Si vous cherchez comment mettre en place un système de loadbalancing+failover (Avec pfsense ou routeur cisco), ce document est pour vous.
Mmoire de fin de cycle 2011-2012REPUBLIQUE DU SENEGAL***** * *
********UNIVERSITE CHEIKH ANTA DIOP DE DAKAR
ECOLE SUPERIEURE POLYTECHNIQUEDEPARTEMENT GENIE INFORMATIQUE
MEMOIRE DE FIN DE CYCLEPour lobtention du:DIPLOME SUPERIEUR DE
TECHNOLOGIE TELECOMS ET RESEAUX (DSTTR)
Thme: Mise en place d'une solution de LOAD-BALANCING et de
FAILOVER multiwan dans le rseau CRENT de l'ESP
Lieu de stage: Ecole Suprieure Polytechnique (E.SP)
Dr Samuel Ouya Prsent par: Encadr par:
Sylvestre BELKOULAYO MBAYHAMNODJI Anne universitaire: 2011
2012
DEDICACES
Je ddie ce mmoire:A ma mre, qui m'a toujours soutenu dans tout
ce que j'entreprenais,A mon pre qui a toujours t l pour moi et qui
a su, si bien, me guider,A mes chres frres et surs,A mon encadreur
le Dr Samuel Ouya A mes amis,A toutes mes connaissances,A tous ceux
qui m'ont toujours aid,A tous les tudiants de ma promotion, vous
allez me manquer.A tous, je vous ddie ce mmoire.
1
REMERCIEMENT
Je remercie et rends grce Dieu Le Tout Puissant de m'avoir protg
depuis ma naissance,Au Dr Samuel Ouya pour son aide et sa
disponibilit,Au corps professoral de lEcole Suprieur Polytechnique
de Dakar, Aux tudiants de ma promotion,Que chacun trouve en ce
document l'expression de ma profonde gratitude.
2
Table des matires
SommaireAvant-propos5Introduction6Chapitre I : Prsentation
Gnrale7I.1- Prsentation du lieu de
Stage............................................................................7I.2-
Architecture du rseau
CRENT...........................................................................9I.3-
Problmatique...................................................................................................9I.4-
Objectif...........................................................................................................9Chapitre
II : Load-Balancing et Failover10II.1- Le
Load-Balancing......................................................................................10II.1.1-
Concepts et
Dfinition..................................................................10II.1.2-
Outils...............................................................................................10II.1.2.1-
Outils
matriels......................................................................10II.1.2.1.1-
Le Protocole
IGRP................................................................11II.1.2.1.2-
Le protocole OSPF....................11II.1.2.1.3- Le Protocole
GLBP.......................11II.1.2.2- Outils
logiciels........................................................................11II.1.2.2.1-
Pfsense.........................................................................11II.1.2.2.2-
ZeroShell.........................................................................12II.2-
Le
Failover....................................................................................................................12II.2.1-
Concepts et
Dfinition.............................................................................12II.2.2-
Outils................................................................................................................12II.2.2.1-
Outils
matriels..............................................................................12II.2.2.1.1-
Le protocole
VRRP......................................................12II.2.2.1.2-
Le protocole
HSRP.........................................................13II.2.2.2-
Outils
logiciels................................................................................13Chapitre
III : Mise en pratique14III.1- Mise en place de la solution
matrielle............................................................14III.1.1-
Orientation du
choix.............................................................................14III.1.1.1-
Orientation du choix du
protocole.............................14III.1.1.2- Orientation du
choix du logiciel de virtualisation..........14III.1.1.3-
Orientation du choix du logiciel de simulation
Cisco............16III.1.2-
Configurations.................................................................................17III.2-
Mise en place de la solution
logicielle............................................................28III.2.1-
Orientation du
choix...................................................................28III.2.2-
Configurations...................................................................29
Webographie/Bibliographie...48Annexe 1...49
Avant-propos
Lcole suprieure polytechnique (E.S.P) forme en deux annes dtudes
des techniciens suprieurs, et en cinq ans des ingnieurs dans
plusieurs spcialits.Dans le cadre de leur formation les tudiants de
fin de chaque cycle sont tenus deffectuer un stage pratique au sein
dune entreprise ou dun service informatique.Ce stage est effectu
dans le but: De fournir aux tudiants la possibilit de mettre en
uvre les connaissances thoriques acquises tout au long de leur
formation. Dinitier les futurs techniciens suprieurs aux ralits du
milieu professionnel et de leur permettre de se faire la main sur
des projets denvergures.Au terme de ce stage un mmoire et un
rapport de stage doivent tre rdigs sur un problme qui a t tudi
durant ce stage.Cest l'issue d'un stage effectu
Mmoire de fin de cycle 2011-2012
5Prsent et soutenu par
INTRODUCTION
Pour permettre lchange dinformation de manire simple et rapide
