Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Discussion :

Aide pour topologie/configuration HA connexion WAN


Sujet :

Architecture

  1. #1
    Futur Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 7
    Points : 9
    Points
    9
    Par défaut Aide pour topologie/configuration HA connexion WAN
    Bonjour à tous,

    Je m'excuse au préalable si le titre n'est peut être pas assez explicite.

    Je vous explique ma situation, je suis dans un projet à caractère scolaire pour la mise en place d'une infrastructure réseau.
    Mon équipe et moi devons mettre en place une infrastructure offrant la redondance interne(LAN) et WAN, car la société fictive désire conserver l'ensemble de son infrastructure chez elle dans un type "micro datacenter", c'est à dire serveurs (mail, web, application web, AD,...).

    Nous n'avons pas de problème sur la partie redondance LAN, mais éprouvons de grandes difficultés sur la redondance WAN.
    Le matériel qui compose la partie qui vous intéressera:
    Couche Core => 2 Firewalls de type Juniper SSG-140
    Couche Distribution => 2 Switches Layer 3 Cisco 3560 (IOS IPservices)

    Nom : networkCore.png
Affichages : 495
Taille : 54,1 Ko

    Alors notre problématique se situe entre la couche Distribution et Core, en effet, nous souhaitons offrir une redondance de la connexion WAN.
    Mon équipe et moi-même sommes partis sur la mise en place de 2 FAI afin de garantir une NON interruption du service WAN.

    Seulement, on ne visualise pas la "bonne" technique qui nous permettra d'avoir une reprise de service si le FAI principal tombe en panne..
    nous nous sommes penché sur la technologie NSRP de Juniper, mais elle ne répond pas vraiment à notre problématique puisqu'on se retrouve avec un firewall "slave" qui est une copie conforme des paramètres du "master"... pas trop ce que nous souhaitons..


    Nous avons aussi envisagé la technique du "VRRP" disponible chez Juniper, mais une fois de plus nous n'arrivons pas à visualiser la manière de configurer sur la couche distribution pour qu'il switches d'une connexion à l'autre lors d'une perte de WAN.

    Je me doute que la problématique est certainement plus vaste que cela, si vous pouviez nous apporter votre aide ou bien vos réflexions des problématiques que nous pourrions rencontré. Nous serions ravi d'avoir le retour de personnes de terrain ! :-)

    merci à tous !

  2. #2
    Expert éminent sénior
    Avatar de JML19
    Homme Profil pro
    Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Inscrit en
    décembre 2010
    Messages
    13 315
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Corrèze (Limousin)

    Informations professionnelles :
    Activité : Retraité : Electrotechnicien Electronicien Informaticien de la SNCF
    Secteur : Transports

    Informations forums :
    Inscription : décembre 2010
    Messages : 13 315
    Points : 20 559
    Points
    20 559
    Billets dans le blog
    10
    Vous pouvez utiliser les FAQ (ICI) ou les Tutoriels (ICI) et aussi accéder au blog (ICI)

  3. #3
    Membre émérite

    Homme Profil pro
    Ingénieur Réseaux
    Inscrit en
    juin 2012
    Messages
    875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Rhône (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur Réseaux
    Secteur : Conseil

    Informations forums :
    Inscription : juin 2012
    Messages : 875
    Points : 2 444
    Points
    2 444
    Par défaut
    Bonjour,

    Je vous invite à vous renseigner sur le terme multihoming et sur le protocole BGP.
    Si la réponse vous a été donnée, pensez au Tag .
    Un petit aide à se sentir utile. Merci.

    "La folie. C'est de faire et refaire la même chose en espérant que le résultat sera différent."
    Albert Einstein

  4. #4
    Futur Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 7
    Points : 9
    Points
    9
    Par défaut
    Bonjour à vous,

    Je m'excuse de répondre en retard, mais pas mal de boulot en ce moment.

    @JML19: je vous remercie de la proposition du produit, mais il s'agit d'un travail à caractère scolaire (je ne peux acheter de produit) mais c'est toujours intéressant de savoir que ça existe.


