaux que votre réseau ne connaît pas iront directement vers le routeur connecté à votre ASBR.
Les protocoles qui permettent ces chemins s’appellent des BGP (pour Border Gateway Protocol). Ils dépassent le cadre de ce cours.
Vous venez de finir une partie compliquée et riche en nouveaux concepts :
Les protocoles de routage :
À état de lien ;
À vecteur distance.
Le protocole propriétaire et malgré tout ouvert EIGRP ;
Le protocole standard OSPF.
Vous êtes maintenant en mesure de créer un réseau de A à Z. Mais de nos jours où le piratage informatique est une menace bien réelle, vous vous devez d’abord de sécuriser votre réseau. C’est justement ce que vous allez faire lors de la prochaine partie.
En résumé
Pour lancer OSPF vous devez entrer la commande :
routeur(config)# router ospf n°DeProcess (à ne pas confondre avec le numéro d’area).
routeur2(config-router)#network adresseIP masqueInversé area n°Area
Par routeur, vous devez ajouter tous les réseaux concernés par OSPF. Seuls les réseaux privés ne doivent pas être communiqués à OSPF.
La commande
sh ip protocols
vous permet de voir quel est l’ID du routeur et sur quel réseau il est configuré.La commande s
how ip ospf neighbor
vous permet de voir le voisinage d’un routeur ainsi que l’état des liaisons faites avec les voisins.Un ABR est un routeur qui fait le lien entre deux zones. Pour le configurer, il suffit d’ajouter les réseaux sur lesquels il est branché ainsi que les zones. OSPF comprendra alors qu’il s’agit d’un ABR.
Tous les ABR doivent être reliés à la zone 0.
Un ASBR est un routeur qui fait le lien entre un AS et un autre AS (qu’il s’agit d’OSPF ou d’un autre protocole). Ce lien est fait grâce à BGP.