entre diffrentes machines, on est amen crer des rseaux. Lorsque
l'on travaille sur une mme machine, toutes les informations
ncessaires aux travaux sont centralises sur la mme machine. Presque
tous les utilisateurs de la machine et les programmes avaient accs
ces informations. On a alors prouv le besoin de partager ces
informations avec dautres machines. Ce fut la naissance des rseaux
locaux (Local Area Network, LAN). Plus tard, on avait le besoin de
relier deux sites distants (interconnexion de LAN) pour lchange
dinformation. Ce fut lapparition des rseaux mtropolitains
(Metropolitan Area Network, MAN) et de rseau tendu (Wide Area
Network, WAN). Pour permettre cette interconnexion, on dfinit une
sortie (passerelle) vers le LAN distant. Dans un rseau local, une
panne au niveau de sa passerelle entrane linterruption des changes
dans le WAN. On a donc besoin que le LAN ait accs plusieurs sorties
afin dassurer la continuit des services. Le dbit la sortie de
chaque passerelle est diffrent. De ce fait, il y aurait des
passerelles surchargs tandis que dautres sont inutiliss. Il est
donc recommand dquilibrer la charge entre ces diffrentes sorties
afin dviter la congestion du rseau.LESP dispose actuellement de
quatre sorties rparti chacune dans le dpartement gnie informatique,
le dpartement de gestion, le service de finance et le service
scolaire. La panne dune sortie prive le dpartement des services
fournit par le fournisseur daccs internet (F.A.I). Notre objectif
serait dassurer la continuit du service aux diffrents dpartements
malgr une panne de la passerelle et dquilibrer la charge entre ces
sorties.Pour atteindre les buts prcdemment, nous allons repartir le
travail comme suit:Dans le premier chapitre, nous allons prsenter
la structure daccueil et tudier la structure de son rseau avec les
diffrents problmes rencontrs. Puis dans le deuxime chapitre, nous
allons tudier les mthodes nous permettant de faire face aux
problmes rencontrs dans le premier chapitre tout en citant quelques
outils matriels ou logiciels permettant de mettre en uvre ces
mthodes. Ensuite dans le chapitre trois, nous allons mettre en uvre
les solutions prcdemment tudies.
CHAPITRE1 Prsentation gnrale
I.1 - PRESENTATION DU LIEU DE STAGELUniversit Cheikh Anta Diop
de Dakar est constitue de plusieurs tablissements dont lcole
Suprieure Polytechnique (ESP). Cre par la loi n 94-78 du 24
novembre 1994, l'ESP est ne de la fusion entre : lcole
Polytechnique de This (EPT), la division industrielle de lcole
Nationale Suprieure Universitaire de Technologie (ENSUT), la
section Sciences et Techniques Industrielles de lcole Normale
Suprieure d'Enseignement Technique et Professionnel (ENSETP). Ses
locaux sont implants Dakar. L'ESP forme des Techniciens suprieurs
(DUT et DST), des Ingnieurs de conception (DIC), des Ingnieurs
d'excution sur la demande des entreprises (DIT) tant sur le plan
thorique que pratique. L'organisation scolaire est semestrielle et
le systme d'valuation de type contrle continu chiffr de 0 20.
Chaque fin de semestre donne lieu une valuation des acquis sous
forme de devoirs surveills. La validation de la formation, qui
donne lieu la dlivrance du diplme intgre l'valuation: Pour les
DUT/DST, d'un stage industriel, du rapport de ce stage, de la
soutenance de ce rapport devant un jury; Pour les DIT et DIC, d'un
stage industriel comportant l'tude et la ralisation d'un projet, la
confection d'un dossier technique relatif au projet (et/ou la
ralisation du projet) et sa prsentation devant un jury comportant
au moins un reprsentant de la structure ayant propos le
sujet.L'Ecole Suprieure Polytechnique a pour missions de : 1 -
Former tant sur le plan thorique que pratique des : Techniciens
Suprieurs ; Ingnieurs Technologues ; Ingnieurs de Conception ;
Managers en Gestion dEntreprises ; Docteurs. 2 - Dispenser un
enseignement suprieur en vue de prparer aux fonctions d'encadrement
dans: la Production ; la Recherche Applique ; les Services. 3 -
Organiser des enseignements et des activits de recherche visant :
au perfectionnement permanent ; l'adaptation et la participation :
l'volution scientifique et technologique ; lvolution conomique et
managriale. 4 - Procder des expertises l'intention des entreprises
publiques et prives.LESP dispose de six dpartements(le dpartement
gnie lectrique, le dpartement gnie civil, le dpartement chimique et
biologie applique, le dpartement de gestion, le dpartement
informatique et enfin le dpartement informatique) et de onze (11)
laboratoires (Le Laboratoire dImagerie Mdicale et de
Bio-informatique, le Laboratoire denseignement et Recherche en
Gomatique, le Laboratoire de Microbiologie Applique et de Gnie
industriel, le laboratoire dEnergtique Applique, le Laboratoire
dEnergies renouvelables, le Laboratoire dlectronique et des procds
membranaires, le laboratoire de traitement de linformation, le
centre international de formation et de recherche en nergie
solaire, le laboratoire dinformatique Rseaux et Tlcoms, le
laboratoire physique de latmosphre et de locan et le laboratoire de
recherche en GRH/Organisation). La recherche scientifique lEcole
Suprieure Polytechnique de Dakar se fait au niveau de ces onze (11)
laboratoires. Notre stage seffectuera dans le Laboratoire
dinformatique Rseaux et Tlcoms (LIRT). Le responsable de ce
laboratoire est le Dr Samuel Ouya. Les activits de recherche de ce
laboratoire sont bases sur les bases de donnes reparties et
distribues et le traitement dimages et interface homme-machine.