    @Miistik: merci pour votre approche, je vais chercher de ce côté voir comment on utilise cette technologie :-)

    car je connais "rapidement" BGP, mais je pense qu'il va falloir approfondir le concept pour le projet. Vous vous y connaissez assez bien au cas où j'aurais des questions ?

    bonne journée

    ++

  5. #5
    Invité
    Invité(e)
    Par défaut
    Salut,

    la façon la plus simple de déclencher le backup, c'est bien par VRRP sur les SSG.

    La topologie d'un point de vue IP ressemble à ça grosso modo

    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
                @            backup @
                ^               ^
                |               |
             +-----+         +-----+
             | SSG |         | SSG |
             +-----+         +-----+
                |<----VRRP----> |
           |-------------------------|
                   |         |
                   |         |
                +----+    +----+
                |3560|====|3560|
                +----+    +----+
    Tu actives le routage sur les 3560 et tu répartis toutes les interfaces Vlan de ton réseau sur les 2 3560.
    Puis sur chaque 3560, tu configures une default route pointant sur une adresse VRRP présenté par les SSG.

    Sur les SGG, tu configures ton instance VRRP et tu actives ensuite la fonctionnalité de tracking sur le SGG qui est connecté vers l'ISP primaire : si l'interface du SSG vers l'ISP devient 'down', l'adresse VRRP bascule vers le SSG connecté vers l'ISP de backup. Ceci de façon transparente pour les 3560 puisqu'après bascule vers le Backup VRRP, c'est toujours la même adresse VRRP ainsi que la même adresse MAC qui est diffusée au travers d'ARP.

    Maintenant, oui, l'inconvénient d'implémenter VRRP, c'est que les flux sont physiquement polarisés vers le Master.
    Il est parfois possible de définir plusieurs instances VRRP dans un même réseau IP, mais je ne sais pas si le SSG supporte cette fonctionnalité. Si c'est le cas, on fera pointer la default route du 3560 de gauche vers VRRP1 (Master SSG de gauche) et celle du 3560 de droite vers VRRP2 (Master SSG de droite).
    Bon, par contre faites gaffe aux aspects L2/VLAN/Spanning Tree

    Dans le cas où tu disposes de 2 boîtes supplémentaires capables de fournir du routage dynamique (deux machines Linux à traîner dans un coin par exemple), tu peux faire des choses un peu plus sophistiquées en les connectant aux deux SSG. Et que ce soit par OSPF ou BGP, les designs actif/passif s'appuient généralement sur des manipulations de default route. Si par exemple les upstreams ISP sont très conciliants, ils enverront tous les 2 une default route et on utilisera des policies BGP ou des réglages OSPF sur les SSG pour faire en sorte que ce soit le SSG de gauche qui annonce la default route avec backup à droite s'il jamais il venait à tomber.

    Il y a beaucoup de scenario possibles.
    Il faut en savoir plus sur ce que tu veux faire.
    Généralement, j'écoute les besoins, j'imagine le design, et j'en déduis le matos.
    Là, c'est un peu le contraire. T'as le matos mais tu sais pas trop quoi en faire

    Steph

  6. #6
    Futur Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 7
    Points : 9
    Points
    9
    Par défaut
    Bonjour Steph,

    Je te remercie de ta réponse.

    J'ai un peu recherché une méthode pour arriver à mon besoin qui n'est pas tout à fait comme toi, mais comme tu le dis si bien il y a plusieurs scénarii envisageables.

    J'ai mis en place du VRRP sur les layer 3 pour répartir les VLANS sur les 3560, + OSFP et côté firewall SSG j''ai mis en place de l'OSPF qui n'a pour but que de redistribuer une route par défaut vers les cisco 3560 (juste que sur un des firewalls, la route par défaut à une métrique supérieure).


