Upload
doanquynh
View
229
Download
1
Embed Size (px)
Citation preview
Page 2
KRICKA David BTS SIO
Sommaire
1. Introduction
2. Contexte
3. Définitions
4. Configuration des switch
5. Création et configuration des vlan
6. Test de l’étanchéité des vlans
7. Configuration des permissions ACL
8. Test du routage inter vlan
9. Mise en place du protocole LACP et test de la répartition de
charge sur les switch
10 Test
Page 3
KRICKA David BTS SIO
1. Introduction
Le but de ce compte rendu est de voir les étapes nécessaires pour configurer deux Switch
Cisco SF300 8 ports en vlan par port avec routage inter vlan plus mise en place de filtrage
(ACL) entre plusieurs Vlan et pour finir la mise en place du protocole LACP pour la
répartition de charge entre les Switch.
2. Contexte
Ce TP s’inscrit dans notre contexte PPE de fin d’année concernant le projet Maison des ligues
Nous avons différents serveurs virtuels (AD, DNS, DFS, DHCP etc…) créé avec l’outil
Virtual box ainsi que différents hôtes de la ligue basket et volley, ces serveurs et hôtes sont
répartis sur quatre machines physique possédant chacune deux cartes réseau. Nous avons donc
décidé de faire 3 vlan différents (vlan serveur, basket, volley) pour pouvoir isoler dans un
premier temps tous les réseaux, puis dans un deuxième temps permettre aux hôtes des vlan
basket et volley d’accéder au vlan serveur.
Un document au format Visio a été établi pour montrer l’organisation de ces différents postes
et machines virtuelles.
Un fichier Excel a également été établi pour définir les différentes adresses IP des machines
des switch
Page 4
KRICKA David BTS SIO
3. Définitions
Quelques définitions :
Untagged : le port appartient à ce vlan et à lui seul
Tagged = Ce port laisse entrer les trames sur tous les VLAN, sans pour autant faire que les différents VLAN puissent communiquer entre eux. En gros, on s'en sert pour les Trunk, donc pour relier deux Switch entre eux par exemple.
Access : permet de n’affecter qu’un seul vlan a un port
L2/L3 : Layer 2 Switch niveau 2, ne fais pas de routage, Layer 3 Switch faisant du routage
Interdit : l'interface n'est pas autorisée à rejoindre le VLAN même à partir de l'enregistrement GVRP. Lorsqu'un port n'est pas membre d'un autre VLAN, l'activation de cette option sur le port l'intègre au VLAN interne 4095 (VID réservé).
Exclu : l'interface n'est actuellement pas membre du VLAN. C'est le paramètre par défaut pour tous les ports et LAG. Le port peut rejoindre le VLAN via un enregistrement GVRP.
Balisé : l'interface est un membre balisé du VLAN. Non balisé : l'interface est un membre non balisé du VLAN. Les trames du VLAN sont envoyées non balisées à l'interface VLAN.
Page 5
KRICKA David BTS SIO
4. Configuration des switch
Matériel : 2 switch Cisco SF300-8 qui vont nous servir à établir les
interconnections entre les différentes machines virtuelles.
IP d’administration du Switch : 192.168.1.254 se mettre dans le même réseau, pour
pouvoir accéder à l’interface d’administration du Switch, se brancher sur le port 1.
Mettre le Firmware a jour car de base le SF 300 ne propose pas le niveau L3 routage.
On peut également télécharger la langue sur le site de Cisco, en anglais par défaut.
Cocher L3, le Switch passe au niveau 3 puis redémarre.
Mettre une IP statique au Switch si besoin sur le vlan default du port 1, ce port ne
servira qu’a l’administration du Switch et aucune machine ne sera branchée dessus par
la suite.
5. Création et configuration des vlan
Nous allons créer ici des Vlan par port :
Gestion des VLAN > Paramètres VLAN renseigner le nom vlan ID pour nous
vlan 2 id=2 vlan3 id=3 etc…
Ajouter un vlan
Appliquer
Configuration des interfaces par port :
Gestion des VLAN > Appartenance VLAN du port
Id du port puis ok
Page 6
KRICKA David BTS SIO
Puis définir l’appartenance du port au vlan (access pour les vlan serveur,
basket, volley + les mettre en untagged)
Les ports 7 et 8 serviront à faire l’équilibrage de charge entre les deux switch
grâce au protocole LACP ils vont donc être défini en trunk (lien) et taggué
pour les vlan 2, 3, 4 car ils devront transporter tous nos vlan.
Le port 5 sera défini sur trunk et taggué car il sera relié au firewall routeur
IPfire.
Résumé pour les ports :
Port 1 Port 2 Port 3 Port 4 Port 5 Port 6 Port 7 Port 8
vlan PVID=1 PVID=2 PVID=3 PVID=4 PVID=2 Lag Lag
Mode
d’accès
Trunk Access Access Access Trunk Access Trunk trunk
Tous Untagged Untagged Untagged Tagged vlan2,3,4
Untagged Tagged vlan2,3,4
Tagged vlan2,3,4
Vlan2 =Vlan Serveurs, Vlan3 = Vlan basket, Vlan4 =vlan volley
Attribution des IP aux différentes interfaces :
Il faut au préalable brancher les switch aux machines physiques, avec nos vm en acces par pont qui
sont paramétrées avec la plage IP correspondant à nos vlan.(voir tableau Excel)
Cela a pour effet de générer des routes connectées dans l’interface de configuration du
switch/routeur dans la section IPV4, routes IPV4.