I.2- Architecture du rseauL'cole Suprieure Polytechnique dispose
de quatre (4) lignes ADSL. En effet, l'ESP dispose d'une ligne au
niveau de son service de scolarit, une autre au niveau de son
service de finance et les deux autres sont implants respectivement
au niveau du dpartement gnie informatique et du dpartement gnie
lectrique. Dans sa nouvelle Structure, l'ESP veut runir ces quatre
lignes au niveau du rseau CRENT.I.3- ProblmatiqueL'ESP dispose en
effet de quatre lignes. Ces quatre lignes fonctionnent
indpendamment les uns des autres. Une panne d'une ligne peut donc
paralyser tout un dpartement ou service. Il est donc ncessaire de
les runir tous ensemble grce un routeur ou tout autre quipement et
de les faire fonctionner ensemble. Mais ces lignes ne sont pas
dbits gaux, comment faire pour ne pas qu'une ligne soit sature
pendant qu'une autre ne l'est pas?I.4- ObjectifsLa solution serait
de mettre en place une solution de load-balancing et de failover.
Le load-balancing nous permettra de repartir le travail entre les
diffrentes lignes quitablement et le failover nous permettra de
basculer vers une autre ligne en cas de panne. Ainsi, notre
objectif serait de mettre en place la solution de load-balancing et
de failover sur le rseau CRENT pour que mme en cas de panne, le
dpartement ou le service peut continuer travailler en utilisant une
autre ligne ADSL.
CHAPITRE2
Le Load-Balancing et le Failover
II.1- Le load-balancingII.1.1- Concepts et DfinitionLa
rpartition de charge (load-balancing en anglais) est une technique
utilise en informatique pour distribuer le travail entre plusieurs
serveurs, processus, ordinateurs, disques, lignes ou autres
ressources. C'est en fait une forme d'optimisation. Il existe de
nombreux avantages lis au Load-Balancing tel que lamlioration des
temps de rponse des services, la capacit pallier la dfaillance
d'une ou de plusieurs lignes, la possibilit d'ajouter des serveurs
sans interruption de service. Dans le cas d'un load-balancing
multi-wan, le travail est rparti entre les diffrentes lignes WAN
selon l'algorithme utilis.
Le load-balancing peut-tre trs utile et va pouvoir permettre
d'assurer la rpartition des charges entre deux ou plusieurs
connexions internet.II.1.2- OutilsII.1.2.1- Outils matrielsLes
outils matriels permettant de faire du load-balancing multiwan sont
essentiellement des routeurs via diffrents protocoles dont IGRP,
OSPF et GLBP.
II.1.2.1.1- Le protocole IGRPIGRP (Interior Gateway Routing
Protocol) peut tre considr comme un protocole de routage vecteur de
distance. Il possde cependant quelques caractristiques qui le
distinguent des autres protocoles vecteur de distance tel que RIP
(Routing Information Protocol). Parmi ces caractristiques, on
distingue une rponse rapide aux modifications de rseaux et une
insensibilit la taille du rseau [1] (RIP est limit 15 sauts). Il
peut faire la gestion des chemins multiples (load-balancing) et ne
supporte pas les masques de sous-rseau de taille variable. Il est
dit pour cette raison classfull et ne supporte que quatre chemins
gaux.II.1.2.1.2- Le protocole OSPFLe protocole OSPF (Open Shortest
Path First) permet partir d'un nud de calculer le chemin le plus
court. Comme le protocole IGRP, OSPF n'est pas limit par le nombre
de saut contrairement RIP. Le protocole OSPF supporte parfaitement
le load-balancing et contrairement IGRP, il est classless et
supporte donc la segmentation sous-rseau VLSM (Variable Length
Subnet Mask).II.1.2.1.3- Le protocole GLBPGateway Load Balancing
Protocol est un protocole propritaire Cisco qui permet de faire de
la redondance ainsi que de la rpartition de charge sur plusieurs
routeurs utilisant une seule adresse IP virtuelle, mais plusieurs
adresses MAC virtuelles. Le protocole GLBP lit un Active Virtual
Gateway (AVG) qui va rpondre aux requtes ARP pour l'adresse IP
virtuelle. GLBP permet de donner un poids variable chacun des
routeurs participants la rpartition de charge.II.1.2.2- Outils
logicielsLes outils logiciels permettant de faire le load-balancing
sont Zeroshell, Pfsense...II.1.2.2.1- PfsenseAnciennement appel
Monowall, Pfsense est un logiciel open source tournant sous
FreeBSD. Il possde les fonctionnalits dun pare-feu mais galement
dun routeur. Il permet dintgrer galement de nouveaux services tels
que le load balancing, le fail over, la mise en place dun VPN, et
bien dautres. PfSense comprend en plus toutes les fonctionnalits de
pare-feu coteux commerciales, et plus encore dans de nombreux cas.