    Je m'étais penché sur la possibilité de mettre en place du VRRP sur les firewalls comme tu expliques, seulement la case "vrrp" reste grisée dans la webui... (oui, j'aurai pu le faire en console, mais il s'agit de firewalls pas tout jeunes et si tu te trompes dans la ligne de commandes tu dois recommencer sur une nouvelle ligne et c'est énervant ^^).
    C'est toujours le cas sur les nouveaux firewalls JUNIPER cette problématique ?

    Généralement, j'écoute les besoins, j'imagine le design, et j'en déduis le matos.
    Là, c'est un peu le contraire. T'as le matos mais tu sais pas trop quoi en faire
    A vrai dire, l'établissement scolaire ne propose pas énormément de matériels et première équipe arrivée première équipe servie...
    Je suis déjà satisfait de pouvoir faire mon "labo" avec du cisco 3560 et juniper ! :p d'autre le font avec du Pfsense hébergé sur leur pc portable..
    Mais, oui tu as totalement raison sur le fait que j'aurais dû réfléchir bien plus loin avant de courir :-)

    Bon, par contre faites gaffe aux aspects L2/VLAN/Spanning Tree
    Oui c'est sûr, j'ai plutôt intérêt à y faire gaffe sinon bonjour le réseau qui va boucler !

    en tout cas merci de ton intervention, je vais tout de même regarder pour ton scénario et l'aborder dans mon rapport technique :-)

    ++

  7. #7
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par enigmex Voir le message
    J'ai mis en place du VRRP sur les layer 3 pour répartir les VLANS sur les 3560, + OSFP et côté firewall SSG j''ai mis en place de l'OSPF qui n'a pour but que de redistribuer une route par défaut vers les cisco 3560 (juste que sur un des firewalls, la route par défaut à une métrique supérieure).
    La façon de faire simplement avec OSPF, sans avoir d'adhérence avec les ISP, c'est en utilisant le fait qu'une External de type 1 sera toujours préféreé sur une Type 2 :




    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
             +---+         +----------+
             | @ |         | backup @ |
             +---+         +----------+
               |                |
            +------+         +------+
            | SSG1 |---------| SSG2 |
          | +------+         +------+ |
      0/0 |    |                |     | 0/0
      E1  |    |                |     | E2
          |    |                |     |
          v +------+         +------+ v
            | 3560 |---------| 3560 |
            +------+         +------+


    Sur SSG1 et SSG2, tu configures une default route pointant vers les adresses IP des ISP directement connectés aux SSG.


    SSG1 et SSG2 étant des noeuds OSPF, il suffit de redistribuer la default route précédemment configurée (équivalent Cisco du default-information originate, ça doit forcément exister sur les SSG). Mais il faut la redistribuer en tant que E1 depuis SSG1, et en tant que E2 en SSG2. Lorsque les 3560 reçoivent les 2 Link States, ils utilisent le type E1 pour créer l'entrée dans la table de routage (et ont toujours le Link State E2 dans la base topologique). Dans un design simple comme le vôtre, la convergence serait même très rapide pour la couche IP.


    En ce qui concerne le déclenchement du backup, si lien physique de SSG1 vers l'Internet tombe, c'est immédiat. Mais si c'est un problème de next hop qui ne répond plus par exemple, alors il faut faire un manual failover.


    Ou bien il faut utiliser des fonctionnalités comme l'IP Tracking ou les IP SLA (polling IP/ICMP/TCP/UDP vers des adresses IP stratégiques, vers l'IP du next hop ou encore l'IP d'un host critique). Ce qui revient plus ou moins au même résultat que VRRP avec l'IP Tracking : ce sera toujours le même SSG qui tirera phyiquement les flux vers l'Internet.


    Une autre façon de faire consiste à déployer tel quel, puis à mettre des outils pour regarder la cartographie/volumétrie IP des flux entrants/sortants sur une période de temps qui permette d'avoir un minimum de masse critique de données. Tu isoles les top 10 destinations les plus bavardes. Puis tu les configures en statique sur SSG1 et SSG2. Puis tu les redistribues en E1 si tu veux que ce soit le SSG qui tire ces flux IP, ou en E2 si tu veux que le SSG soit le backup pour ces flux.