Ensuite dans Configuration IP > IPv4 Management and Interfaces (Interfaces et gestion Pv4)>
Interface IPv4.
Page 7
KRICKA David BTS SIO
Renseigner l’IP de l’interface pour chaque Vlan
Vlan2 : IP 10.11.4.5/24 serveurs
Vlan3 : IP 10.10.4.5/24 basket
Vlan4 IP : 10.9.4.5/24 Volley
Puis ajouter.
Aller dans interface puis sélectionner les vlan à associer aux IP en fonction de l’interface.
Penser à sauvegarder : Dans Administration : gestion des fichiers, Télécharger/sauvegarder
configuration/journal puis sauvegarder.
Ensuite il faut aller rechercher la sauvegarde pour l’enregistrer vers un emplacement de notre
choix.
Ce fichier sauvegardé sera injecté dans le deuxième Switch pour avoir la même configuratio n.
Note :
Un Switch L3 a son administration accessible de tous les vlan sur lesquels il a une adresse IP.
Page 8
KRICKA David BTS SIO
6. Test de l’étanchéité des vlan
Pour tester les vlan ne pas oublier de mettre la passerelle associée à chaque interface en
fonction du vlan dans lequel on se trouve dans notre cas :
vlan serveur interface 10.11.4.5
vlan basket interface 10.10.4.5
vlan volley interface 10.9.4.5
Ping entre basket et volley ça ne communique pas.
Ping entre volley et basket ça ne communique pas.
Ping entre serveur et volley ça ne communique pas.
Ping entre serveur et basket ça ne communique pas.
Pour l’instant rien ne communique, ce qui est l’utilité première des vlan (cloisonnement,
limitation des requêtes de diffusion).
7. Configuration des permissions ACL
Dans contrôle d’accès. ACL basées sur IPv4
Création d’un fichier acl test puis configuration dans ace
Définition des permissions pour que le vlan serveur soit accessible par les vlans basket et volley les
routes sont définies dans les deux sens.
Attention ici il faut écrire les masques associé aux IP à l’envers par exemple :
Pour un masque en 255.255.255.0 on écrira 0.0.0.255 car il s’agit ici de filtrage .
Ne pas oublier d’autoriser également les communications dans le même réseau exemple
Page 9
KRICKA David BTS SIO
Nous avons choisis de mettre la règle ace par défaut sur deny, pour n’autoriser que ce que l’on veut.
Lorsqu'une ACL est liée à une interface (port, LAG ou VLAN), ses règles ACE sont appliquées aux
paquets qui arrivent sur cette interface. Les paquets qui ne correspondent à aucune des ACE de l'ACL
sont mis en correspondance avec une règle par défaut, dont l'action consiste à abandonner les
paquets sans correspondance.
Page 10
KRICKA David BTS SIO
8. Test du routage inter vlan
Ici on voit que les vlan basket et volley communiquent avec le vlan serveur mais ne communiquent
pas entre eux.
Page 11
KRICKA David BTS SIO
9. Mise en place du protocole LACP et test de la répartition de
charge sur les switch
Le protocole LACP (Link Aggregation Control Protocol, protocole de contrôle de l'agrégation de
liaisons) fait partie de la spécification IEEE (802.3az) qui permet de regrouper plusieurs ports
physiques en un seul canal logique (LAG).
Les LAG multiplient la bande passante, augmentent la souplesse des ports et établissent une
redondance de liaisons entre deux périphériques.
Dans gestion des ports, agrégation de liaisons, créer un LAG entre les ports 7 et 8 et cocher LACP.
Sélectionner le LAG à configurer et cliquez sur Modifier.
LAG : sélectionnez le numéro du LAG.
Nom du LAG : saisir le nom du LAG ou un commentaire.
LACP : sélectionner cette option pour activer LACP sur le LAG sélectionné.
Ceci en fait un LAG dynamique. Vous ne pouvez activer ce champ qu'après avoir déplacé un port vers
le LAG dans le champ suivant.
Liste des ports : déplacez les ports à attribuer au LAG de la Liste des ports vers la liste Membres de
LAG. Vous pouvez affecter jusqu'à huit ports à un LAG statique et jusqu'à 16 ports à un LAG
dynamique.
Cliquez sur Appliquer. L'appartenance LAG est enregistrée dans le fichier de Configuration
d'exécution.
Page 12
KRICKA David BTS SIO
10 Test
Pour la vérification de la répartition de charge
Status and Statistics > RMON > Statistics
RMON (Remote Monitoring)
L'agent logiciel intégré de surveillance à distance, RMON, prend en charge 4 groupes de données
(historique, statistiques, alarmes et événements) pour améliorer la gestion, la surveillance et
l'analyse du trafic