En plus, les communauts BSD sont trs actives et ouverte l'entraide
quelques soit la solution BSD. Les configurations de Pfsense se
font depuis le navigateur grce une interface graphique trs
conviviale.II.1.2.2.2- ZeroshellZeroshell est une distribution
Linux cre dans le but d'tre trs complte conue pour fournir des
services rseaux scuriss dans un rseau local. Elle a t dveloppe par
Fulvio Ricciardi pour tre totalement administrable via une
interface web. Fournie sous forme de Live CD, elle s'initialise en
insrant le CD dans la machine cible et en la redmarrant. La
connexion linterface dadministration se fait via un navigateur web
pour ensuite configurer les services rseaux. ZeroShell est un
outils qui peut nous permettre de mettre en place le load-balancing
ou le fail-over mais qui ne tient pas compte du dbit sur chaque
WAN.II.2- Le Failover II.2.1- Concepts et DfinitionLe basculement
(en anglais, failover qui se traduit par passer outre la panne) est
la capacit d'un quipement basculer automatiquement vers un chemin
rseau alternatif ou en veille. Cette action intervient dans la
plupart des cas sans intervention humaine. Dans le cas contraire,
on parle d'automatisation avec approbation humaine. Il existe deux
modes principaux de basculement: actif/actif qui s'apparente plus
de l'quilibrage de charge (load-balancing); et le mode classique
couramment rpandu, actif/passif o l'quipement secondaire (passif)
est en mode veille tant que l'quipement primaire (actif) ne
rencontre aucun problme. II.2.2- OutilsII.2.2.1- Outils
matrielsTout comme le load-balancing, le failover s'implmente via
des routeur avec des protocoles.II.2.2.1.1- Le protocole VRRPVRRP
(Virtual Router Redundancy Protocol) est un protocole non
propritaire dont le but est d'augmenter la disponibilit de la
passerelle par dfaut servant les htes d'un mme sous-rseau. VRRP
utilise la notion de routeur virtuelle, auquel est associe une
adresse IP virtuelle ainsi qu'une adresse MAC virtuelle. Parmi un
groupe de routeurs participant VRRP dans un sous-rseau, le
protocole va lire un matre, qui va rpondre aux requtes ARP pour
l'adresse IP virtuelle, ainsi qu'un ou plusieurs routeurs backup,
qui reprendront l'adresse IP virtuelle en cas de dfaillance du
routeur matre.Les autres htes du rseau sont configurs pour utiliser
l'adresse IP virtuelle comme passerelle par dfaut. Dans un groupe
VRRP, il n'y a pas de notion de partage de la charge, c'est le
routeur matre qui assure exclusivement la transmission des paquets
pour le routeur virtuel [2].II.2.2.1.2- Le protocole HSRPHSRP (Hot
Standby Router Protocol) est un protocole propritaire de Cisco
implment sur les routeurs permettant une continuit de service. HSRP
est principalement utilis pour assurer la disponibilit de la
passerelle par dfaut dans un sous-rseau en dpit d'une panne d'un
routeur. Dans un groupe HSRP, un routeur actif sera lu: celui qui
aura la priorit la plus leve. Les autres routeurs sont en stand-by
et coutent les messages mis par le routeur actif. Priodiquement,
les routeurs du groupe changent des messages Hello pour s'assurer
que les autres routeurs du groupe sont encore joignables. Le
routeur actif assure seul la rponse aux requtes ARP pour l'adresse
IP virtuelle. Si le routeur actif nominal devient inaccessible un
autre routeur sera lu: celui qui a la deuxime priorit la plus leve.
[3]II.2.2.2- Outils logicielsConcernant les outils logiciels, nous
pouvons citer Pfsense tout comme Zeroshell qui permettent aussi de
faire du failover.
CHAPITRE3
Mise en Pratique
III.1- Mise en place de la solution matrielleIII.1.1.1-
Orientation du choixDans le chapitre prcdent, nous avons numrer des
protocoles qui permettent de faire du failover (VRRP et HSRP) ou du
load-balancing (IGRP, OSPF et GLPB).Parmi ces protocoles, seul le
GLBP permet de faire du load-balancing et du failover. Implmentons
cette solution sur des routeurs Cisco.III.1.1.2- Orientation du
choix du logiciel de virtualisationLa notion de virtualisation
reprsente lensemble des techniques qui permettent de faire
fonctionner simultanment sur une seule machine plusieurs systmes
dexploitation et/ou applications, sparment les uns des autres,
comme sils fonctionnaient sur des machines physiques distinctes.
Dans le cas de virtualisation des systmes dexploitation, on parlera
de machines virtuelles.
Dans le schma ci-dessus, nous pouvons voir que sans la
virtualisation, il faut autant de postes que de systmes
dexploitation simultans alors quavec un outil de virtualisation, un
seul poste rpond au besoin. Le grand avantage de la virtualisation
est de faire une conomie importante au niveau du matriel, raison
pour laquelle nous faisons recours la virtualisation pour la mise
en place matrielle.VMware (Virtual Machine ware)VMware a plusieurs
versions dont Vmware workstation, Vmware Ace, Vmware fusion...
VMware workstation est la version station de travail du logiciel.