    Citation Envoyé par enigmex Voir le message
    Je m'étais penché sur la possibilité de mettre en place du VRRP sur les firewalls comme tu expliques, seulement la case "vrrp" reste grisée dans la webui... (oui, j'aurai pu le faire en console, mais il s'agit de firewalls pas tout jeunes et si tu te trompes dans la ligne de commandes tu dois recommencer sur une nouvelle ligne et c'est énervant ^^).
    C'est toujours le cas sur les nouveaux firewalls JUNIPER cette problématique ?
    Il se peut que ce SSG ne supporte pas VRRP quand OSPF est activé


    Citation Envoyé par enigmex Voir le message
    A vrai dire, l'établissement scolaire ne propose pas énormément de matériels et première équipe arrivée première équipe servie...
    Je suis déjà satisfait de pouvoir faire mon "labo" avec du cisco 3560 et juniper ! :p d'autre le font avec du Pfsense hébergé sur leur pc portable..
    Mais, oui tu as totalement raison sur le fait que j'aurais dû réfléchir bien plus loin avant de courir :-)
    Ah mais oui, c'est très bien

    Steph

  8. #8
    Invité
    Invité(e)
    Par défaut
    Un lab GNS3 pour illustrer ta problématique puisque je viens juste d'installer la version 1.3.11.

    Nom : OSPF_E1E2.jpeg
Affichages : 490
Taille : 48,8 Ko

    Tous les réseaux sont annoncés en OSPF dans l'area 0.
    Sur mon host Linux, j'ai monté une interface tap0, j'ai aussi configuré une vrrp (10.0.1.254) sur les deux 3560 (utilisée par mon host bien sûr).

    Sur les deux routeurs des ISP, j'ai configuré une interface Loopback 123.123.123.123/32.
    Rien n'empêche d'avoir ces 2 loopbacks identiques, à partir du moment qu'on ne les annonce pas.
    L'astuce de faire ça, c'est que l'adresse 123.123.123.123/32 est toujours joignable depuis mon PC, que les paquets passent par SSG1 ou SSG2...

    Pour l'instant, il n'y a pas de default route dans mon domaine de routage.
    Si on regarde les tables de routage des 3560 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    3560-1#sh ip ro
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is not set
    
    
         80.0.0.0/30 is subnetted, 1 subnets
    O       80.0.0.0 [110/11] via 10.0.0.9, 00:00:02, FastEthernet0
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    C       10.0.0.8/30 is directly connected, FastEthernet0
    O       10.0.0.12/30 [110/11] via 10.0.1.253, 00:00:02, Ethernet0
                         [110/11] via 10.0.0.5, 00:00:02, Ethernet1
    O       10.0.0.0/30 [110/11] via 10.0.0.9, 00:00:02, FastEthernet0
    C       10.0.1.0/24 is directly connected, Ethernet0
    C       10.0.0.4/30 is directly connected, Ethernet1
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/20] via 10.0.0.5, 00:00:04, Ethernet1
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    3560-2#sh ip ro
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is not set
    