Il permet la cration d'une ou plusieurs machines virtuelles au sein
d'un mme systme d'exploitation (gnralement Windows ou Linux),
ceux-ci pouvant tre relis au rseau local avec une adresse IP
diffrente, tout en tant sur la mme machine physique (machine
existant rellement). Il est possible de faire fonctionner plusieurs
machines virtuelles en mme temps, la limite correspondant aux
performances de l'ordinateur hte. La version Linux prsente
l'avantage de pouvoir sauvegarder les fichiers de la machine
virtuelle (*.vmsd) pendant son fonctionnement. L'inconvnient est
que cet outils n'est pas gratuit, il faudrait donc penser payer la
licence.Virtual PCVirtual PC est un logiciel propritaire gratuit
d'mulation et de virtualisation. Il permet d'muler un systme
d'exploitation sur une architecture matrielle diffrente de celle
laquelle il tait initialement destin. Il permet galement de faire
fonctionner en mme temps plusieurs systmes d'exploitation diffrents
sur une mme machine physique. Virtual PC mule un PC standard et ses
priphriques associs. Ainsi, il peut tre utilis pour hberger peu prs
tous les systmes d'exploitation disponibles pour PC. Cependant, des
soucis peuvent survenir lors d'installations de systmes peu
courants qui n'ont pas t tudis spcifiquement au moment du
dveloppement de "Virtual PC".Oracle VW VirtualBoxOracle VM
VirtualBox (anciennement VirtualBox) est un logiciel de
virtualisation cr par InnoTek. Il supporte entre autre Windows,
Linux 32 et 64 bits, FreeBSD 32 et 64 bits et bien plus. Il a une
interface simple d'utilisation et peut supporter jusqu' 4 cartes
rseaux par machine.Le ChoixLe choix d'un logiciel de virtualisation
parmi les trois (3) cits ci-dessous savre difficile. Nanmoins, VM
Ware est un excellent logiciel sauf qu'il est payant. Virtual PC
quant lui ne supporte pas beaucoup de systme d'exploitation. Ce qui
n'est pas le cas de VirtualBox qui est gratuit et supporte beaucoup
de systme d'exploitation dont FreeBSD, le systme d'exploitation de
Pfsense. Pour cette raison, VirtualBox sera utilis pour la
simulation.III.1.1.3- Orientation du choix du logiciel de
simulation CiscoCisco Packet TracerPacket Tracer est un simulateur
de routeur Cisco et de rseaux informatiques. Il aide apprendre les
principes de mise en rseau ainsi qu' dvelopper ses comptences sur
les technologies Cisco. GNS3Graphical Network Simulator (GNS3) est
un simulateur d'quipements Cisco. Cet outil permet donc de charger
de vritable IOS Cisco et de les utiliser en simulation complte sur
un simple ordinateur. C'est un logiciel libre qui permet d'avoir un
routeur Cisco virtuel sur son ordinateur et fonctionne sur de
multiples plate-formes incluant Windows, Linux, et MacOS.Le
choixNotre choix s'orientera vers GNS3 car c'est un outil qui
permet d'muler de vritable IOS et de les utiliser en simulation
complte.
III.1.2- ConfigurationsPrincipe de fonctionnement du protocole
GLBPSur une architecture rseaux o il existe plusieurs pattes de
sortie sur le WAN, le GLBP permet de faire du load-balancing et
aussi de la redondance en cas de crash d'un lment actif. Le GLBP se
base sur une adresse IP virtuelle unique mais plusieurs adresses
MAC virtuelles. Un des routeurs est lu AVG (Active Virtual
Gateway), mais il aura aussi et avec tous les autres routeurs le
rle d'AVF (Active Virtual Forwarder), qui auront eux-mmes une
adresse MAC virtuelle.La mise en uvre se fera avec le schma
suivant;
Voila ce que a donne sous GNS3:D'aprs le schma, le routeur R1
sera notre AVG cot LAN et le routeur R3 sera notre AVG cot
WAN.Configuration de base Routeur
R1Router>enableRouter#configure terminalRouter(config)#no ip
domain-lookupRouteur(config)#hostname R1R1(config)#interface
f1/0R1(config-if)#ip address 192.168.0.251
255.255.255.0R1(config-if)#description ''Int LAN''R1(config-if)#no
shutdownR1(config-if)#exitR1(config)#interface
f1/1R1(config-if)#description ''Int WAN''R1(config-if)#ip address
192.168.1.251 255.255.255.0R1(config-if)#no shutdown Routeur
R2Router>enableRouter#configure terminalRouter(config)#no ip
domain-lookupRouteur(config)#hostname R2R2(config)#interface
f1/0R2(config-if)#ip address 192.168.0.252
255.255.255.0R2(config-if)#description ''Int LAN''R2(config-if)#no
shutdownR2(config-if)#exitR2(config)#interface
f1/1R2(config-if)#description ''Int WAN''R2(config-if)#ip address
192.168.1.252 255.255.255.0R2(config-if)#no shutdown Routeur
R3Router>enableRouter#configure terminalRouter(config)#no ip
domain-lookupRouteur(config)#hostname R3R3(config)#interface
f1/0R3(config-if)#ip address 192.168.0.253
255.255.255.0R3(config-if)#description ''Int LAN''R3(config-if)#no
shutdownR3(config-if)#exitR3(config)#interface
f1/1R3(config-if)#description ''Int WAN''R3(config-if)#ip address
192.168.1.253 255.255.255.0R3(config-if)#no shutdownConfiguration
du GLBP cot LAN: groupe 1Commenons par configurer le GLBP cot LAN
Routeur R1R1>enableR1#configure terminalR1(config)#interface
f1/0R1(config-if)#glbp 1 ip 192.168.0.254R1(config-if)#glbp 1
priority 255R1(config-if)#glbp 1 preemptR1(config-if)#glbp 1 name
glbp-lan Routeur R2R2>enableR2#configure
terminalR2(config)#interface f1/0R2(config-if)#glbp 1 ip
192.168.0.254R2(config-if)#glbp 1 priority 120R2(config-if)#glbp 1
preemptR2(config-if)#glbp 1 name glbp-lan Routeur
R3R3>enableR3#configure terminalR3(config)#interface
f1/0R3(config-if)#glbp 1 ip 192.168.0.254R3(config-if)#glbp 1
priority 100R3(config-if)#glbp 1 preemptR3(config-if)#glbp 1 name
glbp-lanExplication: Dans les configurations ci-dessus, glbp 1
correspond au groupe 1, glbp 1 ip permet d'attribuer une adresse ip
l'interface GLBP, glbp 1 priority permet d'attribuer une priorit au
routeur, qui va servir lire un routeur AVG. Nous voulons que R1
soit AVG donc nous mettons la plus haute valeur (255). Si un
routeur entre dans le groupe GLBP avec une valeur de priorit plus
forte que les autres, il doit quand mme attendre la prochaine
lection (qui aura lieu lorsque le routeur AVG actuel sera hors
service). La commande "glbp 1 preempt" permet d'viter ce problme.
Pour affiner le rglage nous pouvons rgler le dlai avant que le
routeur ne reprenne le contrle du groupe (dlai par dfaut = 30s) via
la commande "glbp 1 preempt delay XXX" o XXX est un nombre de
seconde. glbp 1 name glbp-lan permet simplement de donner un nom au
groupe.Configuration du GLBP cot WAN: groupe 2 Routeur
R1R1>enableR1#configure terminalR1(config)#interface
f1/1R1(config-if)#glbp 2 ip 192.168.1.254R1(config-if)#glbp 2
priority 100R1(config-if)#glbp 2 preemptR1(config-if)#glbp 2 name
glbp-wan Routeur R2R2>enableR2#configure
terminalR2(config)#interface f1/1R2(config-if)#glbp 2 ip
192.168.1.254R2(config-if)#glbp 2 priority 120R2(config-if)#glbp 2
preemptR2(config-if)#glbp 2 name glbp-wan Routeur
R3R3>enableR3#configure terminalR3(config)#interface
f1/1R3(config-if)#glbp 2 ip 192.168.1.254R3(config-if)#glbp 2
priority 255R3(config-if)#glbp 2 preemptR3(config-if)#glbp 2 name
glbp-wanMaintenant que les routeurs sont configurs, nous pouvons
faire show glbp pour voir le fonctionnement des groupes prcdemment
crs.
Configurons maintenant C1 et C2 qui sont des machines
virtuelles. Pour C1, configurons comme suit:Et pour C2:
TestNous allons tester maintenant la redondance, pour cela nous
allons faire un ping infini de C1 vers C2. Nous regarderons ensuite
quel routeur notre C1 est li en regardant son cache ARP.
On regarde sur un des routeurs, qui appartient l'adresse MAC
obtenue dans la table de C1 via la commande "show glbp" :
Comme l'image ci-dessus nous le montre, les paquets de C1 sont
passs par le Routeur R1. Dbranchons le routeur R1 et refaisons un
ping infini vers C2, depuis C1.
Aprs le ping, regardons une nouvelle fois le cache ARP de C1.
Nous constatons que l'adresse MAC associ son gateway
(192.168.0.254) a chang.
Regardons qui correspond cette nouvelle adresse MAC.
La commande show glbp nous renvoie cette image:
Nous constatons que cette adresse MAC correspond R2. Ce qui nous
permet d'tablir la table de correspondance suivant@ MAC VIRTUELLE@
MAC PHYSIQUE@ IPHostname
0007.b400.0101ca00.1053.001c192.168.0.251R1
0007.b400.0102ca01.1053.001c192.168.0.252R2
0007.b400.0103ca02.1053.001c192.168.0.253R3
Le failover fonctionne donc correctement. Pour tester le
load-balancing, mettons nous du cot de C2 et faisons un traceroute
vers C1.
Nous constatons que les paquets sont passs par R3 (qui est l'AVG
cot WAN cause de sa priorit leve 255). Maintenant vidons la cache
ARP de l'ordinateur C2 puis retapons la commande traceroute vers
C1.Les paquets passent par R2 (qui a la deuxime plus grande
priorit). Ce qui signifie que si dans le rseau on a un PC A qui
fait une premire requte, c'est le routeur R3 qui s'en chargera. Si
un deuxime PC (PC B) fait une requte, c'est le routeur R2 qui s'en
chargera et si un troisime ordinateur PC C fait une requte, c'est
donc le routeur R1 qui prendra en charge la requte. Pour tester
cette dernire opinion, vidons le cache ARP de C2 puis faisons un
traceroute de C2 vers C1 une nouvelle fois encore.Comme nous
l'attendions, le routeur R1 a pris la relve. C'est le principe du
Round-Robin.III.2- Mise en place de la solution logicielleIII.2.1-
Orientation du choixZeroshellZeroshell est une distribution Linux
cre dans le but d'tre trs complte conue pour fournir des services
rseaux scuriss dans un rseau local. Elle a t dveloppe par Fulvio
Ricciardi pour tre totalement administrable via une interface web.