    
         80.0.0.0/30 is subnetted, 1 subnets
    O       80.0.0.0 [110/20] via 10.0.0.1, 00:02:20, Ethernet1
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    O       10.0.0.8/30 [110/11] via 10.0.1.252, 00:02:20, Ethernet0
                        [110/11] via 10.0.0.1, 00:02:20, Ethernet1
    C       10.0.0.12/30 is directly connected, FastEthernet0
    C       10.0.0.0/30 is directly connected, Ethernet1
    C       10.0.1.0/24 is directly connected, Ethernet0
    O       10.0.0.4/30 [110/11] via 10.0.0.13, 00:02:20, FastEthernet0
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/11] via 10.0.0.13, 00:02:21, FastEthernet0
    Pour l'instant, mon PC ne voit pas plus loin que l'adresse 80.0.0.2 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    PING 80.0.0.2 (80.0.0.2) 56(84) bytes of data.
    64 bytes from 80.0.0.2: icmp_seq=1 ttl=254 time=7.25 ms
    64 bytes from 80.0.0.2: icmp_seq=2 ttl=254 time=5.50 ms
    64 bytes from 80.0.0.2: icmp_seq=3 ttl=254 time=1.29 ms
    ^C
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    PING 80.0.0.1 (80.0.0.1) 56(84) bytes of data.
    Sur les SSG, il faut configurer une default route pointant vers leurs ISP respectifs :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SSG1(config)#ip route 0.0.0.0 0.0.0.0 80.0.0.1
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    SSG2(config)#ip route 0.0.0.0 0.0.0.0 90.0.0.1
    puis onredistribue la default dans les process OSPF en tant que :
    - External E1 sur SSG1 (chemin nominal),
    - External E2 sur SSG2 (chemin de backup).
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    SSG1(config)#router ospf 1
    SSG1(config-router)#default-information originate metric-type 1
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    SSG2(config)#router ospf 1
    SSG2(config-router)#default-information originate metric-type 2
    Si on regarde les External Link State dans la base topologique de 3560-1 par exemple, on voit bien les 2 Link States E1 et E2 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    3560-1#sh ip ospf data ext
                                                                                                   
                OSPF Router with ID (10.0.1.252) (Process ID 1)                                    
                                                                                                   
                    Type-5 AS External Link States                                                 
                                                                                                   
      Routing Bit Set on this LSA                                                                  
      LS age: 9                                                                                    
      Options: (No TOS-capability, DC)                                                             
      LS Type: AS External Link                                                                    
      Link State ID: 0.0.0.0 (External Network Number )                                            
      Advertising Router: 80.0.0.2                                                                 
      LS Seq Number: 80000001                                                                      
      Checksum: 0xB4D1                                                                             
      Length: 36
      Network Mask: /0
            Metric Type: 1 (Comparable directly to link state metric)
            TOS: 0 
            Metric: 10 
            Forward Address: 80.0.0.1
            External Route Tag: 1
    
    
      Routing Bit Set on this LSA
      LS age: 83
      Options: (No TOS-capability, DC)
      LS Type: AS External Link
      Link State ID: 0.0.0.0 (External Network Number )
      Advertising Router: 90.0.0.2
      LS Seq Number: 80000001
      Checksum: 0x4CA5
      Length: 36
      Network Mask: /0
            Metric Type: 2 (Larger than any link state path)
            TOS: 0 
            Metric: 10 
            Forward Address: 90.0.0.1
            External Route Tag: 1
    Mais comme je le précisais, c'est le Link State E1 qui sera utilisé pour créer l'entrée dans la table de routage :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    3560-1#sh ip ro
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is 10.0.0.9 to network 0.0.0.0
    
    
         80.0.0.0/30 is subnetted, 1 subnets
    O       80.0.0.0 [110/11] via 10.0.0.9, 00:01:05, FastEthernet0
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    C       10.0.0.8/30 is directly connected, FastEthernet0
    O       10.0.0.12/30 [110/11] via 10.0.0.5, 00:01:05, Ethernet1
    O       10.0.0.0/30 [110/11] via 10.0.0.9, 00:01:05, FastEthernet0
    C       10.0.1.0/24 is directly connected, Ethernet0
    C       10.0.0.4/30 is directly connected, Ethernet1
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/20] via 10.0.0.5, 00:01:06, Ethernet1
    O*E1 0.0.0.0/0 [110/21] via 10.0.0.9, 00:01:06, FastEthernet0
    On a de même sur 3560-2 une entrée provenant du Link State E1 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    3560-2#sh ip ro                                                                                
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP                                 
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is 10.0.0.1 to network 0.0.0.0
    
    
         80.0.0.0/30 is subnetted, 1 subnets
    O       80.0.0.0 [110/20] via 10.0.0.1, 00:02:05, Ethernet1
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    O       10.0.0.8/30 [110/11] via 10.0.0.1, 00:02:05, Ethernet1
    C       10.0.0.12/30 is directly connected, FastEthernet0
    C       10.0.0.0/30 is directly connected, Ethernet1
    C       10.0.1.0/24 is directly connected, Ethernet0
    O       10.0.0.4/30 [110/11] via 10.0.0.13, 00:02:05, FastEthernet0
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/11] via 10.0.0.13, 00:02:07, FastEthernet0
    O*E1 0.0.0.0/0 [110/30] via 10.0.0.1, 00:02:07, Ethernet1
    Je peux maintenant joindre l'adresse 123.123.123.133/32 depuis mon PC
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    PING 123.123.123.123 (123.123.123.123) 56(84) bytes of data.
    64 bytes from 123.123.123.123: icmp_seq=1 ttl=253 time=2.56 ms
    64 bytes from 123.123.123.123: icmp_seq=2 ttl=253 time=13.1 ms
    64 bytes from 123.123.123.123: icmp_seq=3 ttl=253 time=32.0 ms
    et si je trace les paquets vers cette destination, je passe passe bien par SSG1 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    traceroute to 123.123.123.123 (123.123.123.123), 30 hops max, 60 byte packets
     1  10.0.1.252 (10.0.1.252)  12.794 ms  14.144 ms  14.287 ms
     2  10.0.0.9 (10.0.0.9)  19.043 ms  19.115 ms  19.186 ms
     3  80.0.0.1 (80.0.0.1)  28.373 ms * *
    Rapide test de bascule en mode bourrin des bois

    Dans GNS3, j'efface le lien entre SSG1 et l'ISP Primaire.

    Si on regarde la table de routage de 3560-1, la default provient bien du Link State E2 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    3560-1#sh ip ro
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is 10.0.0.5 to network 0.0.0.0
    
    
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    C       10.0.0.8/30 is directly connected, FastEthernet0
    O       10.0.0.12/30 [110/11] via 10.0.1.253, 00:00:48, Ethernet0
                         [110/11] via 10.0.0.5, 00:00:48, Ethernet1
    O       10.0.0.0/30 [110/11] via 10.0.0.9, 00:00:48, FastEthernet0
    C       10.0.1.0/24 is directly connected, Ethernet0
    C       10.0.0.4/30 is directly connected, Ethernet1
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/20] via 10.0.0.5, 00:00:49, Ethernet1
    O*E2 0.0.0.0/0 [110/10] via 10.0.0.5, 00:00:49, Ethernet1
    et 3560-1 envoie maintenant ses paquets vers SSG2.
    Sur mon PC, quelques ICMP manqués mais rien de bien méchant :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    64 bytes from 123.123.123.123: icmp_seq=18 ttl=253 time=2.40 ms
    64 bytes from 123.123.123.123: icmp_seq=19 ttl=253 time=4.67 ms
    64 bytes from 123.123.123.123: icmp_seq=20 ttl=253 time=26.7 ms
    From 123.123.123.123 icmp_seq=21 Destination Host Unreachable
    From 123.123.123.123 icmp_seq=22 Destination Host Unreachable
    From 123.123.123.123 icmp_seq=23 Destination Host Unreachable
    From 123.123.123.123 icmp_seq=24 Destination Host Unreachable
    From 123.123.123.123 icmp_seq=25 Destination Host Unreachable
    64 bytes from 123.123.123.123: icmp_seq=26 ttl=253 time=0.688 ms
    64 bytes from 123.123.123.123: icmp_seq=27 ttl=253 time=3.43 ms
    Puis quand le lien est remis entre SSG1 et l'ISP Primaire, le réseau rebascule et la default route pointe de nouveau vers SSG1 :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    3560-2#sh ip ro
    Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
           D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area 
           N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
           E1 - OSPF external type 1, E2 - OSPF external type 2
           i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
           ia - IS-IS inter area, * - candidate default, U - per-user static route
           o - ODR, P - periodic downloaded static route
    