Fournie sous forme de Live CD, elle s'initialise en insrant le CD
dans la machine cible et en la redmarrant. La connexion linterface
dadministration se fait via un navigateur web pour ensuite
configurer les services rseaux.ZeroShell est un outils qui peut
nous permettre de mettre en place le load-balancing ou le fail-over
mais qui ne tient pas compte du dbit sur chaque
WAN.PfsenseAnciennement appel Monowall, Pfsense est un logiciel
open source tournant sous FreeBSD. Il possde les fonctionnalits dun
pare-feu mais galement dun routeur. Il permet dintgrer galement de
nouveaux services tels que le load balancing, le fail over, la mise
en place dun VPN, et bien dautres. PfSense comprend plus toutes les
fonctionnalits de pare-feu coteux commerciales, et plus encore dans
de nombreux cas. En plus, les communauts BSD sont trs actives et
ouverte l'entraide quelques soit la solution BSD. Les
configurations de Pfsense se font depuis le navigateur grce une
interface graphique trs conviviale.
ChoixNotre choix se pointera vers Pfsense car il permet de grer
le dbit de chaque WAN pour le load-balancing. Ceci est trs
important pour viter la surcharge d'un serveur et l'inutilisation
de l'autre. En plus, Pfsense nous permet de contrler tout ce qui
entre ou sort de nos WANs ou de notre LAN de manire trs simple.
Toutes ces raisons nous poussent choisir Pfsense au dtriment de
ZeroShell.III.2.2- ConfigurationsAprs installation de Pfsense (voir
ANNEXE 1) grce VirtualBox, dmarrons la machine virtuelle. Nous
avons alors l'interface ci-dessus.
La rpartition a t faite comme suit:eth0
---------------------------------->em0Vboxnet2---------------------------->em1Vboxnet3---------------------------->em2Vboxnet4---------------------------->em3Rpondons
par non (en appuyant sur n) concernant la configuration des
VLANs.Pour les interfaces du
PfSense:LAN------------------------------------->em0WAN------------------------------------->em1WAN1------------------------------------->em2WAN2------------------------------------->em3.Nos
configurations seront bases sur le modle suivant:
Pour attaquer la configuration, commenons par les passerelles
dans System==>Routing. Comme illustr dans le schma ci-dessous,
la passerelle pour le WAN serait 120.0.0.254/8, celle du WAN1
serait alors 130.0.0.254/8 et enfin pour le WAN2, on attribuera la
passerelle 140.0.0.254/8.
A partir de cette interface, sous l'onglet Gateways, configurons
les passerelles comme prcdemment indiques.
Allons ensuite sous l'onglet Groups pour dfinir les rgles du
load-balancing en crant un nouveau groupe.En effet, dans la partie
Gateway Priority, les interfaces ayant le mme Tier feront du
load-balancing et ceux avec des Tier diffrents feront du failover
(mode actif/passif). Pfsense surveille les WANs en faisant des ping
sur leurs adresses IP ou sur le Monitor IP (s'il est renseign). La
condition pour qu'un WAN puisse tre hors-ligne est dfini dans
Trigger Level. Par dfaut, il est member down (c'est dire un WAN est
hors-ligne que s'il ne rpond pas aux ping donc avec 100% de paquets
perdus). Cette valeur peut-tre mise Packet Loss (si les paquets
perdus dpassent le seuil autoris), High Latency (si le temps de
latence dpasse celui autoris) ou Packet Loss or High Latency ( si
les paquets perdus dpassent le seuil autoris ou si le temps de
latence dpasse celui autoris).
Dans le menu Interfaces, choisissons les interfaces puis
configurons-les un un selon les adresses IP prcdemment tablies.
N'oublions surtout pas de renseigner les adresses MAC de chaque
interface pour ne pas que Pfsense se trompe de carte.
Associons-aussi chaque interface sa passerelle prcdemment
dfinie.
Configurons alors le pare-feu. Dans Firewall==>Rules, sous
l'onglet LAN, ajoutons une rgle qui permettra au LAN d'utiliser le
groupe (LB_and_Failover) prcdemment cr comme passerelle. En effet,
le LAN utilisera le groupe LB_and_Failover comme passerelle. Or le
groupe compos de 3 WANs, les WANs ayant le mme Tier s'alterneront
le travail dans un style de type round-robin. Dans le cas ou les
WANs, avec les mmes Tier, sont tous hors-ligne, le travail ira au
WAN avec le plus petit Tier.[4]Aussi, en surveillant les WANs grce
des ping, Pfsense saura quand un WAN est hors-ligne et l'exclura du
groupe automatiquement.
Le travail sur Pfsense tant termin, allons sur GNS3 pour relier
les WANs au routeur et crer les adresses IP associes dans Gateways.
Nous avons aussi besoin d'une machine virtuelle qui reprsentera
PC2. Cette machine tournera sous Linux et sera associ l'interface
Vboxnet 0.Pour relier les interfaces Vboxnet 0, Vboxnet 1... GNS 3,
crons des nuages et dans la configuration de ces derniers,
associons les interfaces Vboxnet 0, Vboxnet 1...
Ci-dessous la topologie cre sous GNS 3.
Configurons le routeur R1 comme
suit:Router>enableRouter#configure
terminalRouter(config)#interface fastEthernet
1/0Router(config-if)#ip address 150.0.0.254
255.0.0.0Router(config-if)#no
shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet
1/1Router(config-if)#ip address 120.0.0.254
255.0.0.0Router(config-if)#no
shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet
2/0Router(config-if)#ip address 130.0.0.254
255.0.0.0Router(config-if)#no
shutdownRouter(config-if)#exitRouter(config)#interface fastEthernet
2/1Router(config-if)#ip address 140.0.0.254
255.0.0.0Router(config-if)#no
shutdownRouter(config-if)#exitRouter(config)#ip route 192.168.1.0
255.255.255.0 120.0.0.1
Aprs cette manipulation, nous constatons que les Gateways sont
en lignes:
Configurons alors PC2.
Ceci tant fais, nous pouvons faire un ping de PC1 vers PC2.
Utilisons le logiciel mtr pour suivre le chemin emprunt par les
paquets.
Nous constatons que les paquets passent par le WAN (120.0.0.0).
Retapons une nouvelle fois la commande mtr -c1 -r 150.0.0.1 pour
voir le chemin quempruntera les paquets pour aller vers PC2.
On remarque que les paquets passent cette fois ci par le WAN1
(130.0.0.0). Ritrons l'exprience encore une nouvelle fois.
Nous constatons que le WAN est nouveau actif. Ceci est en
parfaite collaboration avec nos configurations sur PfSense o le WAN
et le WAN1 sont en load-balancing de type Round-Robin.
Dsactivons l'interface WAN puis ressayons:
La figure ci-dessus nous montre que le WAN est hors-ligne.
Comme attendu, le WAN ne rpondait plus alors, tous les paquets
passent par le WAN1. Pfsense redirige tout le trafic du LAN vers le
WAN1 car le WAN ne rpondait plus au ping.Recommenons encore
l'exprience une nouvelle fois en dsactivant le WAN1 aussi.
Nous remarquons bien que le WAN ainsi que le WAN1 sont
hors-lignes.
Le rsultat du test donne limage ci-dessous:
Comme escompt, PfSense bascule toute la charge vers le WAN2 qui
tait prvu pour le failover tant donn que tous les WANs du
load-balancing sont hors-lignes. Que se passerait-il si on remet le
WAN en marche?
L'image prcdente nous prouve que si le WAN revient en ligne,
tout le trafic repasse par lui. Mais que se passerait-il si le WAN1
revenait aussi en ligne?
Si le WAN et WAN1 venait nouveau tre disponible, ils
salterneront le travail nouveau jusqu' ce que l'un d'entre-deux
tombe en panne. Le WAN2 quant lui, ne sera actif que si le WAN1 et
le WAN sont hors-lignes.
CONCLUSION
Pour permettre diffrents rseaux de communiquer, on attribue dans
chaque rseau une sortie (passerelle) afin de contacter le rseau
distant. Cette sortie peut tomber en panne cause de diffrentes
raisons interrompant ainsi la communication entre les rseaux. Pour
pallier aux problmes de panne d'une ligne et quilibrer le travail
entre les diffrentes lignes, nous avons opt pour la technologie
concernant le load-balancing et le failover. Il existe cependant de
nombreux outils permettant de mettre en uvre ces technologies. Ces
outils peuvent tre d'ordre matriel ou logiciel. L'implmentation de
la solution matrielle s'est fait grce au protocole GLBP et un
routeur Cisco et celle logicielle s'est fait grce Pfsense.Au cours
de ce stage, nous nous sommes confronts aux difficults telles que
la documentation qui tait en majeur partie en anglais ou la
comprhension du pare-feu de Pfsense.Ce stage m'a permis d'largir
mes connaissances et m'a permis de comprendre beaucoup de chose sur
le monde du travail tel que la rigueur et la mthodologie du
travail. Ce stage ma aussi aid tre plus autonome. Cependant,
l'implmentation physique de la nouvelle structure du rseau est en
train d'tre mise en uvre. Raison pour laquelle la solution n'a pas
pu tre mise en pratique dans le rseau CRENT mais elle le sera ds la
finition de la mise en uvre de la nouvelle architecture.
Webographie[1]http://www.technologuepro.com/reseaux/Configuration-avancee-dun-routeur/Configuration-du-routage-IGRP.html[2]
http://fr.wikipedia.org/wiki/Virtual_Router_Redundancy_Protocol[3]
http://fr.wikipedia.org/wiki/Hot_Standby_Router_ProtocolBibliographie[4]
Pfsense 2 Cookbook.
Annexe I: Installation de PfsensePfsense peut-tre install sur un
simple ordinateur ou sur un serveur. Tlchargeons ensuite la dernire
version stable sur www.pfsense.org sous la rubrique Download.
Dmarrons ensuite VirtualBox et crons une machine virtuelle comme
suit:
Cliquons ensuite sur configuration puis sur Stockage et sur
Ajouter CD/DVD.
Choisissons ensuite l'image iso de PfSense tlcharg sur le site
officiel. Dans Rseau, activons 4 cartes rseau et relions la premire
interface sur l'interface eth0 et les 3 autres sur Rseau priv hte.
Assurons-nous qu'il ait des noms diffrents (Exemple: Vboxnet 2 pour
la carte 2, Vboxnet 3 pour la carte 3 et Vboxnet4 pour la carte
4).
Dmarrons alors la machine virtuelle aprs tre rassur qu'elle
dmarrera sur CD.
Laissons le compteur se dcrment ou choisissons l'option numro 1.
Ensuite, entrons I pour dmarrer l'installation.
Cela nous conduit la configuration de la console. Acceptons les
paramtres par dfaut.
Choisissons l'installation simple et rapide.
Cliquons ensuite Ok, l'installation commence donc.
Redmarrons la machine aprs avoir ject le CD.
55Prsent et soutenu par Sylvestre BELKOULAYO MBAYHAMNODJI