    
    Gateway of last resort is 10.0.0.1 to network 0.0.0.0
    
    
         80.0.0.0/30 is subnetted, 1 subnets
    O       80.0.0.0 [110/20] via 10.0.0.1, 00:02:18, Ethernet1
         10.0.0.0/8 is variably subnetted, 5 subnets, 2 masks
    O       10.0.0.8/30 [110/11] via 10.0.1.252, 00:02:18, Ethernet0
                        [110/11] via 10.0.0.1, 00:02:18, Ethernet1
    C       10.0.0.12/30 is directly connected, FastEthernet0
    C       10.0.0.0/30 is directly connected, Ethernet1
    C       10.0.1.0/24 is directly connected, Ethernet0
    O       10.0.0.4/30 [110/11] via 10.0.0.13, 00:02:19, FastEthernet0
         90.0.0.0/30 is subnetted, 1 subnets
    O       90.0.0.0 [110/11] via 10.0.0.13, 00:02:19, FastEthernet0
    O*E1 0.0.0.0/0 [110/30] via 10.0.0.1, 00:02:19, Ethernet1
    Donc le design de base fonctionne plutôt bien sous GNS3. Ca doit être possible de faire la même chose avec les SSG, ils ont apparemment les mêmes fonctionnalités.

    Il faudrait aussi explorer les possibilités d'IP Tracking des SSG. Avec du Cisco, il est possible d'appliquer une IP SLA Echo en prenant comme cible 80.0.0.1. Si 80.0.0.1 ne répond plus aux ICMP Echoes, SSG1 envoie le traffic par défaut vers une autre adresse (qui serait SSG2 ici).

    Steph

  9. #9
    Futur Membre du Club
    Profil pro
    Inscrit en
    décembre 2009
    Messages
    7
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2009
    Messages : 7
    Points : 9
    Points
    9
    Par défaut
    Bonjour Steph,

    Encore une fois, je suis en retard pour te répondre :-)

    J'ai fait exactement ce que tu as indiqué et ça marche NICKEL !! Un grand merci ;-)

    Je vais essayer de travailler sur la partie BGP/multihoming de manière théorique pour l'aborder dans mon rapport technique. (Par hasard, tu n'as pas une documentation à me conseiller ?)

    (Mais qu'est-ce que je déteste la vieille interface JUNIPER... vraiment pas userfriendly !)

  10. #10
    Invité
    Invité(e)
    Par défaut
    Citation Envoyé par enigmex Voir le message
    J'ai fait exactement ce que tu as indiqué et ça marche NICKEL !! Un grand merci ;-)
    C'est OSPF qu'il faut remercier, pas moi. Les routes externes, c'est une des beautés de ce protocole (il y en a plein d'autres)

    Citation Envoyé par enigmex Voir le message
    la partie BGP/multihoming
    Il faudrait trainer un peu sur les sites de Cisco/Juniper, il y a pas mal d'exemples sur le sujet.
    Mais le sujet est vaste parce que BGP embarque beaucoup de paramètres. Il est possible de répondre à un cahier des charges de load-balancing vers des ISP de plusieurs façons...

    Steph

Discussions similaires

  1. aide pour la configuration d'awesome
    Par fruityzoned dans le forum Applications et environnements graphiques
    Réponses: 1
    Dernier message: 29/06/2009, 16h35
  2. [ZF 1.5] [Route] Besoin d'aide pour la configuration des mes routes => url propre
    Par Jonathan.b dans le forum Zend Framework
    Réponses: 5
    Dernier message: 29/10/2008, 14h27
  3. Aide pour la configuration de VSFTPD
    Par guillaume_j02 dans le forum Applications et environnements graphiques
    Réponses: 0
    Dernier message: 20/12/2007, 14h52
  4. Aide pour la configuration postfix
    Par rach20032 dans le forum Réseau
    Réponses: 1
    Dernier message: 11/07/2007, 10h26
  5. Aide pour la configuration TOMCAT 4.1.36
    Par stardeus dans le forum Tomcat et TomEE
    Réponses: 14
    Dernier message: 22/06/2007, 12h03

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo