Prface Srie de fvrier 2012 Prface Qui doit lire ce guide Le prsent guide Cisco Smart Business Architecture (SBA) s'adresse aux : ingnieurs systme qui ont besoin de procdures standard pour la mise en uvre de solutions ; chefs de projet qui dveloppent des noncs de travaux pour les mises en uvre Cisco SBA ; partenaires commerciaux qui vendent de nouvelles technologies ou crent une documentation de mise en uvre ; formateurs qui ont besoin de supports pour le droulement de leurs formations en classe ou sur site. En rgle gnrale, vous pouvez galement utiliser les guides Cisco SBA pour amliorer la cohrence entre les ingnieurs et les dploiements, mais aussi pour mieux cadrer les activits de dploiement et en dfinir le budget. Publication des guides par srie Cisco s'efforce de mettre jour et d'amliorer rgulirement ses guides SBA. Lorsque nous laborons une nouvelle srie de guides SBA, nous les testons conjointement en tant que systme global. Pour garantir la compatibilit mutuelle des conceptions dans les guides Cisco SBA, nous vous invitons utiliser les guides appartenant la mme srie. Tous les guides Cisco SBA portent le nom de la srie sur la couverture et en bas gauche de chaque page. Nous dsignons la srie en fonction du mois et de l'anne de sa publication. Par exemple : Srie de mois anne Par exemple, la srie de guides publis en aot 2011 s' intitule Srie d'aot 2011 . La toute dernire srie de guides SBA est disponible aux adresses suivantes : Accs clients : www.cisco.com/go/sba Accs partenaires : www.cisco.com/go/sbachannel Explication des commandes De nombreux guides Cisco SBA fournissent des dtails spcifiques sur la configuration de priphriques rseau Cisco excuts sous Cisco IOS, Cisco NX-OS ou d'autres systmes d'exploitation que vous configurez dans une interface de ligne de commande. Cette section porte sur la description des conventions utilises pour spcifier les commandes saisir. Les commandes saisir dans l' interface de ligne de commande apparaissent comme suit : configure terminal Les commandes spcifiant une valeur pour une variable apparaissent comme suit : ntp server 10.10.48.17 Les commandes contenant des variables dfinir apparaissent comme suit : class-map [nom de la classe suprieure] Les commandes figurant dans un exemple interactif (script ou inclusion d'une invite de commande) apparaissent comme suit : Router# enable Les commandes longues avec bouclage automatique sont soulignes. Saisissez-les sous la forme d'une commande unique : wrr-queue random-detect max-threshold 1 100 100 100 100 100 100 100 100 Les parties importantes des fichiers de sortie systme ou de configuration de priphriques apparaissent avec un surlignement, comme suit : interface Vlan64 ip address 10.5.204.5 255.255.255.0 Questions et commentaires Pour tout commentaire ou toute question sur un guide, utilisez le forum rfrenc au bas de l'un des sites suivants : Accs clients : www.cisco.com/go/sba Accs partenaires : www.cisco.com/go/sbachannel Un fil RSS est galement disponible si vous souhaitez tre inform de la publication de nouveaux commentaires. Table des matires Table des matires Srie de fvrier 2012 Contenu du prsent guide SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 propos de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 propos de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Autre documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2 Objectifs de conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4 Prsentation de l'architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Conception WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Qualit de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12 Optimisation WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Dploiement du WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14 Objectifs de conception d'ensemble de l'architecture du WAN . . . . . . . . . . . . 14 Dploiement d'un WAN MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16 Prsentation commerciale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Prsentation de la technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16 Le dploiement en dtail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Configuration du routeur CE MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20 Configuration des routeurs CE MPLS de site distant . . . . . . . . . . . . . . . . . . . . . . 27 Ajout de liaison secondaire MPLS sur un routeur CE MPLS existant . . . . . . . 35 Configuration de routeur de site distant (Double routeur - Routeur 2). . . . . . 38 Dploiement d'un WAN DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47 Prsentation commerciale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Prsentation de la technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47 Le dploiement en dtail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuration du routeur concentrateur DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . 53 Configuration du commutateur pare-feu et DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . 61 Activation de la sauvegarde DMVPN sur un routeur CE MPLS existant . . . . 67 Configuration d'un routeur satellite DMVPN de site distant . . . . . . . . . . . . . . . . 73 Dploiement d'une couche de distribution pour un site distant WAN . . . . . . . . 82 Couche de distribution de routeur CE MPLS de site distant . . . . . . . . . . . . . . . 82 Couche de distribution du deuxime routeur de site distant . . . . . . . . . . . . . . . 84 Configuration du commutateur de couche de distribution WAN de site distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86 Table des matires Table des matires Srie de fvrier 2012 TOUTES LES CONCEPTIONS, SPCIFICATIONS, DCLARATIONS, INFORMATIONS ET RECOMMANDATIONS (APPELES COLLECTIVEMENT CONCEPTIONS ) PRSENTES DANS CE MANUEL LE SONT EN L'TAT , AVEC LEURS IMPERFECTIONS. CISCO ET SES FOURNISSEURS EXCLUENT TOUTES LES GARANTIES, Y COMPRIS, MAIS SANS S'Y LIMITER, TOUTE GARANTIE DE QUALIT MARCHANDE, D'ADQUATION UN USAGE PARTICULIER, D'ABSENCE DE CONTREFAON OU TOUTE AUTRE GARANTIE DCOULANT DE PRATIQUES OU DE RGLES COMMERCIALES. EN AUCUN CAS, CISCO OU SES FOURNISSEURS NE SERONT TENUS POUR RESPONSABLES DE TOUT DOMMAGE INDIRECT, PARTICULIER, CONSCUTIF OU ACCESSOIRE INCLUANT, SANS S'Y LIMITER, LES PERTES DE PROFITS OU PERTES OU DOMMAGES DE DONNES RSULTANT DE L'UTILISATION OU DE L'INCAPACIT UTILISER LES CONCEPTIONS, MME SI CISCO OU SES FOURNISSEURS ONT T AVISS DE LA POSSIBILIT DE TELS DOMMAGES. LES CONCEPTIONS PEUVENT TRE MODIFIES SANS PRAVIS. SEULS LES UTILISATEURS SONT RESPONSABLES DE LEUR APPLICATION DES CONCEPTIONS. LES CONCEPTIONS NE REPRSENTENT PAS DES CONSEILS TECHNIQUES OU PROFESSIONNELS DISPENSS PAR CISCO, SES FOURNISSEURS OU PARTENAIRES. LES UTILISATEURS DOIVENT CONSULTER LEURS PROPRES CONSEILLERS TECHNIQUES AVANT DE METTRE EN UVRE LEURS CONCEPTIONS. LES RSULTATS PEUVENT VARIER SELON CERTAINS FACTEURS NON TESTS PAR CISCO. Les adresses de protocole Internet (IP) utilises dans ce document ne sont pas censes tre des adresses relles. Tous les exemples, rsultats d'affichage de commandes et chiffres auxquels il est fait rfrence dans ce document sont donns titre indicatif uniquement. L'utilisation de toute adresse IP relle titre d'exemple est non intentionnelle et fortuite. 2012 Cisco Systems, Inc. Tous droits rservs. Dploiement de la qualit de service WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Configuration de la qualit de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89 Dploiement de l'optimisation des applications avec le WAAS . . . . . . . . . . . . . . 93 Prsentation commerciale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Prsentation de la technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93 Configuration WAAS/WAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96 Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113 Annexe B : Supplment - Fonctionnalits techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 FVRF (Front Door vREF) pour DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115 Annexe C : Modications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117 Contenu du prsent guide SBA propos de SBA Cisco SBA vous aide concevoir et dployer rapidement un rseau d'entreprise offrant un service intgral. Un dploiement Cisco SBA est normatif, immdiat, volutif et flexible. Cisco SBA intgre diverses technologies (LAN, WAN, sans fil, scurit, data center, optimisation des applications et communications unifies) testes conjointement en tant que systme global. Cette approche, qui se traduit par une prise en compte des composants, simplifie l'intgration systme de plusieurs technologies. Autrement dit, vous avez la possibilit de choisir les solutions aux problmes que rencontre votre entreprise, sans vous soucier de leur complexit technique. Pour plus d' informations, consultez le document How to Get Started with Cisco SBA (Premiers pas avec Cisco SBA) : www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/ Smart_Business_Architecture/SBA_Getting_Started.pdf propos de ce guide Ce guide de dploiement de base comprend plusieurs sections, chacune tant organise comme suit : Prsentation commerciale : le dfi auquel l'entreprise fait face. Les dcideurs commerciaux peuvent utiliser cette partie pour comprendre dans quelle mesure la solution propose prsente un intrt pour le droulement des oprations de l'entreprise. Prsentation de la technologie : la faon dont Cisco relve le dfi. Les dcideurs techniques peuvent utiliser cette partie pour comprendre le fonctionnement de la solution. Dtails du dploiement : les instructions dtailles de la mise en uvre de la solution. Les ingnieurs systme peuvent utiliser cette partie pour obtenir une mise en service rapide et fiable de la solution. Pour connatre les changements apports ce guide par rapport celui de la srie prcdente, consultez Annexe C : Modifications. Pour comprendre le prsent guide, vous devez avoir lu la prsentation de la conception de base, comme indiqu dans Le chemin vers le succs, ci-dessous. 1 Contenu du prsent guide SBA Srie de fvrier 2012 Le chemin vers le succs Pour russir la mise en uvre des conceptions dcrites dans le prsent guide, nous vous invitons parcourir tous les guides qui sont antrieurs ce guide. La liste se trouve sur la gauche. Les guides postrieurs au prsent document figurent sur la droite. Accs clients tous les guides SBA : www.cisco.com/go/sba Accs partenaires : www.cisco.com/go/sbachannel Prsentation de la conception Guide de dploiement WAN Guides de dploiement supplmentaires ENT BN Vous tes ici Guides connexes Guides pralables 2 Introduction Srie de fvrier 2012 Introduction Cisco SBA for Enterprise Organizations Rseaux sans frontires offrent une base rseau solide conue pour apporter aux rseaux comptant entre 2 000 et 10 000 utilisateurs connects la souplesse ncessaire pour prendre en charge de nouveaux utilisateurs ou services rseau, sans avoir reconcevoir le rseau. Nous avons rdig un guide de dploiement normatif prt l'emploi qui s'appuie sur les principes de conception issus des meilleures pratiques, l'objectif tant de vous apporter flexibilit et volutivit. La description de cette architecture de base figure dans un guide de conception, ainsi que dans plusieurs guides de dploiement et de configuration pour chacune des trois parties concernes : LAN, WAN et Internet Edge. Sachez que pour certains des lments de cette architecture, vous disposez galement de trois guides de dploiement des rseaux tendus (WAN) : Le prsent guide de dploiement des rseaux tendus (WAN) vous offre des conseils et une mthode de configuration pour le transport MPLS (Multiprotocol Label Switching, commutation multiprotocole par tiquette), ainsi que pour le transport haut dbit ou Internet dans le cadre d'une mission de secours. Le guide de dploiement des rseaux tendus de couche 2 propose des conseils et une mthode de configuration pour un transport VPLS (Virtual Private LAN Service, service LAN priv virtuel) ou Metro Ethernet, ainsi que pour un transport haut dbit ou Internet dans le cadre d'une mission de secours. Le guide de dploiement des sites distants VPN propose des conseils et une mthode de configuration pour le transport haut dbit ou Internet, dans le cadre d'une mission principale ou d'une mission de secours. Autre documentation Le guide de conception vous oriente vers une conception Cisco SBA gnrale et explique les exigences prises en compte au moment de slectionner des produits spcifiques. Le guide de dploiement des rseaux locaux (LAN) constitue une description de l'accs au rseau filaire et sans fil avec des fonctionnalits omniprsentes, tant pour les LAN plus tendus dans les environnements de type campus que pour les LAN de site distant de taille plus rduite. Rsilience, scurit et volutivit sont au rendez-vous pour crer un environnement de communication robuste. Une qualit de service est propose pour veiller ce que l'architecture de base puisse prendre en charge un nombre important d'applications, notamment des applications multimdias sensibles aux pertes et faible latence coexistant avec des applications de donnes sur un rseau unique. Ce guide offre galement une solution rserve aux invits et partenaires, sans accs aux informations internes confidentielles, sur la mme infrastructure sans fil que celle utilise par les employs. Le guide de dploiement d' Internet Edge se concentre sur les services de scurit, par exemple les pare-feu et systmes de prvention des intrusions, qui permettent la protection de l'accs de votre entreprise Internet. Associes un quilibrage de la charge du serveur, les options de connectivit et de routage proposes par les fournisseurs de services Internet assurent la rsilience de la conception. La section de ce guide intitule Scurit e-mail porte sur la protection contre les courriers malveillants et indsirables. La section Scurit Web traite des contrle et surveillance d'utilisation acceptable. Sont offerts, d'autre part, des conseils permettant de grer l'augmentation des risques associs aux clients qui naviguent sur Internet. La conception VPN d'accs distance prend en charge les tltravailleurs et les utilisateurs mobiles avec un accs distance scuris. Nous abordons l'ensemble de ces lments dans des sections spares mais toutes participent proposer une solution Internet Edge scurise. 3 Introduction Srie de fvrier 2012 Figure 1 - Prsentation des rseaux sans frontires pour les grandes entreprises VPN matriel et logiciels Tltravailleur / Travailleur mobile Routeur de filiale avec acclration des applications Commutateur accs client Point d'accs sans fil Site distant VPN d'accs distant Routeurs de priphrie Internet Commutateurs de distribution Commutateurs principaux Commutateurs accs client Serveurs Internet Contrleur LAN sans fil Acclration des applications Acclration des applications Routeur rgional Appliance de scurit Web Appliance de scurit de messagerie lectronique WLAN invits Pare-feu VPN Commutateurs de cur de rseau et distribution regroups Contrleur LAN sans fil Bureau rgional Btiment 1 Btiment 2 Btiment 4 Btiment 3 I I Agrgation WAN Priphrie Internet Internet Edge ww W ww W Centre de donnes Internet WAN 4 Introduction Srie de fvrier 2012 Objectifs de conception Cette architecture s'articule autour des besoins exprims par les clients, les partenaires et le personnel Cisco de terrain et s'adresse aux entreprises comptant de 2 000 10 000 utilisateurs connects. Au moment de sa conception, nous avons pris en compte toutes les informations relatives aux besoins et aux objectifs de conception suivantes. Facilit de dploiement, exibilit et volutivit Les entreprises comptant de 2 000 10 000 utilisateurs se trouvent souvent disperses d'un point de vue gographique, ce qui fait de la flexibilit et de l' volutivit du rseau une exigence critique. Cette conception est base sur plusieurs mthodes pour crer un rseau volutif et en assurer la maintenance : Grce un nombre limit de conceptions standard pour des parties communes du rseau, le personnel d'assistance peut plus efficacement concevoir des services pour le rseau, les mettre en uvre et les prendre en charge. Notre approche de conception modulaire renforce l' volutivit. partir d'un ensemble d' lments constitutifs globaux standard, nous pouvons assembler un rseau volutif et ainsi rpondre aux exigences dfinies. La plupart des modules enfichables se ressemblent dans plusieurs catgories de services. Cet aspect commun offre cohrence et volutivit en ce sens que des mthodes de prise en charge identiques peuvent aider assurer la maintenance de plusieurs aspects du rseau. Ces modules adoptent des modles de conception rseau standard trois couches (centrale, distribution et accs). Ils utilisent une sparation de ces couches pour garantir une dfinition correcte des interfaces entre les diffrents modules enfichables. Rsilience et scurit L'un des lments fondamentaux de la maintenance d'un rseau hautement disponible consiste mettre en place une redondance adapte pour prvenir les dfaillances du rseau. Notre architecture redondante fait l'objet d'un quilibrage soign qui tient compte de la complexit inhrente aux systmes redondants. De plus, compte tenu du volume important de trafic sensible aux retards et aux pertes (p. ex. les confrences voix et vido), nous avons galement tout particulirement insist sur les temps de rcupration. Nous avons ainsi jug qu' il tait important de privilgier des conceptions qui rduisent le dlai entre la dtection de la panne et la rcupration pour garantir la disponibilit du rseau, mme en cas de dfaillance d'un composant mineur. La scurit du rseau revt galement une importance toute particulire dans cette architecture. Un grand rseau comporte de nombreux points d'entre et nous devons les scuriser autant que possible, sans pour autant nuire l'utilisation du rseau. Scuriser le rseau nous aide non seulement tablir un rempart contre les attaques mais constitue aussi un lment essentiel de la rsilience sur l'ensemble du rseau. Facilit de gestion Si ce guide se concentre sur le dploiement de la base du rseau, la partie ddie la conception prend ensuite en compte la gestion et l'exploitation. Les configurations dcrites dans les guides de dploiement permettent une gestion des priphriques au moyen de connexions de gestion normales, de type SSH et HTTPS, mais aussi par le biais de NMS (Network Management System, systme d'administration rseau). Ce guide ne traite pas de la configuration du NMS. Compatibilit assure avec les technologies avances La flexibilit, l' volutivit, la rsilience et la scurit sont toutes autant de caractristiques d'un rseau prt pour le dploiement de technologies avances. De par la conception modulaire de cette architecture, il est possible d'ajouter des technologies ds lors que l'entreprise est prte les dployer. Toutefois, le dploiement de technologies avances (p. ex. la collaboration) s'en trouve facilit. Cette architecture intgre en effet des produits et des configurations capables de les prendre en charge, ds le premier jour. Par exemple : Les commutateurs d'accs proposent la technologie PoE (Power over Ethernet) pour les dploiements de tlphones, sans source d'alimentation locale. L' intgralit du rseau, prconfigure en matire de qualit de service, prend en charge le trafic vocal de grande qualit. Le flux multicast est configur sur le rseau pour garantir l'efficacit des applications vocales et de diffusion vido. Le rseau sans fil est prconfigur pour les priphriques permettant de passer des appels vocaux sur le rseau LAN sans fil, assurant ainsi, sur tous les sites, des fonctionnalits de tlphonie IP bases sur la norme 802.11 ou la technologie Wi-Fi (un concept aussi appel mobilit). L' infrastructure Internet Edge est en mesure de proposer des tlphones logiciels par VPN, ainsi que des tlphones de bureau ou matriels. 5 Prsentation de l'architecture Srie de fvrier 2012 Prsentation de l'architecture Le guide de dploiement des rseaux tendus (WAN) Cisco SBA for Enterprise Organizations les solutions Rseaux sans frontires permettent une conception dans laquelle la connectivit est scurise, optimise et hautement disponible pour plusieurs rseaux LAN de site distant. Le WAN est l' infrastructure de mise en rseau qui assure une interconnexion sur IP de plusieurs sites distants qu'un grand nombre de kilomtres sparent. Ce document vous montre comment dployer les bases du rseau et les services correspondants et ainsi assurer : la connectivit au WAN pour 25 500 sites distants ; les liaisons principales et secondaires, l'objectif tant de proposer des options de topologie redondante des fins de rsilience ; la confidentialit des donnes par le biais du cryptage ; l'optimisation du WAN et l'acclration des applications ; l'accs au rseau LAN filaire et sans fil sur l'ensemble des sites distants. Conception WAN L'objectif premier de cette conception est de permettre l'utilisation de rseaux de transport WAN couramment dploys : VPN de couche 3 s'appuyant sur le protocole MPLS (Multiprotocol Label Switching) ; VPN Internet un niveau lev, le WAN est un rseau IP et l' intgration de ces transports dans la conception peut s'effectuer sans difficult. L'architecture choisie dsigne un site d'agrgation WAN principal analogue au site concentrateur dans une conception traditionnelle de type concentrateur satellite. Ce site possde des connexions directes avec les deux transports WAN cits et des connexions grande vitesse avec les fournisseurs de services slectionns. De plus, le site utilise un quipement rseau adapt des fins de hautes performances et de redondance. Le site d'agrgation WAN principal coexiste avec le data center et habituellement aussi, avec l'environnement principal de type campus ou le LAN. Transport WAN MPLS Le protocole MPLS (Multiprotocol Label Switching) du logiciel Cisco IOS permet aux grandes entreprises et aux fournisseurs de services de btir des rseaux intelligents de nouvelle gnration, capables d'offrir un large ventail de services avancs et valeur ajoute sur une infrastructure unique. Vous pouvez intgrer cette solution conomique en toute transparence sur une infrastructure existante quelle qu'elle soit, du type IP, Frame Relay, ATM ou Ethernet. Les VPN de couche 3 s'appuyant sur MPLS utilisent un modle VPN homologue homologue qui exploite le protocole BGP (Border Gateway Protocol, protocole passerelle de limite) afin de distribuer des informations lies au VPN. Ce modle homologue homologue permet aux abonns des grandes entreprises d'externaliser les informations du routage auprs des fournisseurs de services, soit de diminuer de manire importante les cots et de rduire la complexit oprationnelle. Les abonns qui ont besoin d'assurer un trafic multicast IP peuvent activer les VPN multicast (MVPN). Le WAN exploite le VPN MPLS en tant que transport WAN principal ou transport WAN de secours (vers un VPN MPLS principal de substitution). Internet en tant que transport WAN Internet est essentiellement un rseau WAN public grande chelle qui se compose de plusieurs fournisseurs de services interconnects. Le rseau Internet peut fournir une connectivit fiable et hautement performante entre plusieurs sites, bien qu' il n'offre aucune garantie explicite quant ces connexions. En dpit de sa nature qui n'offre aucune garantie quant la qualit du service, Internet constitue un choix judicieux en tant que transport WAN alternatif ou en tant que transport principal lorsqu'aucune autre option de transport n'est disponible. Les connexions Internet font habituellement partie des discussions portant sur la priphrie Internet, tout particulirement concernant le site principal. Les routeurs de site distant possdent aussi frquemment des connexions Internet mais n'assurent pas un ventail aussi tendu de services par l' intermdiaire d' Internet. Entre autres pour des raisons de scurit, l'accs Internet sur les sites distants s'effectue souvent par le biais du site principal. Le WAN fonctionne avec Internet pour des connexions VPN site site, en tant que transport WAN de secours (vers un VPN MPLS). VPN multipoint dynamique Le DMVPN (Dynamic Multipoint VPN, VPN multipoint dynamique) est une solution qui permet de crer des VPN site site volutifs prenant en charge un large choix d'applications. Cette solution est largement utilise pour assurer une connectivit site site crypte sur rseaux IP publics ou privs. Sa mise en uvre est assure sur tous les routeurs WAN utiliss dans le prsent guide de dploiement. Le DMVPN a t choisi comme solution de cryptage pour le transport Internet car il prend en charge une connectivit maillage complet la demande. Il utilise pour cela une configuration simple de type concentrateur satellite et un modle de dploiement automatique de concentrateur pour l'ajout de sites distants. Le DMVPN prend galement en charge les routeurs satellites qui disposent d'adresses IP affectes de manire dynamique. 6 Prsentation de l'architecture Srie de fvrier 2012 Le DMVPN fonctionne avec des tunnels mGRE (multipoint generic routing encapsulation, encapsulation gnrique de routage multipoints) pour interconnecter le concentrateur tous les routeurs satellites. Dans ce contexte prcis, les tunnels mGRE sont parfois appels Clouds DMVPN. Cette association de technologies prend en charge les requtes IP en unicast, multicast et broadcast, notamment la possibilit d'excuter des protocoles de routage au sein de ces tunnels. WAN Ethernet Les deux transports WAN mentionns prcdemment utilisent Ethernet comme type de support standard. Ethernet devient l'une des alternatives dominantes sur la plupart des marchs. Aussi est-il pertinent d' inclure Ethernet comme support principal dans les architectures testes. L'essentiel de la discussion de ce guide porte galement sur les supports non-Ethernet (p. ex. T1/E1, DS-3, OC-3, etc.), mais aucun n'est dcrit ici de manire explicite. Conceptions d'agrgation WAN Les conceptions d'agrgation WAN (concentrateur) intgrent au moins deux routeurs de priphrie WAN. Dans le contexte de la connexion un oprateur ou un fournisseur de services, les routeurs de priphrie WAN font habituellement rfrence aux routeurs CE (Customer Edge, priphrie client). Les routeurs de priphrie WAN qui facilitent le trafic VPN sont appels routeurs concentrateurs VPN. L'ensemble des routeurs de priphrie WAN se connectent une couche de distribution. Parmi les options de transport WAN figurent l'accs par VPN MPLS et l'accs Internet traditionnel. Pour ces deux types de transport, nous utilisons respectivement un routeur CE ou un routeur concentrateur VPN. L' interfaage avec chacun de ces transports exige une mthode de connexion et une configuration diffrentes. Nous documentons deux conceptions d'agrgation WAN dans le prsent guide de dploiement : WAN 100 et WAN 500. La principale diffrence entre les conceptions WAN 100 et WAN 500 est l' chelle d'ensemble de l'architecture et les fonctionnalits des diffrentes plates-formes choisies pour prendre en charge la conception. Dans ces deux conceptions d'agrgation WAN, des tches comme celles permettant de rsumer les routes IP sont excutes sur la couche de distribution. Il existe plusieurs autres priphriques prenant en charge les services de priphrie WAN. Ils peuvent galement intervenir au niveau de la couche de distribution. Chaque oprateur de rseau MPLS se raccorde un routeur WAN ddi avec un objectif principal, celui d' liminer les points de panne uniques. Un routeur concentrateur VPN unique est utilis dans ces deux conceptions. Consultez le tableau suivant pour comprendre la diffrence entre ces deux modles de conception. Tableau 1 - Conceptions d'agrgation WAN Modle Liaisons WAN Routeurs de priphrie Transport 1 Transport 2 Transport 3 WAN 100 Double Double VPN MPLS A VPN Internet WAN 500 Multiples Multiples VPN MPLS A VPN MPLS B VPN Internet Les caractristiques de chaque conception sont les suivantes : La conception WAN 100 Possde une bande passante agrge allant jusqu' 100 Mbit/s. Prend en charge jusqu' 100 sites distants. Possde un seul oprateur VPN MPLS. Utilise une liaison Internet unique. Consultez la figure suivante pour une illustration de la conception WAN 100. Figure 2 - Conception WAN 100 Conception complte WAN 100 Cur de rseau et distribution regroups : g p 6500 VSS 4 500 Pile 3750 Optimisation WAN: WAAS Bl i h i Routeur CE MPLS : ASR1001 Routeur avec terminaison VPN : ASR1001 Blocage priphrie Internet 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 1 Internet MPLS 7 Prsentation de l'architecture Srie de fvrier 2012 La conception WAN 500 Possde une bande passante agrge allant jusqu' 1 Gbit/s. Prend en charge jusqu' 500 sites distants. Possde plusieurs oprateurs VPN MPLS. Utilise une liaison Internet unique. Consultez la figure suivante pour une illustration de la conception WAN 500. Figure 3 - Conception WAN 500 Conceptions de site distant WAN Ce guide prsente plusieurs conceptions de site distant WAN. Toutes s'appuient sur diffrentes combinaisons de transport WAN associes aux exigences spcifiques du site pour rpondre aux niveaux de service et aux besoins de redondance. Figure 4 - Conceptions de site distant WAN Les conceptions de site distant intgrent des routeurs de priphrie WAN simples ou doubles. Il peut s'agir de routeurs CE ou de routeurs satellite VPN. Dans certains cas, un routeur de priphrie WAN simple peut remplacer un routeur CE et un routeur satellite VPN. La plupart des sites distants sont conus avec une priphrie WAN routeur simple. Toutefois, certains types de site distant exigent une priphrie WAN routeur double. Parmi les sites pouvant utiliser un routeur double figurent les bureaux rgionaux ou les environnements de campus distants o il y a un grand nombre d'utilisateurs, ou encore les sites ayant des besoins professionnels critiques qui justifient une redondance supplmentaire pour supprimer les points de panne uniques. Conception complte WAN 500 Cur de rseau : 6500 Optimisation WAN: WAAS Routeurs MPLS CE : S 000 Distribution priphrie WAN: Pile 3750 Bl i h i ASR1000 R Blocage priphrie Internet Routeur avec terminaison VPN : ASR1000 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 2 Internet MPLS A MPLS B Li i Li i R t t Conceptions de site distant WAN Liaisons non redondantes Liaisons redondantes Routeurs et liaisons redondants MPLS MPLS WAN MPLS-A MPLS-B MPLS-A MPLS-B MPLS + WAN MPLS Internet MPLS Internet MPLS + WAN Internet 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 3 8 Prsentation de l'architecture Srie de fvrier 2012 La mthodologie d'ensemble utilise pour concevoir le WAN s'appuie sur un site d'agrgation WAN principal qui peut s'adapter tous les types de site distant correspondant aux diffrentes combinaisons de liaisons nonces dans le tableau suivant. Tableau 2 - Options de transport de site distant WAN Routeurs de site distant WAN Transports WAN Transport principal Transport secondaire Simple Simple VPN MPLS A - Simple Double VPN MPLS A VPN MPLS B Simple Double VPN MPLS A Internet Simple Double VPN MPLS B Internet Double Double VPN MPLS A VPN MPLS B Double Double VPN MPLS A Internet Double Double VPN MPLS B Internet La nature modulaire de la conception de ce rseau vous permet de crer des lments de conception rplicables sur ce mme rseau. Les deux conceptions d'agrgation WAN et les conceptions de site distant WAN font partie des lments constitutifs standard de la conception d'ensemble. La reproduction de chacun de ces lments constitutifs offre un moyen simple de faire voluer le rseau et une mthode de dploiement cohrente. Interconnexion WAN/LAN Le rle principal du WAN est d' interconnecter le site principal et les rseaux LAN des sites distants. Dans le cadre de ce guide et de la discussion portant sur le LAN, nous n'aborderons que la faon dont le LAN de site d'agrgation WAN se connecte aux priphriques d'agrgation WAN et la faon dont les LAN de sites distants se connectent aux priphriques WAN de sites distants. Vous trouverez d'autres dtails spcifiques aux composants LAN de la conception dans le guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless Networks. Sur les sites distants, la topologie LAN dpend du nombre d'utilisateurs connects et de la gographie physique du site. De grands sites exigent parfois l'utilisation d'une couche de distribution pour prendre en charge plusieurs commutateurs de couche d'accs. Au contraire, d'autres sites ncessitent seulement un commutateur de couche d'accs qui se connecte directement aux routeurs de site distant WAN. Consultez le tableau suivant pour connatre les diffrentes variantes testes et documentes dans ce guide. Tableau 3 - Options LAN de site distant WAN Routeurs de site distant WAN Transports WAN Topologie LAN Simple Simple Accs uniquement Distribution/accs Simple Double Accs uniquement Distribution/accs Double Double Accs uniquement Distribution/accs Sites distants WAN Topologie LAN des fins de cohrence et de modularit, tous les sites distants WAN utilisent le mme schma d'affectation VLAN, prsent dans le tableau suivant. Ce guide de dploiement utilise une convention adapte tous les sites possdant un commutateur de couche d'accs unique. Rien n'empche d'adapter ce modle pour intgrer d'autres armoires d'accs. Il suffit pour cela d'ajouter une couche de distribution. Tableau 4 - Sites distants WAN Affectation VLAN VLAN Utilisation Accs couche 2 Distribution/accs couche 3 VLAN 100 Donnes (principale) Inutilis Oui VLAN 65 Donnes sans fil Oui Oui VLAN 70 Voix sans fil Oui Oui VLAN 64 Donnes 1 Oui Oui VLAN 69 Voix 1 Oui Oui Non attribu Donnes 2 Inutilis Oui Non attribu Voix 2 Inutilis Oui VLAN99 Transit Oui (routeur double uniquement) Oui (routeur double uniquement) VLAN50 Liaison routeur (1) Inutilis Oui VLAN54 Liaison routeur (2) Inutilis Oui (routeur double uniquement) 9 Prsentation de l'architecture Srie de fvrier 2012 Accs couche 2 Les sites distants WAN qui n'exigent aucun priphrique supplmentaire de routage au niveau de la couche de distribution sont considrs comme plats ou du point de vue du LAN, comme des sites de couche 2 non routs. Tous les services de couche 3 sont fournis par les routeurs WAN rattachs. Les commutateurs de la couche d'accs, moyennant l'utilisation de plusieurs VLAN, peuvent prendre en charge des services voix et donnes (filaires et sans fil). La conception prsente dans la figure suivante illustre le schma d'affectation VLAN normalis. Les avantages de cette conception sont vidents : tous les commutateurs de la couche d'accs peuvent tre configurs l' identique, quel que soit le nombre de sites de cette configuration. Aucune description des commutateurs de la couche d'accs et de leur configuration n'est fournie dans ce guide. Le guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless Networks fournit des dtails sur la configuration pour les diffrentes plates- formes de commutation de la couche d'accs. L'affectation des sous-rseaux IP s'effectue par VLAN. Cette conception affecte uniquement des sous-rseaux dont le masque rseau est 255. 255. 255.0 pour la couche d'accs, mme si moins de 254 adresses IP sont requises. (Si besoin, ce modle peut tre ajust pour utiliser d'autres schmas d'adressage IP.) La connexion entre le routeur et le commutateur de la couche d'accs doit tre configure pour que les lignes VLAN 802.1Q avec sous-interfaces sur le routeur puissent correspondre aux VLAN respectifs sur le commutateur. Les diffrentes sous-interfaces du routeur font office de passerelles IP par dfaut pour chaque combinaison sous-rseau IP-VLAN. Figure 5 - Site distant WAN LAN plat de couche 2 (routeur simple) Tel que le montre la figure suivante, une conception LAN similaire peut tre tendue une priphrie routeur double. Nanmoins, ce changement de conception introduit une complexit supplmentaire. Il convient tout d'abord d'excuter un protocole de routage. Vous devez configurer le protocole EIGRP (Enhanced Interior Gateway Routing Protocol, protocole de passerelle intrieure avance) entre les routeurs. des fins de cohrence avec le LAN du site principal, utilisez le protocole EIGRP processus 100. Du fait qu' il existe prsent deux routeurs par sous-rseau, un protocole FHRP (First Hop Redundancy Protocol, protocole de redondance de premier saut) doit tre mis en uvre. Pour cette conception, Cisco a choisi le protocole HSRP (Hot Standby Router Protocol, protocole de routeur en veille changeable chaud) en remplacement du protocole FHRP. De par sa conception, le protocole HSRP permet un basculement transparent du routeur IP utilis dans le premier saut. Le protocole HSRP assure une disponibilit leve du rseau en garantissant une redondance du routage lors du premier saut pour les htes IP configurs avec une adresse IP de passerelle par dfaut. Dans un groupe de routeurs, le protocole HSRP est utilis pour slectionner un routeur actif et un routeur en veille. Lorsqu'un LAN comporte plusieurs routeurs, le routeur actif est celui qui assure le routage des paquets. En revanche, le routeur en veille est celui qui prend le relais lorsque le routeur actif tombe en panne ou lorsque les conditions prdfinies ne sont pas satisfaites. Site distant WAN LAN plat de couche 2 (routeur unique) WAN WAN Vlan65 Donnes sans fil Vlan64 - Donnes Vlan70 Voix sans fil Vlan69 - Voix Pas de HSRP requis Liaison 802.1q Vlan (64-65, 69-70) 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 4 10 Prsentation de l'architecture Srie de fvrier 2012 Figure 6 - Site distant WAN LAN plat de couche 2 (routeur double) La fonction EOT (Enhanced Object Tracking, suivi amlior des objets) fournit une mthodologie cohrente pour les diffrents routeurs et fonctions de commutation de sorte modifier leur utilisation d'aprs les objets d' informations disponibles au sein des autres processus, le tout sous conditions. Parmi les objets dont le suivi est autoris, citons entre autres le protocole de ligne d' interface, l'accessibilit de la route IP et celle des contrats de niveau de service. Le contrat de niveau de service IP (IP SLA) permet aux routeurs de gnrer un trafic rseau synthtique qu' il est ensuite possible d'envoyer un transpondeur distant. Ce transpondeur peut tre un terminal IP gnrique qui rpond une demande d' cho (ping) ICMP (Internet Control Message Protocol, protocole de message de contrle sur Internet) ou un routeur Cisco qui excute un processus de transpondeur IP SLA et qui rpond un trafic plus complexe, par exemple des sondes de gigue. L'utilisation d' IP SLA permet au routeur de dterminer l'accessibilit de bout en bout d'une destination, ainsi que le retard des boucles. Des sondes plus complexes peuvent galement permettre de calculer la perte et la gigue sur le chemin. IP SLA est utilis conjointement EOT au sein de cette conception. Pour amliorer les temps de convergence aprs la dfaillance d'un WAN MPLS, le protocole HSRP est en mesure de surveiller l'accessibilit du voisinage IP utilis dans le saut suivant, par l' intermdiaire d' EOT et d' IP SLA. Cette combinaison permet un routeur d'abandonner son rle HSRP actif si son voisinage en amont cesse de rpondre, ce qui accentue la rsilience du rseau. Il suffit de configurer le protocole HSRP pour qu' il soit actif sur le routeur qui possde le transport WAN de plus haute priorit. Le suivi EOT des sondes IP SLA est mis en uvre conjointement au protocole HSRP. Aussi, en cas de dfaillance du transport WAN, le routeur HSRP en veille associ au transport WAN de plus faible priorit (alternatif) devient le routeur HSRP actif. Les sondes IP SLA sont envoyes du routeur CE MPLS au routeur PE MPLS pour veiller l'accessibilit du routeur utilis dans le saut suivant, ce qui se rvle bien plus efficace que de simplement surveiller le statut de l' interface WAN. Les conceptions routeur double garantissent galement un composant supplmentaire indispensable au routage dans certains cas. Dans ces conceptions, un flux de trafic manant d'un hte de site distant peut tre envoy une destination accessible par le transport WAN alternatif (par exemple, un site distant MPLS + DMVPN communiquant avec un site distant DMVPN uniquement). Par l' intermdiaire de la mme interface de donnes, le routeur de transport WAN principal achemine ensuite ce flux de trafic pour l'envoyer au routeur de transport WAN alternatif, qui l'envoie la destination souhaite. C'est ce que l'on appelle un renvoi d'appel en U. Nanmoins, pour viter d'avoir utiliser la mme interface pour envoyer le flux de trafic, mieux vaut introduire une liaison supplmentaire entre les routeurs et considrer cette liaison comme un rseau de transit (Vlan 99). Aucun hte n'est connect au rseau de transit. Il sert uniquement aux communications entre routeurs. L'excution du protocole de routage intervient entre les sous- interfaces de routeur affectes au rseau de transit. Aucune interface de routeur supplmentaire n'est requise dans cette conception modifie car la configuration des lignes VLAN 802.1Q peut facilement prendre en charge une sous-interface supplmentaire. Couche de distribution et couche d'accs Les grands sites distants exigent parfois un environnement LAN similaire celui d'un petit campus, avec une couche de distribution et une couche d'accs. Cette topologie fonctionne bien, que ce soit dans une priphrie WAN routeur simple ou dans une priphrie WAN routeur double. Pour mettre en uvre cette conception, il convient de connecter les routeurs au commutateur de la couche de distribution par le biais de liaisons EtherChannel. Ces liaisons EtherChannel sont configures comme des lignes 802.1Q VLAN. L'objectif est, d'une part, de prendre en charge une liaison point point route pour permettre le routage EIGRP avec le commutateur de la couche de distribution. Il est possible, d'autre part, dans la conception routeur double, de proposer un rseau de transit pour faciliter la communication directe entre les routeurs WAN. Site distant WAN LAN plat de couche 2 (routeur double) WAN WAN Vlan99 - Transit EIGRP Vlan65 Donnes sans fil Vlan64 - Donnes Vlan70 Voix sans fil Vlan69 - Voix Vlan HSRP Routeur HSRP actif Liaison 802.1q Vlan (64-65, 69-70, 99) 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 5 11 Prsentation de l'architecture Srie de fvrier 2012 Figure 7 - Site WAN distant Connexion la couche de distribution Le commutateur de la couche de distribution gre l'ensemble du routage de la couche d'accs et les VLAN sont lis aux commutateurs de la couche d'accs. Aucun protocole HSRP n'est demand lorsque la conception intgre une couche de distribution. Observez la figure suivante. Elle prsente une conception complte utilisant une couche de distribution et une couche d'accs. Figure 8 - Site distant WAN Couche de distribution et couche d'accs (routeur double) Multicast IP Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH (Music On Hold, musique d'attente) et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP (Internet Group Management Protocol, protocole de gestion de groupe Internet) au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Le RP fait office de plan de contrle. Il convient de le placer au cur du rseau ou proximit des sources multicast IP sur une paire de commutateurs ou de routeurs de couche 3. Le routage multicast IP dmarre au niveau de la couche de distribution si la couche d'accs correspond la couche 2. Il assure la connectivit au point de rendez-vous multicast IP. Dans les conceptions sans couche centrale, la couche de distribution fait office de point de rendez-vous. Cette conception est entirement active pour un dploiement du multicast IP de porte globale. Elle utilise une stratgie de mise en uvre Anycast RP qui assure partage de la charge et redondance sur les rseaux PIM SM (Protocol Independent Multicast sparse mode, diffusion groupe indpendante du protocole - mode pars). Deux RP partagent la charge pour l'enregistrement de la source et font office de routeurs de secours chaud. Du point de vue du WAN, cette stratgie prsente un avantage. En effet, l'ensemble des priphriques de routage IP au sein du WAN utilisent une configuration identique qui rfrence les RP Anycast. Le mode PIM SM IP est activ sur toutes les interfaces, notamment sur les boucles, VLAN et sous-interfaces. Site distant WAN Connexion la couche de distribution WAN WAN Vlan50 Liaison routeur 1 Vlan50 Liaison routeur 1 Liaison 802.1q (54,99) Liaison 802.1q (50,99) Vlan54 Liaison routeur 2 Vlan99 Transit Liaison 802.1q (50) Liaison 802.1q (64, 69) Liaison 802.1q (xx-xx) Liaison 802.1q (xx-xx) 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 6 Site distant WAN Couche de distribution et couche d'accs (routeur double) WAN Vlan50 Liaison routeur 1 Liaison 802.1q (54,99) Liaison 802.1q (50,99) Vlan54 Liaison routeur 2 Vlan99 Transit Vlan65 Donnes sans fil Vlan100 Donnes (principal) Liaison 802.1q (xx-xx) Liaison 802.1q (64, 69) Vlan64 - Donnes Vlan69 - Voix Vlanxx - Donnes Vlanxx - Voix Vlan70 Voix sans fil 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 7 Pas de HSRP requis Vlanxx Voix 12 Prsentation de l'architecture Srie de fvrier 2012 Qualit de service La plupart des utilisateurs peroivent le rseau comme un simple mcanisme de transport permettant de faire passer des donnes d'un point A un point B, aussi vite que possible. Nombreux sont ceux pour qui le rseau se rsume des notions de vitesse et de flux. S' il est vrai que les rseaux IP acheminent le trafic au mieux par dfaut, ce type de routage ne peut bien fonctionner que pour les applications qui s'adaptent sans heurts aux variations de latence, de gigue et de perte. Toutefois, de par leur conception, les rseaux sont multiservices. Ils prennent en charge la voix et la vido en temps rel, ainsi que le trafic de donnes. La diffrence rside dans le fait que, pour ces applications en temps rel, les paquets doivent tre livrs en tenant compte des paramtres de perte, de retard et de gigue dfinis. En ralit, le rseau affecte tous les flux de trafic et doit tenir compte des exigences des utilisateurs finaux et des services proposs. Mme avec une bande passante illimite, certaines applications dpendantes du temps sont affectes par les instabilits, les retards et les pertes de paquets. Avec la qualit de service (QoS), une multitude de services et d'applications utilisateur coexistent sur le mme rseau. Au sein de cette architecture, il existe, dans le cadre de la qualit de service intgre, des options de connectivit filaires et sans fil qui fournissent des mcanismes avancs de classification, de gestion des priorits, de mise en file d'attente et de contrle de l'encombrement. Il s'agit, par ce biais, d'assurer une utilisation optimale des ressources du rseau. Cette fonctionnalit permet de diffrencier les applications et de veiller ce que chacune se partage quitablement les ressources du rseau. L' intention est ici de protger l'exprience utilisateur et de garantir une utilisation cohrente des applications professionnelles critiques. La qualit de service est une fonction essentielle des priphriques d' infrastructure rseau utiliss dans cette architecture. Elle active de nombreux services et applications utilisateur, notamment la voix en temps rel, la vido haute qualit et les donnes sensibles aux retards, leur permettant de coexister sur le mme rseau. Afin que le rseau puisse fournir des services prvisibles, mesurables et parfois garantis, il doit tre capable de grer les paramtres de bande passante, de retard, de gigue et de pertes. Mme si vous n'en avez pas besoin pour vos applications existantes, la qualit de service applique aux protocoles de gestion et de rseau protge les fonctionnalits et la grabilit du rseau en conditions de trafic normales et anormales. L'objectif de cette conception est de fournir suffisamment de classes de services pour permettre d'ajouter au rseau la voix, la vido interactive, des applications de donnes sensibles et de trafic de gestion, soit partir du dploiement initial, soit par la suite, avec un impact minime sur le systme et les tches de dveloppement. Nous avons utilis les classifications de qualit de service du tableau suivant dans cette conception. Ce tableau vous est propos titre de rfrence. Tableau 5 - Mappage des classes de services concernant la qualit de service Classe de service Comportement par saut (PHB) Priorit DSCP (Differentiated Services Code Point) Priorit IP (IPP) Classe de service (CoS) Couche rseau Couche 3 Couche 3 Couche 3 Couche 2 Contrle du rseau CS6 48 6 6 Tlphonie EF 46 5 5 Signalisation CS3 24 3 3 Confrence multimdia AF41, 42, 43 34, 36, 38 4 4 Interactivit en temps rel CS4 32 4 4 Flux multimdia AF31, 32, 34 26, 28, 30 3 3 Diffusion vido CS5 40 4 4 Donnes faible latence AF21, 22, 23 18, 20, 22 2 2 Fonctionnement, administration et maintenance CS2 16 2 2 Donnes de masse AF11, 12, 13 10, 12, 14 1 1 Scavenger CS1 8 1 1 Trafic au mieux par dfaut DF 0 0 0 13 Prsentation de l'architecture Srie de fvrier 2012 Optimisation WAN Cisco Wide Area Application Services (WAAS) est une solution d'optimisation complte du WAN qui acclre les applications sur le WAN, facilite la vido dans les bureaux distants et propose un hbergement local des services informatiques de site distant. Cisco WAAS permet de centraliser les applications ainsi que d'utiliser le stockage dans le data center tout en prservant un niveau de performance de type LAN des applications. WAAS acclre les applications et les donnes sur le WAN, optimise la bande passante, renforce l' informatique en cloud et assure un hbergement local des services informatiques de site distant, tout en proposant un niveau d' intgration du rseau leader du march. Cisco WAAS permet aux services informatiques de centraliser les applications et le stockage tout en prservant la productivit des utilisateurs mobiles et des sites distants. La gestion de WAAS est centralise. Elle ncessite un ou plusieurs priphriques Cisco WAAS Central Manager qui, d'un point de vue physique, se situent dans le data center, mais qui restent accessibles par le biais d'une interface Web. Pour optimiser le trafic WAN, il convient de dployer des appareils ou des modules Cisco Wide Area Application Engine (WAE), tant au niveau du site d'agrgation WAN que des sites distants WAN. Les WAE excutent le logiciel WAAS qui assure les services d'optimisation du WAN. Cette conception oblige installer un ou plusieurs priphriques WAE sur chaque emplacement et plusieurs priphriques sur chaque site des fins de rsilience. La solution Cisco WAAS fait office de proxy TCP. Elle s' intgre en toute transparence aux autres services du rseau et offre une relle optimisation du WAN aux utilisateurs finaux, sans pour autant devoir crer de tunnels d'optimisation sur le WAN. Les sites distants faible bande passante peuvent utiliser les fonctionnalits WAAS Express (WAASx) intgres au logiciel Cisco IOS sur les routeurs Cisco. WAASx intgre plusieurs des fonctionnalits de base de WAAS, l'exception des optimiseurs d'applications de types CIFS et HTTP. La solution d'optimisation du WAN est troitement intgre aux routeurs WAN, les routeurs contrlant l' interception et la redirection du trafic optimiser avec WAAS. Cette conception place les appareils WAAS sur les segments rseau existants, rendant ainsi inutile toute modification importante du rseau. Pour russir une mise en uvre WAAS, il vous faut : une mthode d' interception du trafic choisi la fois vers le WAN et depuis celui-ci ; la possibilit de diriger le trafic choisi vers les priphriques WAE pour une optimisation adapte ; la possibilit pour le WAE de rinjecter le trafic optimis dans le rseau aprs optimisation. Le protocole WCCP (Web Cache Communication Protocol, protocole de communication de mise en cache Web) est utilis sur les routeurs pour intercepter le trafic transitant par le routeur et provenant du LAN (trafic fourni par le client ou le data center) ou transitant par le routeur et provenant du WAN (d'un WAE distant). Dans le cadre de la redirection WCCP, le trafic est envoy sur un WAE choisi l'aide d'un tunnel GRE (Generic Routing Encapsulation, encapsulation gnrique de routage). Plusieurs priphriques WAE sur un emplacement peuvent faire office de cluster. Les routeurs procdant la redirection WCCP sont responsables du partage de la charge sur les diffrents priphriques WAE d'un cluster. La haute disponibilit WAAS utilise ce que l'on appelle un modle N+1. Cela signifie que si N priphriques quivalents sont ncessaires pour prendre en charge les performances requises, un priphrique supplmentaire est demand pour assurer la redondance. Le trafic rinjecter dans le rseau utilise une mthode de sortie du tunnel WCCP GRE avec retour ngoci pour retourner au routeur d'origine. C'est la mthode que nous privilgions car elle permet de situer les appareils WAE un ou plusieurs sauts de routeur plus loin que le routeur WCCP. Elle prsente de nombreux avantages que nous aborderons plus en dtail dans les sections suivantes. Pour russir une mise en uvre WAAS Express, il vous faut : un routeur qui rpond la configuration matrielle requise, avec tout particulirement une mise niveau vers une DRAM maximale ; une licence WAAS Express adapte. Le routeur WAAS Express n'exige aucune redirection ou rinjection du trafic de sorte que WCCP s'avre inutile. Cette fonction ne prend actuellement pas en charge plusieurs liaisons actives. Elle est donc rserve, dans le cadre de cette conception, des sites distants avec transport WAN unique. 14 Dploiement du WAN Srie de fvrier 2012 Dploiement du WAN Objectifs de conception d'ensemble de l'architecture du WAN Routage IP Cette conception vise les objectifs de routage IP suivants : Assurer une connectivit de routage optimale des sites d'agrgation WAN principaux tous les emplacements distants. Isoler les changements de topologie de routage WAN des autres parties du rseau. Garantir un routage symtrique actif/veille lorsque plusieurs chemins existent. Cela facilite le dpannage et empche une surallocation des limites de CAC (Call Admission Control, contrle d'admission d'appels) en tlphonie IP. Fournir un routage distant site site par le biais du site d'agrgation WAN principal (modle concentrateur et satellite). Autoriser un routage site site direct optimal lorsque les services de l'oprateur le permettent (modle satellite satellite). Prendre en charge le multicast IP provenant du site d'agrgation WAN principal. Sur les sites distants WAN, il n'existe aucun accs local Internet pour la navigation ou les services Cloud. Ce modle est appel modle Internet centralis. Il convient de noter que les sites avec Internet/DMVPN pour le transport de secours pourraient ventuellement proposer des fonctionnalits Internet locales. Toutefois, dans le cadre de cette conception, seul le trafic crypt vers d'autres sites DMVPN est autoris utiliser la liaison Internet. Dans le modle Internet centralis, une route par dfaut est indique aux sites distants WAN en plus des routes internes issues du data center et du campus. Accs LAN Tous les sites distants doivent prendre en charge l'accs LAN filaire et sans fil. Haute disponibilit Le rseau doit tolrer des conditions de panne uniques, notamment la dfaillance d'une liaison de transport WAN ou d'un priphrique rseau sur le site d'agrgation WAN principal. Les sites distants classs comme tant de type routeur simple-liaison double doivent pouvoir tolrer la perte de l'un de ces deux transports WAN. Les sites distants classs comme tant de type routeur double-liaison double doivent quant eux pouvoir tolrer la perte d'un routeur de priphrie ou d'un transport WAN. Prfrences de slection des chemins Il existe de nombreux flux de trafic potentiels. Ils dpendent des transports WAN utiliss ou encore du fait qu'un site distant utilise ou non un transport WAN double. Les fonctions de routage de transport WAN unique sont les suivantes : Un site MPLS connect au VPN : Se connecte un site sur le mme VPN MPLS. La route optimale est directe au sein du VPN MPLS (le trafic n'est pas envoy vers le site principal). Se connecte n' importe quel autre site. La route passe par le site principal. L'utilisation de transports WAN doubles convient tout particulirement au mode actif/veille. Ce type de configuration fournit un routage symtrique, le trafic circulant sur le mme chemin, dans les deux sens. L'adoption d'un routage symtrique simplifie les procdures de dpannage car les flux de trafic bidirectionnels traversent toujours les mmes liaisons. Dans cette conception, nous partons du principe que l'un des transports WAN VPN MPLS est qualifi de transport principal, c'est--dire qu' il correspond au chemin prfr dans la plupart des conditions. Un site double connexion VPN MPLS principal + VPN MPLS secondaire : Se connecte un site sur le mme VPN MPLS. La route optimale est directe au sein du VPN MPLS (le trafic n'est pas envoy vers le site principal). Se connecte n' importe quel autre site. La route passe par le site principal. Un site double connexion VPN MPLS + DMVPN : Se connecte un site sur le mme VPN MPLS. La route optimale est directe au sein du VPN MPLS (le trafic n'est pas envoy vers le site principal). Se connecte n' importe quel site DMVPN connexion unique. La route optimale est directe au sein du DMVPN (seul le trafic initial est envoy au concentrateur DMVPN, puis il transite par un tunnel de type satellite satellite). Se connecte n' importe quel autre site. La route passe par le site principal. 15 Dploiement du WAN Srie de fvrier 2012 Condentialit des donnes (cryptage) L'ensemble du trafic des sites distants doit tre crypt lorsqu' il transite sur des rseaux IP publics tels qu' Internet. L'utilisation du cryptage ne doit pas amoindrir les performances ni nuire la disponibilit d'une application de site distant. Tout doit tre transparent pour les utilisateurs finaux. Qualit de service (QoS) Les applications commerciales doivent pouvoir s'excuter sur le WAN mme lorsque le rseau est encombr. Il est ncessaire de classer le trafic et de le mettre en file d'attente, ainsi que de concevoir la connexion WAN pour qu'elle fonctionne dans les limites imposes par la connexion. Imaginons que pour concevoir le WAN, vous faites appel un fournisseur de services offrant un niveau de qualit de service. La classification et le traitement QoS la priphrie du WAN doivent correspondre l'offre de ce fournisseur de services pour garantir un traitement QoS du trafic cohrent et de bout en bout. Optimisation des applications Il est indispensable d'optimiser la majeure partie du trafic des applications commerciales, du site d'agrgation WAN un site distant, tout comme il est indispensable d'optimiser un trafic, quel qu' il soit, entre un site distant et un autre site distant. Cette optimisation des applications doit tre transparente pour les utilisateurs finaux. Elle doit intgrer des composants de haute disponibilit qui compltent d'autres composants du mme type entrant dans la conception du WAN. Paramtres de conception Ce guide de dploiement utilise certains paramtres de conception standard et rfrence diffrents services d' infrastructure rseau qui se trouvent en dehors du WAN. La liste de ces paramtres figure dans le tableau suivant. Tableau 6 - Paramtres de conception universels Service de rseau Adresse IP Nom de domaine cisco.local Active Directory, serveur DNS, serveur DHCP 10.4.48.10 ACS (Authentication Control System) 10.4.48.15 Serveur NTP (Network Time Protocol) 10.4.48.17 16 Dploiement d'un WAN MPLS Srie de fvrier 2012 Dploiement d'un WAN MPLS Prsentation commerciale Pour que les utilisateurs des sites distants puissent participer efficacement au dveloppement de l'activit, les entreprises se doivent de mettre en place un WAN aux performances et la fiabilit suffisantes. Bien que la plupart des applications et services que les utilisateurs des sites distants utilisent soient centraliss, le WAN, par sa conception, doit proposer tous les employs, o qu' ils se trouvent, un accs commun aux ressources. Pour contrler les cots oprationnels, le WAN doit prendre en charge la convergence des flux voix, vido et donnes sur une seule et mme infrastructure gre de manire centralise. mesure que les entreprises se dveloppent en dehors de leurs frontires, elles rclament davantage de flexibilit dans la conception du rseau de manire rpondre aux conditions d'accs spcifiques aux pays et en contrler le niveau de complexit. Les rseaux MPLS proposs par les oprateurs sont omniprsents et deviennent littralement incontournables pour une entreprise en passe de crer un WAN. Pour rduire les dlais de dploiement de nouvelles technologies susceptibles de prendre en charge les applications commerciales et les communications mergentes, l'architecture du WAN doit absolument adopter une conception flexible. La possibilit d' tendre facilement la bande passante ou encore d'ajouter de nouveaux sites ou des liaisons rsilientes font de la solution MPLS un transport WAN efficace pour les entreprises en pleine croissance. Prsentation de la technologie Conception WAN 500 La conception WAN 500 peut prendre en charge jusqu' 500 sites distants avec une bande passante WAN combine agrge capable d'atteindre 1,0 Gbit/s. Les priphriques les plus importants la concernant sont les routeurs WAN qui sont responsables de la fiabilit des transferts IP et de la qualit de service. Cette conception utilise le routeur Cisco ASR 1002 (Aggregation Services Router) configur avec un processeur ESP 5 (Embedded Service Processor 5) comme routeur CE MPLS. La conception WAN 500 utilise deux oprateurs de rseau MPLS et deux routeurs CE MPLS. Les routeurs Cisco de la gamme ASR 1000 entrent dans la composition de la plate-forme de routage Cisco de nouvelle gnration, une plate-forme modulaire services intgrs. Tout spcialement conus pour l'agrgation WAN, ils sont suffisamment flexibles pour prendre en charge des capacits de transfert de paquets trs tendues entre 3 et 16 mpps, des performances de bande passante entre 2, 5 et 40 Gbit/s et une mise l' chelle. La gamme Cisco ASR 1000 est entirement modulaire, tant du point de vue matriel que logiciel, et les routeurs disposent de tous les lments que l'on s'attend trouver dans un produit de routage de classe oprateur adapt la fois aux rseaux des grandes entreprises et ceux des fournisseurs de services. Figure 9 - Conception WAN 500 Connexions MPLS Conception WAN 500 Connexions MPLS Couche centrale Routeurs MPLS CE : S 000 Couche de distribution ASR1000 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 8 MPLS A MPLS B 17 Dploiement d'un WAN MPLS Srie de fvrier 2012 Conception WAN 100 La conception WAN 100 peut prendre en charge jusqu' 100 sites distants avec une bande passante WAN combine agrge capable d'atteindre 100 Mbit/s. Il ne s'agit ni plus ni moins que d'une version plus limite de la conception WAN 500. Elle fournit des possibilits de mise l' chelle rduites. Pour tre en mesure d'accrotre la bande passante ou d'augmenter le nombre de sites ultrieurement, mieux vaut s'orienter vers la conception WAN 500. Vous viterez ainsi les interruptions inutiles provoques par la mise niveau des priphriques. Cette conception utilise le routeur Cisco ASR 1001 comme routeur CE MPLS. La conception WAN 100 utilise un seul oprateur de rseau MPLS et un seul routeur CE MPLS. Figure 10 - Conception WAN 100 Connexions MPLS Sites distants Slection de routeur CE MPLS Les plates-formes de routage de site distant WAN restent non spcifies. En effet, la spcification est troitement lie la bande passante requise par un site et aux besoins ventuels de logements de modules de service. La possibilit de mettre en uvre cette solution et de slectionner le routeur parmi un grand choix disponible constitue l'un des avantages de l'approche modulaire. Au moment de slectionner les routeurs de site distant WAN, de nombreux facteurs entrent en ligne de compte. L'un d'entre eux, qui est d'ailleurs essentiel au dploiement initial, est la possibilit de traiter le volume et le type souhaits de trafic. Vous devez galement vous assurer que vous disposez de suffisamment d' interfaces et de logements de modules ainsi que de l' image logicielle Cisco IOS sous licence qui convient pour prendre en charge l'ensemble des fonctions requises par la topologie. Cisco a test, en tant que routeurs CE MPLS, cinq modles de routeur services intgrs et a consign leurs performances dans le tableau suivant. Tableau 7 - Options des routeurs services intgrs pour site distant WAN Option 1941 1 2911 2921 3925 3945 WAN Ethernet avec services 2
25 Mbit/s 35 Mbit/s 50 Mbit/s 100 Mbit/s 150 Mbit/s Ports GE embarqus 2 3 3 3 3 Logements de modules de services 3
0 1 1 2 4 Option d'alimentation redondante Non Non Non Oui Oui Remarques : 1. Nous recommandons l'utilisation du modle 1941 sur les sites distants de type routeur unique-liaison unique. 2. Les performances signales sont celles habituellement constates lorsque le routeur achemine un trafic IMIX comportant des services lourds avec un taux d'utilisation du processeur infrieur 75 %. 3. Certains modules de services ont une largeur double. Les routeurs CE MPLS sur les sites distants WAN se connectent de la mme manire que leurs homologues sur un site d'agrgation WAN. Le site distant WAN MPLS liaison unique est l' lment constitutif fondamental de tous les emplacements distants. Cette conception peut tre utilise tout en connectant directement le routeur CE la couche d'accs. Elle peut aussi prendre en charge une topologie LAN plus complexe en connectant directement le routeur CE la couche de distribution. Conception WAN 100 Connexion MPLS Couche de distribution Routeur CE MPLS : ASR1001 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 9 MPLS 18 Dploiement d'un WAN MPLS Srie de fvrier 2012 Le routage IP est trs simple. Des routes statiques au niveau du site d'agrgation WAN et de routes statiques par dfaut au niveau du site distant suffisent. Toutefois, vous avez tout gagner utiliser un routage dynamique pour la configuration de ce type de site. Un routage dynamique facilite l'ajout ou la modification des rseaux IP sur les sites distants car les changements sont immdiatement propags au reste du rseau. Les sites MPLS connects au VPN ncessitent la gestion par l'oprateur du routage statique et toute modification doit faire l'objet d'une demande auprs de ce mme oprateur. Figure 11 - Site distant WAN MPLS (routeur unique, liaison unique) Vous pouvez renforcer la conception de base liaison unique en ajoutant un transport WAN alternatif qui utilise un oprateur de rseau MPLS secondaire ou un DMVPN sur Internet et qui se connecte au mme routeur ou un routeur supplmentaire. En ajoutant une liaison supplmentaire, vous assurez au site distant le premier niveau de haute disponibilit. Le routeur peut automatiquement dtecter les dfaillances de la liaison principale et ainsi rerouter le trafic sur le chemin secondaire. N'oubliez pas que vous devez absolument utiliser un routage dynamique si vous disposez de plusieurs chemins. Un ajustement des protocoles de routage est ncessaire pour garantir les flux de trafic souhaits. Figure 12 - Site distant WAN MPLS double oprateur (options liaison double) La conception de type routeur double-liaison double amliore encore le niveau de haute disponibilit du site. Elle peut tolrer la perte du routeur principal car le routeur secondaire reroute le trafic par l'autre chemin. Figure 13 - Site distant WAN MPLS + DMVPN (options liaison double) Dtails de la conception Tous les routeurs CE MPLS d'agrgation WAN se connectent au mme priphrique de commutation rsilient, sur la couche de distribution. Tous les priphriques utilisent des connexions EtherChannel qui comprennent deux ports embarqus. Cette conception offre la fois rsilience et performances de transfert supplmentaires. Pour accrotre encore davantage les performances de transfert, augmentez le nombre de liaisons physiques au sein de chaque EtherChannel. Site distant WAN MPLS (liaison unique, routeur unique) VPN MPLS 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 10 Site distant WAN MPLS + DMVPN (options liaison double) VPN MPLS DMVPN I t t DMVPN Internet Internet VPN MPLS 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 12 VPN MPLS (connexions PE-CE) CE CE CE CE PE PE Contigits directes uniquement entre les routeurs CE et PE Contigits directes uniquement entre les routeurs CE et PE 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 13 19 Dploiement d'un WAN MPLS Srie de fvrier 2012 Le transport WAN par Ethernet est le seul type de support que nous avons test et que nous proposons dans la section de configuration. D'autres types de support sont couramment utiliss (p. ex. T1/E1). Ces technologies sont fiables, ainsi que bien comprises. Du fait de la multitude de choix possibles en matire de transport, de type de support et d' interface, nous avons dcid de nous limiter dans le cadre de ce guide de dploiement. Nous vous invitons consulter les autres guides pour vous documenter sur les variantes disponibles. Les VPN MPLS ncessitent une liaison entre un routeur PE (Provider Edge, priphrie fournisseur) et un routeur CE. Les routeurs PE et CE sont considrs comme ayant le mme voisinage IP sur cette liaison. Les routeurs CE ne peuvent communiquer avec les autres routeurs CE du WAN que par l' intermdiaire des routeurs PE. Figure 14 - VPN MPLS (connexions PE-CE) Il est indispensable d' installer des routeurs PE et CE pour dtenir des informations de routage suffisantes et ainsi assurer une accessibilit de bout en bout. La prservation de ces informations exige habituellement la mise en place d'un protocole de routage. BGP est le plus couramment utilis dans ce domaine. Les diffrents routeurs CE indiquent leurs routes aux routeurs PE, qui propagent les informations de routage sur le rseau de l'oprateur et indiquent en retour les routes aux autres routeurs CE. Cette propagation des informations de routage est connue sous le nom de routage PE-CE dynamique. Elle est essentielle lorsqu'un site dispose de plusieurs transports WAN (conception double rsidence ou rsidences multiples).
Les protocoles EIGRP et OSPF sont aussi efficaces que les protocoles de routage PE-CE, mais ils peuvent ne pas tre universellement disponibles sur tous les oprateurs VPN MPLS. Conseil l'intention des techniciens Les sites proposant un transport WAN unique (site une seule rsidence) n'ont pas besoin de routage PE-CE dynamique. Ils peuvent utiliser un routage statique car un seul chemin mne destination. Cette conception intgre uniquement un routage PE-CE dynamique pour assurer la cohrence des configurations tant sur les sites rsidence unique que sur les sites double rsidence. Cela permet galement une transition simple entre une conception de site distant un rsidence unique et une conception de site distant double rsidence, puisqu' il suffit d'ajouter une liaison supplmentaire un site distant existant. Cisco n'a pas test les routeurs PE et leurs configurations ne sont ainsi pas proposes dans le prsent guide. Pour un dploiement WAN VPN MPLS, vous devez installer et configurer des routeurs CE MPLS sur chaque emplacement, notamment sur le site d'agrgation WAN, et sur chaque site distant MPLS connect au WAN. Sur le site d'agrgation WAN, un routeur CE MPLS doit tre connect la couche de distribution ainsi qu' son oprateur MPLS ddi. Plusieurs protocoles de routage (EIGRP et BGP) servent aux changes d' informations de routage. Leurs configurations par dfaut sont ajustes pour parvenir des flux de trafic en accord avec ce que vous recherchez. Consultez la figure suivante. Elle fournit des dtails relatifs au routage IP pour une topologie d'agrgation WAN un et deux oprateurs de rseau MPLS. Figure 15 - Conceptions WAN 500/WAN 100 Dtails relatifs au routage CE MPLS Conceptions WAN 500/100 Dtail du routage CE MPLS Di t ib ti WAN Distribution WAN Routeurs MPLS CE Distribution WAN Routeurs MPLS CE iBGP eBGP eBGP eBGP 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 14 VPN MPLS A VPN MPLS B VPN MPLS A VPN MPLS (connexions PE-CE) CE CE CE CE PE PE Contigits directes uniquement entre les routeurs CE et PE Contigits directes uniquement entre les routeurs CE et PE 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 13 20 Dploiement d'un WAN MPLS Srie de fvrier 2012 EIGRP Cisco a choisi EIGRP comme protocole de routage principal car il est simple configurer, ne ncessite aucune planification importante, possde des options de rsum et de filtrage souples et peut voluer pour prendre en charge de grands rseaux. mesure que le rseau se dveloppe, le nombre de prfixes ou de routes IP dans les tables de routage augmente lui aussi. Nous vous conseillons de programmer un rsum IP sur les liaisons sur lesquelles des frontires logiques existent, par exemple sur les liaisons de la couche de distribution avec le rseau tendu ou avec le cur du rseau. Par le biais de ce rsum IP, vous rduisez les besoins en bande passante, le nombre de processeurs et la quantit de mmoire ncessaires au transport de grandes tables de routage, de mme que vous limitez les temps de convergence associs une dfaillance de liaison. Dans cette conception, EIGRP processus 100 est le processus EIGRP principal. Il est dsign sous la forme EIGRP-100. EIGRP-100 vous aide vous connecter la couche de distribution du LAN du site principal au niveau d'un site d'agrgation WAN. Il est galement utilis au niveau des sites distants WAN avec routeurs WAN doubles ou avec topologies LAN couche de distribution. BGP Cisco a choisi BGP comme protocole de routage pour connecter les routeurs PE et CE aux VPN MPLS car il est pris en charge par quasiment tous les oprateurs de rseau MPLS. Dans ce type de conception, BGP est trs simple configurer et n'exige quasiment pas de maintenance, voire aucune. BGP s'adapte bien et vous pouvez l'utiliser pour favoriser l'agrgation des adresses IP concernant les sites distants. Pour utiliser BGP, vous devez slectionner un ASN (Autonomous System Number, numro de systme autonome). Dans cette conception, nous utilisons un ASN priv (65511) tel que dfini par l' IANA (Internet Assigned Numbers Authority, autorit d'affectation de numros sur Internet). La plage des ASN privs s' tend de 64512 65534. Une conception MPLS double oprateur passe par une connexion iBGP entre les routeurs CE de sorte prserver les informations de routage destines aux sites distants. Le dploiement en dtail Les procdures dcrites dans cette section sont pour nous l'occasion de vous fournir des exemples de paramtrage. Les paramtres et les valeurs que vous utilisez proviennent de votre configuration rseau actuelle. Tableau 8 - Services rseau communs utiliss dans les exemples de dploiement Service Adresse Nom d' hte : CE-ASR1002-1 Adresse IP de bouclage (routeur) : 10.4. 32. 241/32 Adresse IP Port Channel (routeur) : 10.4. 32. 2/30
Configuration du routeur CE MPLS 1. Configuration du commutateur de la couche de distribution 2. Configuration de la plate-forme d'agrgation WAN 3. Configuration de la connectivit du LAN 4. Connexion au routeur PE MPLS 5. Configuration du routage EIGRP 6. Configuration du routage BGP Procdure
Procdure 1 Conguration du commutateur de la couche de distribution
La procdure suppose que le commutateur de distribution a dj t configur selon les conseils contenus dans le guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless Networks. Seules les procdures ncessaires la prise en charge de l' intgration du routeur d'agrgation WAN dans le dploiement sont incluses dans ce guide. Conseil l'intention du lecteur Le commutateur LAN de la couche de distribution correspond au chemin menant au campus principal et au data center de l'entreprise. Une interface Port Channel de couche 3 se connecte au commutateur de la couche de distribution et au routeur d'agrgation WAN. C'est cette interface que s'adresse le protocole de routage interne. 21 Dploiement d'un WAN MPLS Srie de fvrier 2012
La meilleure pratique consiste, si possible, utiliser la mme numrotation de canal aux deux extrmits de la liaison. Conseil l'intention des techniciens tape 1 : Configurez l' interface Port Channel de couche 3 et affectez l'adresse IP. interface Port Channel1 description CE-ASR1002-1 no switchport ip address 10.4.32.1 255.255.255.252 ip pim sparse-mode logging event link-status carrier-delay msec 0 no shutdown tape 2 : Configurez les interfaces des membres EtherChannel. Configurez les interfaces physiques et reliez-les aux interfaces Port Channel logiques l'aide de la commande channel-group. Le nombre d' interfaces Port Channel et de commandes channel-group doit correspondre. De mme, utilisez la macro egress QoS dfinie dans la procdure de configuration de la plate-forme pour dfinir de manire correcte les priorits du trafic. interface GigabitEthernet1/0/1 description CE-ASR1002-1 Gig0/0/0 ! interface GigabitEthernet2/0/1 description CE-ASR1002-1 Gig0/0/1 ! interface range GigabitEthernet1/0/1, GigabitEthernet2/0/1 no switchport macro apply EgressQoS carrier-delay msec 0 channel-protocol lacp channel-group 1 mode active logging event link-status logging event trunk-status logging event bundle-status no shutdown tape 3 : Configurez les interfaces connectes la partie centrale du LAN pour rsumer la plage du rseau WAN. interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1 ip summary-address eigrp 100 10.4.32.0 255.255.248.0 ip summary-address eigrp 100 10.5.0.0 255.255.0.0 tape 4 : Autorisez le protocole de routage former des relations de voisinage sur l' interface Port Channel. router eigrp 100 no passive-interface Port Channel1
Procdure 2 Conguration de la plate-forme d'agrgation WAN Dans cette conception, il existe des fonctionnalits et des services communs l'ensemble des routeurs d'agrgation WAN. Il s'agit de paramtres systme qui simplifient et scurisent la gestion de la solution. tape 1 : Configurez le nom d' hte du priphrique. Configurez le nom d' hte du priphrique pour en faciliter l' identification. hostname CE-ASR1002-1 tape 2 : Configurez les protocoles de gestion des priphriques. HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris) sont des protocoles scuriss utiliss en remplacement des protocoles HTTP et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise) et TLS (Transport Layer Security, scurit de la couche transport) pour l'authentification du priphrique et le cryptage des donnes. 22 Dploiement d'un WAN MPLS Srie de fvrier 2012 Activez la gestion scurise du priphrique LAN au moyen des protocoles SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs. ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Activez le protocole SNMP (Simple Network Management Protocol, protocole simple de gestion de rseau) pour permettre la gestion des priphriques de l' infrastructure rseau par un systme d'administration rseau (NMS). SNMPv2c est configur pour la chane de communaut en lecture seule et en lecture-criture. snmp-server community cisco RO snmp-server community cisco123 RW tape 3 : Configurez l'authentification de l'utilisateur scurise. Activez le protocole AAA (authentication, authorization and accounting, authentification, autorisation et traabilit) pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques d' infrastructure rseau (SSH et HTTPS).
Le serveur AAA utilis dans cette architecture est le serveur Cisco ACS. Pour plus d' information sur la configuration ACS, consultez le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention du lecteur TACACS+ est le principal protocole utilis pour authentifier les connexions de gestion au serveur AAA sur les priphriques d' infrastructure. Une base de donnes utilisateur AAA locale est galement dfinie sur chaque priphrique de l' infrastructure rseau de manire fournir une source d'authentification de secours au cas o le serveur TACACS+ centralis ne serait pas disponible. enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key SecretKey ! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local aaa authorization console ip http authentication aaa tape 4 : Configurez une horloge synchronise. Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient habituellement d'une source faisant autorit, par exemple une horloge radio- pilote ou une horloge atomique rattache un serveur temporel. Le protocole NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation. 23 Dploiement d'un WAN MPLS Srie de fvrier 2012 Vous devez programmer les priphriques rseau pour qu' ils se synchronisent avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise habituellement une heure plus prcise fournie par une source externe. Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des messages de console, des journaux et des rsultats de dbogage afin de pouvoir recouper les vnements du rseau. ntp server 10.4.48.17 ! clock timezone PST -8 clock summer-time PDT recurring ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime Lorsque la journalisation synchrone des rsultats de dbogage ou des messages non sollicits est active, les messages de journalisation de la console s'affichent sur cette dernire aprs l'affichage ou l' impression des rsultats de l' interface de ligne de commande (CLI) interactive. Au moyen de cette commande, vous pouvez poursuivre la saisie sur la console du priphrique lorsque le dbogage est activ. line con 0 logging synchronous tape 5 : Configurez une interface de gestion intrabande. L' interface de bouclage est une interface logique. Elle est accessible tant que le priphrique est sous tension et qu'une interface IP est accessible sur le rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de manire idale la gestion intrabande du commutateur. Le processus et les fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour garantir la rsilience du processus. L'adresse de bouclage est habituellement une adresse hte possdant un masque d'adresse 32 bits. Affectez au reste du rseau l'adresse de bouclage issue du bloc d'adresses IP rsum par le commutateur de la couche de distribution. interface loopback 0 ip address 10.4.32.241 255.255.255.255 ip pim sparse-mode Nous expliquerons au cours de l' tape 3 la commande ip pim sparse-mode. Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une rsilience optimale : snmp-server trap-source Loopback0 ip ssh source-interface Loopback0 ip pim register-source Loopback0 ip tacacs source-interface Loopback0 ntp source Loopback0 tape 6 : Configurez le routage IP unicast. Configurez le protocole EIGRP face la couche de distribution ou la couche centrale du LAN. Dans cette conception, l' interface Port Channel et la boucle doivent tre des interfaces EIGRP. La boucle doit rester quant elle une interface passive. La plage rseau doit inclure les deux adresses IP de l' interface, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. router eigrp 100 network 10.4.0.0 0.1.255.255 no auto-summary passive-interface default eigrp router-id 10.4.32.241 tape 7 : Configurez le routage IP multicast. Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Dans cette conception, qui s'appuie sur une opration multicast de type mode sparse, la fonction Auto RP est utilise. Elle aide de manire simple mais cependant volutive mettre en place un environnement RP hautement rsilient. Activez le routage multicast IP sur les plates-formes en mode de configuration globale. ip multicast-routing distributed Tous les commutateurs et routeurs de couche 3 doivent tre configurs de sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez la commande ip pim autorp listener pour autoriser la reconnaissance dans les liens du mode sparse. Cette configuration permet de faire voluer l'environnement en multicast IP et de le contrler. Elle peut changer en fonction des besoins et de la conception du rseau. ip pim autorp listener Toutes les interfaces de couche 3 du rseau doivent tre actives pour l'opration de multicast en mode sparse. ip pim sparse-mode 24 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 3 Conguration de la connectivit du LAN Les liaisons vers des couches de distribution adjacentes doivent tre des liaisons ou des EtherChannels de couche 3. tape 1 : Configurez l' interface de couche 3. interface Port Channel1 ip address 10.4.32.2 255.255.255.252 ip pim sparse-mode no shutdown tape 2 : Configurez les interfaces des membres EtherChannel. Configurez les interfaces physiques et reliez-les aux interfaces Port Channel logiques l'aide de la commande channel-group. Le nombre d' interfaces Port Channel et de commandes channel-group doit correspondre. interface GigabitEthernet0/0/0 description WAN-D3750X Gig1/0/1 ! interface GigabitEthernet0/0/1 description WAN-D3750X Gig2/0/1 ! interface range GigabitEthernet0/0/0, GigabitEthernet0/0/1 no ip address channel-group 1 mode active no shutdown tape 3 : Configurez l interface EIGRP. Permettez EIGRP de former des liens de voisinage sur l'ensemble de l' interface afin d' tablir des appairages adjacents et des tables de routage d' change. router eigrp 100 no passive-interface Port Channel1
Procdure 4 Connexion au routeur PE MPLS tape 1 : Attribuez la bande passante de l' interface. La valeur de la bande passante doit correspondre la vitesse relle de l' interface. Dans le cas d'un service de type sous-dbit, utilisez le dbit contrl de l'oprateur. L'exemple ci-dessous prsente une interface Gigabit (1 000 Mbit/s) avec un sous-dbit de 300 Mbit/s. interface GigabitEthernet0/0/3 bandwidth 300000
Rfrence relative aux commandes : bandwidth Kbit/s (300 Mbit/s = 300 000 Kbit/s) Conseil l'intention du lecteur tape 2 : Attribuez le masque rseau et l'adresse IP de l' interface WAN. Vous devez ngocier l'adressage IP utilis entre des routeurs CE et PE avec votre oprateur MPLS. On utilise gnralement un masque rseau point point de 255. 255. 255. 252. interface GigabitEthernet0/0/3 ip address 192.168.3.1 255.255.255.252 tape 3 : Activez l' interface et dsactivez le protocole CDP administrativement. Nous ne recommandons pas l'utilisation du protocole CDP sur des interfaces externes. interface GigabitEthernet0/0/3 no cdp enable no shutdown 25 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 5 Conguration du routage EIGRP tape 1 : Redistribuez le routage BGP vers EIGRP. Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le calcul de cette mesure. router eigrp [numro de systme autonome] default-metric [bande passante] [dlai] 255 1 1500 redistribute bgp [ASN BGP]
Rfrence relative aux commandes : default-metric mtu de chargement de fiabilit du dlai de bande passante bandwidth : bande passante minimum de la route en kilobits par seconde delay : dlai de la route en diximes de microseconde Conseil l'intention du lecteur tape 2 : Configurez la carte de routage et la liste de distribution entrante pour EIGRP. Cette conception utilise une redistribution des routes mutuelle ; les routes BGP sont distribues vers EIGRP et les routes EIGRP vers BGP (point trait dans la Procdure 5). L'utilisation de cette configuration requiert le contrle prcis du partage des informations de routage entre les diffrents protocoles de routage. Un battement de route risque de se produire sinon, savoir que certaines routes sont installes puis retires des tables de routage des priphriques de manire rpte. Un contrle adquat des routes garantit la stabilit de la table de routage. Dans le cas d'une liste de distribution entrante, vous utilisez une carte de routage afin de spcifier les routes pouvant tre installes dans la table de routage. Les routeurs CE MPLS d'agrgation WAN sont configurs de sorte accepter uniquement les routes ne provenant pas des sources WAN DMVPN ou MPLS. Pour ce faire, vous devez crer une carte de routage qui corresponde toutes les routes provenant du WAN indiqu par un marqueur de route spcifique. Cette mthode permet l' identification dynamique des diverses routes WAN. Les routes BGP acquises sont implicitement marques par leur systme autonome (AS) d'origine respectif et les autres routes WAN sont explicitement marques par leur routeur d'agrgation WAN (point trait dans une autre procdure). Les marquages de routes spcifiques utiliss sont indiqus ci-dessous. Tableau 9 - Informations de marquage de route pour les routeurs CE MPLS d'agrgation WAN Marquage Origine de la route Mthode de marquage action 65401 VPN MPLS A implicite bloquer 65402 VPN MPLS B implicite bloquer 300 WAN de couche 2 explicite accepter 65512 Routeurs concentrateurs DMVPN explicite bloquer Cet exemple inclut toutes les origines de routes WAN de la conception de rfrence. Vous devrez peut-tre bloquer d'autres marquages, selon la conception spcifique de votre rseau. Lorsque vous crez la carte de routage, il est important d' inclure la fin de celle-ci une instruction de type permit de sorte autoriser l' installation de routes dont les marquages ne correspondent pas.
Si vous configurez la redistribution mutuelle des routes sans correspondance, sans marquage et sans filtrage corrects, un battement des routes peut se produire, et ainsi provoquer une instabilit. Conseil l'intention des techniciens route-map BLOCK-TAGGED-ROUTES deny 10 match tag 65401 65402 65512 ! route-map BLOCK-TAGGED-ROUTES permit 20 ! router eigrp 100 distribute-list route-map BLOCK-TAGGED-ROUTES in default-metric 100000 100 255 1 1500 redistribute bgp 65511 26 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 6 Conguration du routage BGP tape 1 : Activez le routage BGP. Cette tape requiert l'utilisation d'un ASN BGP. Vous pouvez consulter votre oprateur MPLS pour connatre les exigences spcifiques l'ASN, mais il est possible que vous soyez autoris utiliser un ASN priv tel que dsign par l' IANA. La plage des ASN privs s' tend de 64512 65534. Le routeur CE communique uniquement les routes rseau au PE par l' intermdiaire du protocole BGP lorsque : La route est spcifie dans les instructions rseau et figure dans la table de routage locale. La route est redistribue vers BGP. router bgp 65511 no synchronization bgp router-id 10.4.32.241 bgp log-neighbor-changes no auto-summary tape 2 : Configurez le routage eBGP. Vous devez configurer le routage BGP avec le priphrique PE de l'oprateur MPLS. Ce dernier doit fournir son ASN (l'ASN dont il est fait mention l' tape 1 est celui identifiant votre site). Le routeur PE de l'oprateur utilisant un ASN diffrent, cette configuration est considre comme une connexion BGP externe (eBGP). Il est souhaitable d' indiquer une route pour la liaison PE-CE ; incluez donc ce rseau dans une instruction rseau. Vous pouvez utiliser cette indication pour dterminer l'accessibilit du routeur des fins de dpannage. router bgp 65511 network 192.168.3.0 mask 255.255.255.252 neighbor 192.168.3.2 remote-as 65401 tape 3 : Redistribuez le routage EIGRP vers BGP. Toutes les routes EIGRP acquises par le routeur CE doivent tre indiques au sein du WAN, y compris celles provenant du cur du rseau et celles destines d'autres sites WAN. Dans un souci d'efficacit accrue, rsumez ces routes avant leur communication au routeur CE. Le protocole BGP ne propageant aucune route par dfaut dans le cadre de la redistribution, vous devez indiquer explicitement 0.0.0.0 dans une instruction rseau. router bgp 65511 network 0.0.0.0 redistribute eigrp 100 tape 4 : Configurez le routage iBGP (Facultatif). Dans le cas de deux oprateurs MPLS, une liaison BGP est configure entre les routeurs CE. Ces derniers utilisant le mme ASN, cette configuration est considre comme une connexion BGP interne (iBGP). Cette conception fait appel un appairage iBGP utilisant des adresses de bouclage de priphrique, ncessitant ainsi les options de configuration update-source et next-hop-self. router bgp 65511 neighbor 10.4.32.242 remote-as 65511 neighbor 10.4.32.242 update-source Loopback0 neighbor 10.4.32.242 next-hop-self 27 Dploiement d'un WAN MPLS Srie de fvrier 2012
Configuration des routeurs CE MPLS de site distant 1. Configuration du routeur WAN distant 2. Connexion au routeur PE MPLS 3. Configuration du routage BGP 4. Configuration du routage de couche d'accs 5. Configuration du routeur HSRP de couche d'accs 6. Configuration du rseau de transit 7. Configuration du routage EIGRP (ct LAN) 8. Activation du suivi d'objets avanc Procdure Utilisez ce processus pour la configuration dans l'un des cas de figure suivants : Routeur CE MPLS d'un site distant WAN MPLS (routeur unique, liaison unique). Site distant WAN MPLS avec deux oprateurs. Utilisez ces procdures lors de la configuration initiale d'un routeur CE MPLS double connexion dans le cadre de la conception base sur un routeur unique et une liaison double ou lors de la configuration du premier routeur dans le cadre de la conception de type routeur double et liaison double. Site distant WAN MPLS + DMVPN. Utilisez ces procdures lors de la configuration initiale d'un routeur satellite double rle CE MPLS et DMVPN dans le cadre de la conception base sur un routeur unique et une liaison double. Premier routeur dans le cadre de la conception de type routeur double et liaison double. L'organigramme suivant prsente de manire dtaille le processus de configuration du routeur CE MPLS d'un site distant. Figure 16 - Organigramme de la configuration du routeur CE MPLS d'un site distant
Procdure 1 Conguration du routeur WAN distant Cette conception comprend plusieurs fonctionnalits et services communs tous les routeurs WAN de site distant. Il s'agit de paramtres systme qui simplifient et scurisent la gestion de la solution. tape 1 : Configurez le nom d' hte du priphrique pour en faciliter l' identification. hostname [nom d'hte] tape 2 : Configurez les protocoles de gestion des priphriques. HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris) sont des protocoles scuriss utiliss en remplacement des protocoles HTTP et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise) et TLS (Transport Layer Security, scurit de la couche transport) pour l'authentification du priphrique et le cryptage des donnes. Routeur CE MPLS de site distant Routeur unique, liaison unique Routeur CE MPLS de site distant Routeur unique, liaison double Routeur CE MPLS de site distant Routeur double, liaison double (1 er routeur) 1. Fin de la configuration universelle des routeurs WAN 2. Connexion au routeur PE MPLS 3 Configuration du routage BGP Routeur CE MPLS de site distant Procdures de configuration 3. Configuration du routage BGP NON Couche de distribution Conception ? Routeur double 1. Connexion d'un routeur CS MPLS 2. Configuration du routage EIGRP (ct LAN) OUI OUI NON NON Routeur CE MPLS de site distant Procdures de la couche de distribution Routeur double Conception ? 2. Configuration du routage EIGRP (ct LAN) Routeur double Conception ? OUI OUI NON NON 4. Configuration du routage de couche d'accs 5. Configuration du routeur HSRP de couche d'accs 6. Configuration du rseau de transit 7. Configuration du routage EIGRP (ct LAN) 8. Activation du suivi d'objets avanc 3. Configuration du rseau de transit 2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 1 Configuration du 2 e routeur de site distant Configuration du 2 e routeur de site distant Routeur CE MPLS Configuration termine Routeur CE MPLS Configuration termine 28 Dploiement d'un WAN MPLS Srie de fvrier 2012 Activez la gestion scurise du priphrique LAN au moyen des protocoles SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs. ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Activez le protocole SNMP (Simple Network Management Protocol, protocole simple de gestion de rseau) pour permettre la gestion des priphriques de l' infrastructure rseau par un systme d'administration rseau (NMS). SNMPv2c est configur pour la chane de communaut en lecture seule et en lecture-criture. snmp-server community cisco RO snmp-server community cisco123 RW tape 3 : Configurez l'authentification de l'utilisateur scurise. Activez le protocole AAA (authentication, authorization and accounting, authentification, autorisation et traabilit) pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques d' infrastructure rseau (SSH et HTTPS).
Le serveur AAA utilis dans cette architecture est le serveur Cisco ACS. Pour plus d' information sur la configuration ACS, consultez le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention du lecteur TACACS+ est le principal protocole utilis pour authentifier les connexions de gestion au serveur AAA sur les priphriques d' infrastructure. Une base de donnes utilisateur AAA locale est galement dfinie sur chaque priphrique de l' infrastructure rseau de manire fournir une source d'authentification de secours au cas o le serveur TACACS+ centralis ne serait pas disponible. enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key SecretKey ! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local aaa authorization console ip http authentication aaa tape 4 : Configurez une horloge synchronise. Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient habituellement d'une source faisant autorit, par exemple une horloge radio- pilote ou une horloge atomique rattache un serveur temporel. Le protocole NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation. Vous devez programmer les priphriques rseau pour qu' ils se synchronisent avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise habituellement une heure plus prcise fournie par une source externe. Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des messages de console, des journaux et des rsultats de dbogage afin de pouvoir recouper les vnements du rseau. ntp server 10.4.48.17 ntp update-calendar ! clock timezone PST -8 clock summer-time PDT recurring ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime 29 Dploiement d'un WAN MPLS Srie de fvrier 2012 Lorsque la journalisation synchrone des rsultats de dbogage ou des messages non sollicits est active, les messages de journalisation de la console s'affichent sur cette dernire aprs l'affichage ou l' impression des rsultats de l' interface de ligne de commande (CLI) interactive. Au moyen de cette commande, vous pouvez poursuivre la saisie sur la console du priphrique lorsque le dbogage est activ. line con 0 logging synchronous tape 5 : Configurez une interface de gestion intrabande. L' interface de bouclage est une interface logique. Elle est accessible tant que le priphrique est sous tension et qu'une interface IP est accessible sur le rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de manire idale la gestion intrabande du commutateur. Le processus et les fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour garantir la rsilience du processus. L'adresse de bouclage est habituellement une adresse hte possdant un masque d'adresse 32 bits. Affectez l'adresse IP en boucle du routeur de site distant depuis une plage rseau unique ne faisant pas partie d'une autre plage de rsum rseau interne. interface Loopback0 ip address [adresse IP] 255.255.255.255 ip pim sparse-mode La commande ip pim sparse-mode est explique plus loin dans le processus. Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une rsilience optimale : snmp-server trap-source Loopback 0 ip ssh source-interface Loopback 0 ip pim register-source Loopback0 ip tacacs source-interface Loopback0 ntp source Loopback0 tape 6 : Configurez le routage IP multicast. Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Dans cette conception, qui s'appuie sur une opration multicast de type mode sparse, la fonction Auto RP est utilise. Elle aide de manire simple mais cependant volutive mettre en place un environnement RP hautement rsilient. Activez le routage multicast IP sur les plates-formes en mode de configuration globale. ip multicast-routing Tous les commutateurs et routeurs de couche 3 doivent tre configurs de sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez la commande ip pim autorp listener pour autoriser la reconnaissance dans les liens du mode sparse. Cette configuration permet de faire voluer l'environnement en multicast IP et de le contrler. Elle peut changer en fonction des besoins et de la conception du rseau. ip pim autorp listener Toutes les interfaces de couche 3 du rseau doivent tre actives pour l'opration de multicast en mode sparse. ip pim sparse-mode
Procdure 2 Connexion au routeur PE MPLS tape 1 : Attribuez la bande passante de l' interface. La valeur de la bande passante doit correspondre la vitesse relle de l' interface. Dans le cas d'un service de type sous-dbit, utilisez toutefois le dbit contrl de l'oprateur. L'exemple ci-dessous prsente une interface Gigabit (1 000 Mbit/s) avec un sous-dbit de 10 Mbit/s. interface [type d'interface] [numro] bandwidth [bande passante (Kbit/s)] 30 Dploiement d'un WAN MPLS Srie de fvrier 2012
Rfrence relative aux commandes : bandwidth Kbit/s (10 Mbit/s = 10 000 Kbit/s) Conseil l'intention du lecteur tape 2 : Attribuez le masque rseau et l'adresse IP de l' interface WAN. Vous devez ngocier l'adressage IP utilis entre des routeurs CE et PE avec votre oprateur MPLS. On utilise gnralement un masque rseau point point de 255. 255. 255. 252. interface [type d'interface] [numro] ip address [adresse IP] [masque rseau] tape 3 : Activez l' interface et dsactivez le protocole CDP administrativement. Nous ne recommandons pas l'utilisation du protocole CDP sur des interfaces externes. interface [type d'interface] [numro] no cdp enable no shutdown Exemple interface GigabitEthernet0/0 bandwidth 10000 ip address 192.168.3.9 255.255.255.252 no cdp enable no shutdown
Procdure 3 Conguration du routage BGP tape 1 : Activez le routage BGP. Cette tape requiert un ASN BGP. Il est possible que vous puissiez rutiliser la valeur dfinie sur le routeur CE MPLS VPN depuis le site d'agrgation WAN. Consultez votre oprateur MPLS pour connatre les exigences spcifiques l'ASN. Le routeur CE communique uniquement les routes rseau au PE par l' intermdiaire du protocole BGP dans les cas suivants : La route est spcifie dans les instructions rseau et figure dans la table de routage locale. La route est redistribue vers BGP (non applicable dans le cas d'un site distant). router bgp 65511 no synchronization bgp router-id [adresse IP de la boucle0] bgp log-neighbor-changes no auto-summary tape 2 : Configurez le routage eBGP. Vous devez configurer le routage BGP avec le priphrique PE de l'oprateur MPLS. Ce dernier doit fournir son ASN (l'ASN dont il est fait mention l' tape 1 est celui identifiant votre site). tant donn que le routeur PE de l'oprateur utilisera un ASN diffrent, cette configuration est considre comme une connexion BGP externe (eBGP). Il est souhaitable d' indiquer une route pour la liaison PE-CE ; incluez donc ce rseau dans une instruction rseau. Vous pouvez utiliser cette indication pour dterminer l'accessibilit du routeur des fins de dpannage. Vous devez communiquer les rseaux LAN de sites distants. L'affectation d'adresses IP pour les sites distants a t conue de sorte que tous les rseaux en cours d'utilisation peuvent tre rsums en une seule route globale. L'adresse globale telle que configure ci-dessous supprime les routes plus spcifiques. Si un rseau LAN quelconque figure dans la table de routage, l'adresse globale est communique au routeur PE MPLS, ce qui offre une certaine rsilience. Si vous ne pouvez pas rsumer les divers rseaux LAN, vous devez alors les rpertorier individuellement. router bgp 65511 network [rseau liaison PE-CE] mask [masque rseau liaison PE-CE] network [rseau de DONNES] mask [masque rseau] network [rseau VOCAL] mask [masque rseau] network [rseau de DONNES WLAN] mask [masque rseau] network [rseau VOCAL WLAN] mask [masque rseau] aggregate-address [adresse IP rsume] [masque rseau rsum] summary-only neighbor [adresse IP de PE] remote-as [ASN de l'oprateur] 31 Dploiement d'un WAN MPLS Srie de fvrier 2012 Exemple router bgp 65511 no synchronization bgp router-id 10.5.8.254 bgp log-neighbor-changes network 192.168.3.8 mask 255.255.255.252 network 10.5.10.0 mask 255.255.255.0 network 10.5.11.0 mask 255.255.255.0 network 10.5.12.0 mask 255.255.255.0 network 10.5.13.0 mask 255.255.255.0 aggregate-address 10.5.8.0 255.255.248.0 summary-only neighbor 192.168.3.10 remote-as 65401 no auto-summary
Procdure 4 Conguration du routage de couche d'accs Dans le cadre de la conception de couche d'accs, les sites distants utilisent le routage regroup, avec des interfaces de liaison 802.1Q vers la couche d'accs LAN. La numrotation des VLAN n'a de signification qu'au niveau local. Les commutateurs d'accs sont de couche 2 uniquement. tape 1 : Activez l' interface physique. interface GigabitEthernet [numro] no ip address no shutdown tape 2 : Crez des sous-interfaces et affectez des marquages VLAN. Une fois l' interface physique active, vous pouvez alors mapper les sous- interfaces donnes et voix pertinentes vers les VLAN du commutateur LAN. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de simplifier l'ensemble de la configuration. Rptez la partie de la configuration portant sur la sous-interface pour chaque VLAN donnes ou voix. interface GigabitEthernet [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] tape 3 : Configurez les paramtres IP de chaque sous-interface. Cette conception utilise une convention d'adressage IP selon laquelle le routeur passerelle par dfaut se voit affecter la combinaison d'adresse et de masque IP N.N.N.1 255. 255. 255.0, o N. N. N reprsente le rseau IP et 1 l' hte IP. Toutes les interfaces LAN de routeur utilisant le protocole DHCP pour l'affectation d'adresses IP aux stations dextrmit doivent faire appel une application d'assistance IP pour accder un serveur DHCP centralis dans la prsente conception. Si le routeur de site distant est le premier routeur d'une conception de type routeur double, HSRP est alors configur au niveau de la couche d'accs. Ceci requiert la modification de la configuration IP sur chaque sous-interface. interface GigabitEthernet [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [rseau LAN 1] [masque rseau LAN 1] ip helper-address 10.4.48.10 ip pim sparse-mode Exemple interface GigabitEthernet0/2 no ip address no shutdown ! interface GigabitEthernet0/2.64 description Data encapsulation dot1Q 64 ip address 10.5.12.1 255.255.255.0 ip helper-address 10.4.48.10 ip pim sparse-mode ! interface GigabitEthernet0/2.65 description WirelessData encapsulation dot1Q 65 ip address 10.5.10.1 255.255.255.0 ip helper-address 10.4.48.10 ip pim sparse-mode ! interface GigabitEthernet0/2.69 description Voice encapsulation dot1Q 69 ip address 10.5.13.1 255.255.255.0 ip helper-address 10.4.48.10 ip pim sparse-mode ! 32 Dploiement d'un WAN MPLS Srie de fvrier 2012 interface GigabitEthernet0/2.70 description WirelessVoice encapsulation dot1Q 70 ip address 10.5.11.1 255.255.255.0 ip helper-address 10.4.48.10 ip pim sparse-mode tape 4 : Configurez la liaison sur le commutateur LAN. Utilisez une liaison 802.1Q pour la connexion vers ce priphrique en amont, ce qui permet celui-ci de fournir les services de couche 3 tous les VLAN dfinis sur le commutateur de couche d'accs. Les VLAN autoriss sur la liaison sont limits aux VLAN actifs sur le commutateur d'accs. La surveillance DHCP et l' inspection ARP (Address Resolution Protocol) sont dfinies sur la confiance. interface GigabitEthernet [numro] switchport trunk encapsulation dot1q switchport trunk allowed vlan 64,65,69,70 switchport mode trunk macro apply EgressQoS ip arp inspection trust ip dhcp snooping trust logging event link-status no shutdown Les commutateurs Catalyst 2960-S et 4500 ne ncessitent pas la commande switchport trunk encapsulation dot1q. Les procdures suivantes (11 14) concernent uniquement la conception de type routeur double.
Procdure 5 Conguration du routeur HSRP de couche d'accs Applicable uniquement la conception de type routeur double Vous devez configurer le protocole HSRP afin de permettre l'utilisation d'une adresse IP virtuelle (VIP) comme passerelle par dfaut partage par deux routeurs. Le routeur HSRP actif est le routeur CE MPLS connect l'oprateur MPLS principal et le routeur HSRP en veille celui connect l'oprateur MPLS secondaire ou la liaison de secours. Configurez le routeur HSRP actif avec une priorit de veille suprieure celle du routeur HSRP en veille. Le routeur ayant la valeur de priorit de veille la plus leve est lu routeur HSRP actif. L'option d'anticipation (preempt) permet un routeur dont la priorit est suprieure de devenir le routeur HSRP actif, sans attendre un cas de figure o aucun des routeurs HSRP ne serait l' tat actif. Les paramtres HSRP appropris pour la configuration du routeur sont indiqus dans le tableau suivant. Tableau 10 - Paramtres HSRP de site distant WAN (routeur double) Routeur Rle HSRP Adresse IP virtuelle (VIP) Adresse IP relle Priorit HSRP Priorit DR PIM CE MPLS (principal) Actif .1 . 2 110 110 CE MPLS (secondaire) ou satellite DMVPN En veille .1 . 3 105 105 Les adresses IP affectes remplacent celles configures dans la procdure prcdente ; l'adresse IP de la passerelle par dfaut reste donc cohrente sur les diffrents sites utilisant un routeur unique ou double. La conception de couche d'accs routeur double requiert l'apport d'une modification afin de permettre un multicast fiable. Le routeur dsign (DR) PIM doit se trouver sur le routeur HSRP actif. Le DR est normalement lu en fonction de l'adresse IP la plus leve et n'a pas connaissance de la configuration HSRP. Dans cette conception, le routeur HSRP actif a une adresse IP relle infrieure celle du routeur HSRP en veille, d'o la ncessit de modifier la configuration PIM. Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la priorit DR sur les sous-interfaces orientes LAN pour les routeurs.
Comme il est indiqu dans le tableau prcdent, les priorits HSRP et DR PIM ont la mme valeur. Cependant, il n'est pas obligatoire d'utiliser des valeurs identiques. Conseil l'intention des techniciens 33 Dploiement d'un WAN MPLS Srie de fvrier 2012 Vous devez rpter cette procdure pour toutes les interfaces donnes ou voix. interface GigabitEthernet [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau LAN 1] [masque rseau LAN 1] ip helper-address 10.4.48.10 ip pim sparse-mode ip pim dr-priority 110 standby 1 ip [adresse de la passerelle rseau LAN 1] standby 1 priority 110 standby 1 preempt Exemple interface GigabitEthernet0/2 no ip address no shutdown ! interface GigabitEthernet0/2.64 description Data encapsulation dot1Q 64 ip address 10.5.12.2 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 110 ip pim sparse-mode standby 1 ip 10.5.12.1 standby 1 priority 110 standby 1 preempt ! interface GigabitEthernet0/2.65 description WirelessData encapsulation dot1Q 65 ip address 10.5.10.2 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 110 ip pim sparse-mode standby 1 ip 10.5.10.1 standby 1 priority 110 standby 1 preempt ! interface GigabitEthernet0/2.69 description Voice encapsulation dot1Q 69 ip address 10.5.13.2 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 110 ip pim sparse-mode standby 1 ip 10.5.13.1 standby 1 priority 110 standby 1 preempt ! interface GigabitEthernet0/2.70 description WirelessVoice encapsulation dot1Q 70 ip address 10.5.11.2 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 110 ip pim sparse-mode standby 1 ip 10.5.11.1 standby 1 priority 110 standby 1 preempt
Procdure 6 Conguration du rseau de transit Applicable uniquement la conception de type routeur double Vous configurez le rseau de transit entre deux routeurs. Ce rseau est utilis pour la communication de routeur routeur et pour viter le renvoi d'appel. Le rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface de routeur dj en cours d'utilisation pour les donnes ou la voix. Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP et DHCP ne sont donc pas requis. interface GigabitEthernet0/2 [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau de transit] [masque rseau de transit] ip pim sparse-mode 34 Dploiement d'un WAN MPLS Srie de fvrier 2012 Exemple : routeur CE MPLS (principal) interface GigabitEthernet0/2.99 description Transit Net encapsulation dot1Q 99 ip address 10.5.8.1 255.255.255.252 ip pim sparse-mode
Procdure 7 Conguration du routage EIGRP (ct LAN) Applicable uniquement la conception de type routeur double Vous devez configurer un protocole de routage entre les deux routeurs. Ceci permet de garantir que le routeur HSRP actif dispose d' informations d'accessibilit compltes pour tous les sites distants WAN. tape 1 : Activez le routeur EIGRP-100. Configurez le routeur EIGRP-100 orient vers la couche d'accs. Dans cette conception, toutes les interfaces orientes LAN et la boucle doivent tre des interfaces EIGRP. Toutes les interfaces doivent rester passives, l'exception de la sous-interface du rseau de transit. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. N' incluez pas l' interface WAN (interface de liaison PE-CE MPLS) comme interface EIGRP. router eigrp 100 network [rseau] [masque inverse] passive-interface default no passive-interface [interface de transit] eigrp router-id [adresse IP de Loopback0] no auto-summary tape 2 : Redistribuez le routage BGP vers EIGRP-100. Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le calcul de cette mesure. router eigrp 100 default-metric [bande passante] [dlai] 255 1 1500 redistribute bgp 65511
Rfrence relative aux commandes : default-metric mtu de chargement de fiabilit du dlai de bande passante bandwidth : bande passante minimum de la route en kilobits par seconde delay : dlai de la route en diximes de microseconde Conseil l'intention du lecteur Exemple router eigrp 100 default-metric 100000 100 255 1 1500 network 10.4.0.0 0.1.255.255 redistribute bgp 65511 passive-interface default no passive-interface GigabitEthernet0/2.99 eigrp router-id 10.5.48.254 no auto-summary
Procdure 8 Activation du suivi d'objets avanc Applicable uniquement la conception de type routeur double Le routeur HSRP actif demeure le routeur actif tant qu' il n'est pas recharg ou ne tombe pas en panne. Ceci peut donner lieu un comportement non dsir. Si une dfaillance venait survenir au niveau du transport VPN MPLS principal, le routeur HSRP actif apprendrait alors un autre chemin travers le rseau de transit jusqu'au routeur HSRP en veille et commencerait transfrer le trafic le long de ce chemin. Ce routage n'est pas optimal et vous pouvez y remdier l'aide de la fonction EOT. Le routeur HSRP actif (CE MPLS principal) peut utiliser la fonction IP SLA pour envoyer des sondes d' cho son routeur PE MPLS. Si le routeur PE devient inaccessible, le routeur peut alors rduire sa priorit HSRP de sorte que le routeur HSRP en veille puisse prendre le devant et devenir le routeur HSRP actif. 35 Dploiement d'un WAN MPLS Srie de fvrier 2012 Cette procdure est uniquement valide sur le routeur connect au transport principal (VPN MPLS). tape 1 : Activez la sonde IP SLA. Utilisez des sondes d' cho (ping) ICMP standard et envoyez-les intervalles de 15 secondes. Vous devez recevoir des rponses avant l'expiration du dlai d'attente de 1 000 ms. Si vous utilisez le routeur PE MPLS comme destination de la sonde, l'adresse de destination est identique celle du voisin BGP configure dans la Procdure 3. ip sla 100 icmp-echo [adresse IP de destination de la sonde] source- interface [interface WAN] timeout 1000 threshold 1000 frequency 15 ip sla schedule 100 life forever start-time now tape 2 : Configurez EOT. Un objet suivi est cr en fonction de la sonde IP SLA. L'objet en cours de suivi correspond la russite ou l' chec d'accs de la sonde. Si la sonde parvient y accder, l' tat de l'objet suivi est Up (marche) ; dans le cas contraire, l' tat de l'objet est Down (panne). track 50 ip sla 100 reachability tape 3 : Liez le routage HSRP l'objet suivi. Toutes les sous-interfaces donnes ou voix doivent activer le suivi HSRP. Le routage HSRP peut surveiller l' tat de l'objet suivi. Si l' tat est Down, la priorit HSRP est dcrmente par la priorit configure. Si la rduction est suffisamment importante, le routeur HSRP en veille prend le devant. interface [type d'interface] [numro].[numro de sous-interface] standby 1 track 50 decrement 10 Exemple interface range GigabitEthernet0/2.64, GigabitEthernet0/2.65, GigabitEthernet0/2.69, GigabitEthernet0/2.70 standby 1 track 50 decrement 10 ! track 50 ip sla 100 reachability ! ip sla 100 icmp-echo 192.168.3.10 source-interface GigabitEthernet0/0 timeout 1000 threshold 1000 frequency 15 ip sla schedule 100 life forever start-time now
Ajout de liaison secondaire MPLS sur un routeur CE MPLS existant 1. Connexion au routeur PE MPLS 2. Configuration du routage BGP pour une liaison double Procdure Cet ensemble de procdures inclut les tapes supplmentaires requises pour effectuer la configuration d'un routeur CE MPLS pour un site distant WAN MPLS deux oprateurs (routeur unique, liaison double). Les procdures suivantes partent du principe que la configuration d'un routeur CE MPLS pour un site distant WAN MPLS (routeur unique, liaison unique) a dj t effectue. Seules les procdures supplmentaires requises pour ajouter une autre liaison MPLS au routeur CE MPLS en cours d'excution sont indiques ici. L'organigramme suivant prsente de manire dtaille l'ajout d'une deuxime liaison MPLS de secours sur un routeur CE MPLS d'un site distant existant. 36 Dploiement d'un WAN MPLS Srie de fvrier 2012 Figure 17 - Organigramme de l'ajout d'une liaison MPLS de secours
Procdure 1 Connexion au routeur PE MPLS Cette procdure s'applique l' interface utilise pour connecter l'oprateur MPLS secondaire ou supplmentaire. tape 1 : Attribuez la bande passante de l' interface. La valeur de la bande passante doit correspondre la vitesse relle de l' interface. Dans le cas d'un service de type sous-dbit, utilisez le dbit contrl de l'oprateur. L'exemple ci-dessous prsente une interface Gigabit (1 000 Mbit/s) avec un sous-dbit de 10 Mbit/s. interface [type d'interface] [numro] bandwidth [bande passante (Kbit/s)]
Rfrence relative aux commandes : bandwidth Kbit/s (10 Mbit/s = 10 000 Kbit/s) Conseil l'intention du lecteur tape 2 : Attribuez le masque rseau et l'adresse IP de l' interface WAN. Vous devez ngocier l'adressage IP utilis entre des routeurs CE et PE avec votre oprateur MPLS. On utilise gnralement un masque rseau point point de 255. 255. 255. 252. interface [type d'interface] [numro] ip address [adresse IP] [masque rseau] tape 3 : Activez l' interface et dsactivez le protocole Cisco Discovery Protocol administrativement. Cisco dconseille l'utilisation du protocole Cisco Discovery Protocol sur des interfaces externes. interface [type d'interface] [numro] no cdp enable no shutdown Exemple interface GigabitEthernet0/1 bandwidth 10000 ip address 192.168.4.13 255.255.255.252 ip pim sparse-mode no cdp enable no shutdown Routeur CE MPLS Configuration termine Ajout d'une MPLS OUI Ajout dune MPLS Liaison secondaire ? NON 1. Connexion au routeur PE MPLS 2. Configuration du routage BGP li i d bl Procdures d'ajout d'une 2 e liaison MPLS sur une configuration du routeur CE MPLS existante OUI Ajout d'une DMVPN Sauvegarde ? Procdures d'activation de la sauvegarde DMVPN sur une configuration du routeur CE MPLS existante pour une liaison double 1. Configuration de VRF Lite 2. Connexion 3. Configuration d'ISAKMP et d'IPSec 4. Configuration du tunnel mGRE 5 Configuration du routage EIGRP NON 5. Configuration du routage EIGRP 6. Configuration du routage IP multicast 2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 2 Site termin 37 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 2 Conguration du routage BGP pour une liaison double tape 1 : Configurez le routage eBGP pour ajouter un voisin eBGP et communiquer la liaison PE-CE. Vous devez configurer le routage BGP avec le priphrique PE de l'oprateur MPLS. Ce dernier doit fournir son ASN (l'ASN mentionn dans cette tape est celui identifiant votre site). tant donn que le routeur PE de l'oprateur utilisera un ASN diffrent, cette configuration est considre comme une connexion BGP externe (eBGP). Il est souhaitable d' indiquer une route pour la liaison PE-CE ; incluez donc ce rseau dans une instruction rseau. Vous pouvez l'utiliser pour dterminer l'accessibilit du routeur des fins de dpannage. Les rseaux LAN de site distant sont dj communiqus selon la configuration effectue lors des procdures relatives la configuration du routeur CE MPLS d'un site distant. router bgp 65511 network [rseau liaison PE-CE 2] mask [masque rseau liaison PE-CE 2] neighbor [adresse IP de PE 2] remote-as [ASN de l'oprateur] tape 2 : Configurez le routage BGP pour empcher le site distant de devenir un systme autonome (AS) de transit. Par dfaut, le routage BGP communique nouveau toutes les routes BGP acquises. Dans la conception deux oprateurs MPLS, cela signifie que les routes de l'oprateur MPLS-A sont communiques l'oprateur MPLS-B et inversement. Dans certains cas, lors de l' chec d'une liaison un concentrateur MPLS, les sites distants se prsentent alors eux-mmes en tant que systme autonome de transit fournissant un accs entre les deux oprateurs. Il est recommand en tant que meilleure pratique d'empcher le site distant de devenir un site de transit, sauf s' il a t spcialement conu pour ce type de comportement de routage, avec une connexion haut dbit. Utilisez pour ce faire une carte de routage et un filtre as-path access-list. Appliquez cette carte de routage en sortie aux voisins pour les deux oprateurs MPLS. router bgp 65511 neighbor [adresse IP de PE] route-map NO-TRANSIT-AS out neighbor [adresse IP de PE 2] route-map NO-TRANSIT-AS out L'expression rgulire ^$ correspond des routes en provenance du site distant. Ce type de filtre permet uniquement aux routes d'origine locale d' tre communiques. ip as-path access-list 10 permit ^$ ! route-map NO-TRANSIT-AS permit 10 match as-path 10 tape 3 : Rglez le routage BGP de sorte donner la prfrence l'oprateur MPLS principal. Le routage BGP utilise un ensemble de rgles bien connu pour dterminer le meilleur chemin lorsque le mme prfixe de route IP est accessible par deux chemins diffrents. La conception deux oprateurs MPLS fournit dans de nombreux cas deux chemins de cot gal et il est probable que le premier chemin slectionn restera le chemin actif moins que le protocole de routage dtecte une dfaillance. L'objectif de la conception, savoir le comportement de routage dterministe et le routage principal/secondaire, requiert le rglage du routage BGP. Utilisez pour ce faire une carte de routage et un filtre as-path access-list. router bgp 65511 neighbor [adresse IP de PE] route-map PREFER-MPLS-A in L'expression rgulire 65401$ correspond des routes en provenance de l'AS 65401 (MPLS-A). Ceci permet au routage BGP de modifier de manire slective les informations de routage relatives aux routes originaires de cet AS. Dans cet exemple, la prfrence BGP locale est 200 pour l'oprateur MPLS principal. Les routes provenant de l'oprateur MPLS secondaire continuent d'utiliser leur prfrence locale par dfaut de 100. Appliquez cette carte de routage en entre au voisin pour l'oprateur MPLS principal uniquement. ip as-path access-list 1 permit _65401$ ! route-map PREFER-MPLS-A permit 10 match as-path 1 set local-preference 200 ! route-map PREFER-MPLS-A permit 20 38 Dploiement d'un WAN MPLS Srie de fvrier 2012 Exemple router bgp 65511 network 192.168.4.12 mask 255.255.255.252 neighbor 192.168.3.14 route-map PREFER-MPLS-A in neighbor 192.168.3.14 route-map NO-TRANSIT-AS out neighbor 192.168.4.14 remote-as 65402 neighbor 192.168.4.14 route-map NO-TRANSIT-AS out ! ip as-path access-list 1 permit _65401$ ip as-path access-list 10 permit ^$ ! route-map NO-TRANSIT-AS permit 10 match as-path 10 ! route-map PREFER-MPLS-A permit 10 match as-path 1 set local-preference 200 ! route-map PREFER-MPLS-A permit 20
Configuration de routeur de site distant (Double routeur - Routeur 2) 1. Fin de la configuration universelle des routeurs WAN 2. Connexion au routeur PE MPLS 3. Configuration du routage BGP 4. Configuration du routage de couche d'accs 5. Configuration du routeur HSRP de couche d'accs 6. Configuration du rseau de transit 7. Configuration du routage EIGRP (ct LAN) 8. Configuration de la rsilience de bouclage Procdure Utilisez cet ensemble de procdures lorsque vous configurez un site distant WAN MPLS deux oprateurs. Utilisez galement ces procdures lors de la configuration du deuxime routeur CE MPLS de la conception de type routeur double et liaison double. L'organigramme suivant prsente de manire dtaille la configuration du routeur CE MPLS d'un site distant. Figure 18 - Organigramme de la configuration du routeur CE MPLS 2 d'un site distant
Procdure 1 Fin de la conguration universelle des routeurs WAN Cette conception comprend plusieurs fonctionnalits et services communs tous les routeurs WAN de site distant. Il s'agit de paramtres systme qui simplifient et scurisent la gestion de la solution. tape 1 : Configurez le nom d' hte du priphrique pour en faciliter l' identification. hostname [nom d'hte] Routeur CE MPLS de site distant Routeur double, liaison double (2 e routeur) 1. Fin de la configuration universelle des routeurs WAN 2. Connexion au routeur PE MPLS 3 Configuration du routage BGP Routeur CE MPLS de site distant 2 Procdures de configuration 3. Configuration du routage BGP Couche de distribution Conception ? OUI NON R t CE MPLS d it di t t 2 4. Configuration du routage de couche d'accs 5. Configuration du routeur HSRP de couche d'accs 6. Configuration du rseau de transit 7 Configuration du routage EIGRP (ct LAN) 1. Connexion au routeur CE MPLS 2. Configuration du routage EIGRP (ct LAN) 3. Configuration du rseau de transit Routeur CE MPLS de site distant 2 Procdures de la couche de distribution Routeur CE MPLS de site distant 2 Procdures de la couche d'accs 7. Configuration du routage EIGRP (ct LAN) 8. Configuration de la rsilience de bouclage Site termin Site termin 2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 3 39 Dploiement d'un WAN MPLS Srie de fvrier 2012 tape 2 : Configurez les protocoles de gestion des priphriques. HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris) sont des protocoles scuriss utiliss en remplacement des protocoles HTTP et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise) et TLS (Transport Layer Security, scurit de la couche transport) pour l'authentification du priphrique et le cryptage des donnes. Activez la gestion scurise du priphrique LAN au moyen des protocoles SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs. ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Activez le protocole SNMP (Simple Network Management Protocol, protocole simple de gestion de rseau) pour permettre la gestion des priphriques de l' infrastructure rseau par un systme d'administration rseau (NMS). SNMPv2c est configur pour la chane de communaut en lecture seule et en lecture-criture. snmp-server community cisco RO snmp-server community cisco123 RW tape 3 : Configurez l'authentification utilisateur scurise. Activez le protocole AAA (authentication, authorization and accounting, authentification, autorisation et traabilit) pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques d' infrastructure rseau (SSH et HTTPS).
Le serveur AAA utilis dans cette architecture est le serveur Cisco ACS. Pour plus d' information sur la configuration ACS, consultez le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention du lecteur TACACS+ est le principal protocole utilis pour authentifier les connexions de gestion au serveur AAA sur les priphriques d' infrastructure. Une base de donnes utilisateur AAA locale est galement dfinie sur chaque priphrique de l' infrastructure rseau de manire fournir une source d'authentification de secours au cas o le serveur TACACS+ centralis ne serait pas disponible. enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key SecretKey ! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local aaa authorization console ip http authentication aaa tape 4 : Configurez une horloge synchronise. Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient habituellement d'une source faisant autorit, par exemple une horloge radio- pilote ou une horloge atomique rattache un serveur temporel. Le protocole NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation. Vous devez programmer les priphriques rseau pour qu' ils se synchronisent avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise habituellement une heure plus prcise fournie par une source externe. Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des messages de console, des journaux et des rsultats de dbogage afin de pouvoir recouper les vnements du rseau. ntp server 10.4.48.17 ntp update-calendar ! clock timezone PST -8 clock summer-time PDT recurring ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime 40 Dploiement d'un WAN MPLS Srie de fvrier 2012 Lorsque la journalisation synchrone des rsultats de dbogage ou des messages non sollicits est active, les messages de journalisation de la console s'affichent sur cette dernire aprs l'affichage ou l' impression des rsultats de l' interface de ligne de commande (CLI) interactive. Au moyen de cette commande, vous pouvez poursuivre la saisie sur la console du priphrique lorsque le dbogage est activ. line con 0 logging synchronous tape 5 : Configurez une interface de gestion intrabande. L' interface de bouclage est une interface logique. Elle est accessible tant que le priphrique est sous tension et qu'une interface IP est accessible sur le rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de manire idale la gestion intrabande du commutateur. Le processus et les fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour garantir la rsilience du processus. L'adresse de bouclage est habituellement une adresse hte possdant un masque d'adresse 32 bits. Affectez l'adresse IP en boucle du routeur de site distant depuis une plage rseau unique ne faisant pas partie d'une autre plage de rsum rseau interne. interface Loopback0 ip address [adresse IP] 255.255.255.255 ip pim sparse-mode La commande ip pim sparse-mode est explique plus loin dans le processus. Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une rsilience optimale : snmp-server trap-source Loopback 0 ip ssh source-interface Loopback 0 ip pim register-source Loopback0 ip tacacs source-interface Loopback0 ntp source Loopback0 tape 6 : Configurez le routage IP multicast. Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Dans cette conception, qui s'appuie sur une opration multicast de type mode sparse, Cisco utilise la fonction Auto RP. Elle aide de manire simple mais cependant volutive mettre en place un environnement RP hautement rsilient. Activez le routage multicast IP sur les plates-formes en mode de configuration globale. ip multicast-routing Tous les commutateurs et routeurs de couche 3 doivent tre configurs de sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez la commande ip pim autorp listener pour autoriser la reconnaissance dans les liens du mode sparse. Cette configuration permet de faire voluer l'environnement en multicast IP et de le contrler. Elle peut changer en fonction des besoins et de la conception du rseau. ip pim autorp listener Vous devez activer toutes les interfaces de couche 3 du rseau pour l'opration de multicast en mode sparse. ip pim sparse-mode
Procdure 2 Connexion au routeur PE MPLS tape 1 : Attribuez la bande passante de l' interface. La valeur de la bande passante doit correspondre la vitesse relle de l' interface. Dans le cas d'un service de type sous-dbit, utilisez le dbit contrl de l'oprateur. L'exemple ci-dessous prsente une interface Gigabit (1 000 Mbit/s) avec un sous-dbit de 10 Mbit/s. interface [type d'interface] [numro] bandwidth [bande passante (Kbit/s)] 41 Dploiement d'un WAN MPLS Srie de fvrier 2012
Rfrence relative aux commandes : bandwidth Kbit/s (10 Mbit/s = 10 000 Kbit/s) Conseil l'intention du lecteur tape 2 : Attribuez le masque rseau et l'adresse IP de l' interface WAN. Vous devez ngocier l'adressage IP utilis entre des routeurs CE et PE avec votre oprateur MPLS. On utilise gnralement un masque rseau point point de 255. 255. 255. 252. interface [type d'interface] [numro] ip address [adresse IP] [masque rseau] tape 3 : Activez l' interface et dsactivez le protocole Cisco Discovery Protocol administrativement. Cisco dconseille l'utilisation du protocole Cisco Discovery Protocol sur des interfaces externes. interface [type d'interface] [numro] no cdp enable no shutdown Exemple interface GigabitEthernet0/0 bandwidth 25000 ip address 192.168.4.9 255.255.255.252 no cdp enable no shutdown
Procdure 3 Conguration du routage BGP tape 1 : Activez le routage BGP. Cette tape requiert l'utilisation d'un ASN BGP. Il est possible que vous puissiez rutiliser la valeur dfinie sur le routeur CE MPLS VPN depuis le site d'agrgation WAN. Consultez votre oprateur MPLS pour connatre les exigences spcifiques l'ASN. Le routeur CE communique uniquement les routes rseau au PE par l' intermdiaire du protocole BGP dans les cas suivants : La route est spcifie dans les instructions rseau et figure dans la table de routage locale. La route est redistribue vers BGP (non applicable dans le cas d'un site distant). router bgp 65511 no synchronization bgp router-id [adresse IP de la boucle0] bgp log-neighbor-changes no auto-summary tape 2 : Configurez le routage eBGP. Vous devez configurer le routage BGP avec le priphrique PE de l'oprateur MPLS. Ce dernier doit fournir son ASN (l'ASN dont il est fait mention l' tape 1 est celui identifiant votre site). tant donn que le routeur PE de l'oprateur utilisera un ASN diffrent, cette configuration est considre comme une connexion BGP externe (eBGP). Il est souhaitable d' indiquer une route pour la liaison PE-CE ; incluez donc ce rseau dans une instruction rseau. Vous pouvez utiliser cette indication pour dterminer l'accessibilit du routeur des fins de dpannage. Vous devez communiquer les rseaux LAN de sites distants. L'affectation d'adresses IP pour les sites distants a t conue de sorte que tous les rseaux en cours d'utilisation peuvent tre rsums en une seule route globale. L'adresse globale telle que configure ci-dessous supprime les routes plus spcifiques. Si un rseau LAN quelconque figure dans la table de routage, l'adresse globale est communique au routeur PE MPLS, ce qui offre une certaine rsilience. Si vous ne pouvez pas rsumer les divers rseaux LAN, vous devez alors les rpertorier individuellement. router bgp 65511 network [rseau liaison PE-CE] mask [masque rseau liaison PE-CE] network [rseau de DONNES] mask [masque rseau] network [rseau VOCAL] mask [masque rseau] network [rseau de DONNES WLAN] mask [masque rseau] network [rseau VOCAL WLAN] mask [masque rseau] aggregate-address [adresse IP rsume] [masque rseau rsum] summary-only neighbor [adresse IP de PE] remote-as [ASN de l'oprateur] 42 Dploiement d'un WAN MPLS Srie de fvrier 2012 tape 3 : Configurez le routage iBGP entre les routeurs CE MPLS de site distant. La conception deux oprateurs MPLS requiert la configuration d'une liaison BGP entre les routeurs CE. Ces derniers utilisant le mme ASN, cette configuration est considre comme une connexion BGP interne (iBGP). Cette conception fait appel un appairage iBGP utilisant des adresses de bouclage de priphrique, ncessitant ainsi les options de configuration update-source et next-hop-self. Vous devez effectuer cette tape sur les deux routeurs CE MPLS de site distant. Notez que la session iBGP sera uniquement tablie lorsque vous aurez termin les tapes relatives au rseau de transit et EIGRP (ct LAN). router bgp 65511 neighbor [boucle0 voisin iBGP] remote-as 65511 neighbor [boucle0 voisin iBGP] update-source Loopback0 neighbor [boucle0 voisin iBGP] next-hop-self tape 4 : Configurez le routage BGP pour empcher le site distant de devenir un systme autonome (AS) de transit. Par dfaut, le routage BGP communique nouveau toutes les routes BGP acquises. Dans la conception deux oprateurs MPLS, cela signifie que les routes de l'oprateur MPLS-A seront communiques l'oprateur MPLS-B et inversement. Dans certains cas, lors de l' chec d'une liaison un concentrateur MPLS, les sites distants se prsentent alors eux-mmes en tant que systme autonome de transit fournissant un accs entre les deux oprateurs. Il est recommand en tant que meilleure pratique d'empcher le site distant de devenir un site de transit, sauf s' il a t spcialement conu pour ce type de comportement de routage, avec une connexion haut dbit. Vous devez utiliser une carte de routage et un filtre as-path access-list. Appliquez cette carte de routage aux deux routeurs CE MPLS de site distant. Ceux-ci l'appliqueront alors en sortie au voisin pour leur oprateur MPLS respectif. router bgp 65511 neighbor [adresse IP de PE 2] route-map NO-TRANSIT-AS out L'expression rgulire ^$ correspond des routes en provenance du site distant. Ce type de filtre permet uniquement aux routes d'origine locale d' tre communiques. ip as-path access-list 10 permit ^$ ! route-map NO-TRANSIT-AS permit 10 match as-path 10 Exemple : routeur CE MPLS (secondaire) router bgp 65511 no synchronization bgp router-id 10.5.8.253 bgp log-neighbor-changes network 192.168.4.8 mask 255.255.255.252 network 10.5.10.0 mask 255.255.255.0 network 10.5.11.0 mask 255.255.255.0 network 10.5.12.0 mask 255.255.255.0 network 10.5.13.0 mask 255.255.255.0 aggregate-address 10.5.8.0 255.255.248.0 summary-only neighbor 10.5.8.254 remote-as 65511 neighbor 10.5.8.254 update-source Loopback0 neighbor 10.5.8.254 next-hop-self neighbor 192.168.4.10 remote-as 65402 neighbor 192.168.4.10 route-map NO-TRANSIT-AS out no auto-summary ! ip as-path access-list 10 permit ^$ ! route-map NO-TRANSIT-AS permit 10 match as-path 10 Exemple : routeur CE MPLS (principal) router bgp 65511 bgp router-id 10.5.8.254 neighbor 10.5.8.253 remote-as 65511 neighbor 10.5.8.253 update-source Loopback0 neighbor 10.5.8.253 next-hop-self neighbor 192.168.3.10 route-map NO-TRANSIT-AS out ! ip as-path access-list 10 permit ^$ ! route-map NO-TRANSIT-AS permit 10 match as-path 10 43 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 4 Conguration du routage de couche d'accs Dans le cadre de la conception de couche d'accs, les sites distants utilisent le routage regroup, avec des interfaces de liaison 802.1Q vers la couche d'accs LAN. La numrotation des VLAN n'a de signification qu'au niveau local. Les commutateurs d'accs sont de couche 2 uniquement. tape 1 : Activez l' interface physique. interface [type d'interface] [numro] no ip address no shutdown tape 2 : Crez des sous-interfaces et affectez des marquages VLAN. Une fois que vous avez activ l' interface physique, vous pouvez mapper les sous-interfaces donnes et voix pertinentes vers les VLAN du commutateur LAN. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de simplifier l'ensemble de la configuration. Rptez la partie de la configuration portant sur la sous-interface pour chaque VLAN donnes ou voix. interface [type d'interface] [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] tape 3 : Configurez les paramtres IP de chaque sous-interface. Cette conception utilise une convention d'adressage IP selon laquelle le routeur passerelle par dfaut se voit affecter la combinaison d'adresse et de masque IP N.N.N.1 255. 255. 255.0, o N. N. N reprsente le rseau IP et 1 l' hte IP. Toutes les interfaces LAN de routeur utilisant le protocole DHCP pour l'affectation d'adresses IP aux stations dextrmit doivent faire appel une application d'assistance IP pour accder un serveur DHCP centralis dans la prsente conception. Ce routeur CE MPLS de site distant est le deuxime routeur d'une conception de type routeur double et HSRP est configur au niveau de la couche d'accs. L'affectation d'adresses IP des interfaces sera configure dans le cadre de la procdure suivante. interface [type d'interface] [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip helper-address [adresse IP du serveur DHCP] Exemple interface GigabitEthernet0/2 no ip address no shutdown ! ! interface GigabitEthernet0/2.64 description Data encapsulation dot1Q 64 ip helper-address 10.4.48.10 ip pim sparse-mode ! interface GigabitEthernet0/2.65 description WirelessData encapsulation dot1Q 65 ip helper-address 10.4.48.10 ip pim sparse-mode ! interface GigabitEthernet0/2.69 description Voice encapsulation dot1Q 69 ip helper-address 10.4.48.10 ip pim sparse-mode ! interface GigabitEthernet0/2.70 description WirelessVoice encapsulation dot1Q 70 ip helper-address 10.4.48.10 ip pim sparse-mode 44 Dploiement d'un WAN MPLS Srie de fvrier 2012
Procdure 5 Conguration du routeur HSRP de couche d'accs Configurez le protocole HSRP de sorte utiliser une adresse IP virtuelle (VIP) comme passerelle par dfaut partage par deux routeurs. Le routeur HSRP actif est le routeur CE MPLS connect l'oprateur MPLS principal et le routeur HSRP en veille celui connect l'oprateur MPLS secondaire ou la liaison de secours. Configurez le routeur HSRP actif avec une priorit de veille suprieure celle du routeur HSRP en veille. Le routeur ayant la valeur de priorit de veille la plus leve est lu routeur HSRP actif. L'option d'anticipation (preempt) permet un routeur dont la priorit est suprieure de devenir le routeur HSRP actif, sans attendre un cas de figure o aucun des routeurs HSRP ne serait l' tat actif. Les paramtres HSRP appropris pour la configuration du routeur sont indiqus dans le tableau suivant. Tableau 11 - Paramtres HSRP de site distant WAN (routeur double) Routeur Rle HSRP Adresse IP virtuelle (VIP) Adresse IP relle Priorit HSRP Priorit DR PIM CE MPLS (principal) Actif .1 . 2 110 110 CE MPLS (secondaire) ou satellite DMVPN En veille .1 . 3 105 105 La conception de couche d'accs routeur double requiert l'apport d'une modification afin de permettre un multicast fiable. Le routeur dsign (DR) PIM doit se trouver sur le routeur HSRP actif. Le DR est normalement lu en fonction de l'adresse IP la plus leve et n'a pas connaissance de la configuration HSRP. Dans cette conception, le routeur HSRP actif a une adresse IP relle infrieure celle du routeur HSRP en veille, d'o la ncessit de modifier la configuration PIM. Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la priorit DR sur les sous-interfaces orientes LAN pour les routeurs.
Comme il est indiqu dans le tableau prcdent, les priorits HSRP et DR PIM ont la mme valeur. Cependant, il n'est pas obligatoire d'utiliser des valeurs identiques. Conseil l'intention des techniciens Rptez cette procdure pour toutes les sous-interfaces donnes ou voix. interface GigabitEthernet [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau LAN 1] [masque rseau LAN 1] ip helper-address 10.4.48.10 ip pim sparse-mode ip pim dr-priority 110 standby 1 ip [adresse de la passerelle rseau LAN 1] standby 1 priority 110 standby 1 preempt Exemple : routeur CE MPLS (secondaire) interface GigabitEthernet0/2 no ip address no shutdown ! interface GigabitEthernet0/2.64 description Data encapsulation dot1Q 64 ip address 10.5.12.3 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.12.1 standby 1 priority 105 standby 1 preempt ! interface GigabitEthernet0/2.65 description WirelessData encapsulation dot1Q 65 ip address 10.5.10.3 255.255.255.0 45 Dploiement d'un WAN MPLS Srie de fvrier 2012 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.10.1 standby 1 priority 105 standby 1 preempt ! interface GigabitEthernet0/2.69 description Voice encapsulation dot1Q 69 ip address 10.5.13.3 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.13.1 standby 1 priority 105 standby 1 preempt ! interface GigabitEthernet0/2.70 description WirelessVoice encapsulation dot1Q 70 ip address 10.5.11.3 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.11.1 standby 1 priority 105 standby 1 preempt
Procdure 6 Conguration du rseau de transit Configurez le rseau de transit entre deux routeurs. Vous utilisez ce rseau pour la communication de routeur routeur et pour viter le renvoi d'appel. Le rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface de routeur dj en cours d'utilisation pour les donnes ou la voix. Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP et DHCP ne sont donc pas requis. interface [type d'interface] [numro].[numro de sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau de transit] [masque rseau de transit] Exemple : routeur CE MPLS (secondaire) interface GigabitEthernet0/2.99 description Transit Net encapsulation dot1Q 99 ip address 10.5.8.2 255.255.255.252
Procdure 7 Conguration du routage EIGRP (ct LAN) Vous devez configurer un protocole de routage entre les deux routeurs. Ceci permet de garantir que le routeur HSRP actif dispose d' informations d'accessibilit compltes pour tous les sites distants WAN. tape 1 : Activez le routeur EIGRP-100. Configurez le routeur EIGRP-100 orient vers la couche d'accs. Dans cette conception, toutes les interfaces orientes LAN et la boucle doivent tre des interfaces EIGRP. Toutes les interfaces doivent rester passives, l'exception de la sous-interface du rseau de transit. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. N' incluez pas l' interface WAN (interface de liaison PE-CE MPLS) comme interface EIGRP. router eigrp 100 network [rseau] [masque inverse] passive-interface default no passive-interface [interface de transit] eigrp router-id [adresse IP de Loopback0] no auto-summary 46 Dploiement d'un WAN MPLS Srie de fvrier 2012 tape 2 : Redistribuez le routage BGP vers EIGRP-100. Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le calcul de cette mesure. router eigrp 100 default-metric [bande passante] [dlai] 255 1 1500 redistribute bgp 65511
Rfrence relative aux commandes : default-metric mtu de chargement de fiabilit du dlai de bande passante bandwidth : bande passante minimum de la route en kilobits par seconde delay : dlai de la route en diximes de microseconde Conseil l'intention du lecteur Exemple router eigrp 100 default-metric 100000 100 255 1 1500 network 10.4.0.0 0.1.255.255 redistribute bgp 65511 passive-interface default no passive-interface GigabitEthernet0/2.99 eigrp router-id 10.5.48.254 no auto-summary
Procdure 8 Conguration de la rsilience de bouclage Applicable uniquement la conception de type routeur double La gestion intrabande des routeurs de site distant est configure par le biais de l' interface de bouclage. Pour assurer l'accessibilit de l' interface de bouclage dans une conception de type routeur double, redistribuez la boucle du routeur adjacent dans le protocole de routage WAN. Si le protocole WAN est EIGRP tape 1 : Configurez une liste d'accs afin de limiter la redistribution l'adresse IP de bouclage du routeur adjacent. ip access-list standard R[numro]-LOOPBACK permit [adresse IP de bouclage du routeur adjacent] ! route-map LOOPBACK-ONLY permit 10 match ip address R[numro]-LOOPBACK tape 2 : Configurez le protocole EIGRP de sorte redistribuer l'adresse IP de bouclage du routeur adjacent. Vous devez rgler le routage souche EIGRP afin d'autoriser les routes redistribues. router eigrp [systme autonome] redistribute eigrp 100 route-map LOOPBACK-ONLY eigrp stub connected summary redistributed Si le protocole WAN est BGP tape 3 : Configurez le protocole BGP de sorte communiquer le rseau de bouclage du routeur adjacent. router bgp 65511 network 10.5.12.0 mask 255.255.255.0 network 10.5.13.0 mask 255.255.255.0 47 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Dploiement d'un WAN DMVPN Prsentation commerciale Il est essentiel pour les organisations que le WAN offre des performances et une fiabilit suffisantes afin que les utilisateurs de sites distants puissent participer de manire efficace aux activits de l'entreprise. Bien que la plupart des applications et services que les utilisateurs des sites distants utilisent soient centraliss, le WAN, par sa conception, doit proposer tous les employs, o qu' ils se trouvent, un accs commun aux ressources. Le service MPLS par le biais d'un oprateur n'est pas toujours disponible et ne constitue pas une solution de transport WAN toujours conomique pour la prise en charge de la connectivit de sites distants. Les VPN IP bass sur Internet proposent un transport facultatif que vous pouvez utiliser comme solution de secours rsiliente pour le transport du rseau MPLS principal ou peuvent tre mme de prendre en charge le transport du rseau principal d'un site distant. Une architecture rseau souple doit inclure le rseau VPN Internet comme option de transport sans pour autant accrotre de faon significative la complexit de la conception globale. Bien que les rseaux VPN IP bass sur Internet constituent une solution attrayante de connectivit WAN efficace, une organisation fait face au risque de voir ses donnes compromises lors de leur envoi par le biais d'un rseau public. La perte ou la corruption de donnes peut entraner une infraction la rglementation en vigueur et peut nuire la rputation de l'entreprise, ces cas de figure ayant tous deux un impact financier potentiel considrable pour une organisation. Le transport scuris de donnes sur des rseaux publics tels qu' Internet ncessite l'utilisation d'un cryptage appropri afin de protger les informations d'entreprise. Prsentation de la technologie Conception WAN 500 La conception WAN 500 peut prendre en charge jusqu' 500 sites distants avec une bande passante WAN combine agrge capable d'atteindre 1,0 Gbit/s. Les priphriques les plus importants la concernant sont les routeurs WAN qui sont responsables de la fiabilit des transferts IP et de la qualit de service. Cette conception utilise le routeur de services d'agrgation Cisco ASR1002 (Aggregation Services Router) configur avec un ESP5 pour le routeur concentrateur DMVPN (Dynamic Multipoint Virtual Private Network). La conception WAN 500 fait appel un seul fournisseur d'accs Internet et un routeur concentrateur DMVPN unique. Le routeur VPN DMVPN se connecte indirectement Internet par le biais d'une interface de zone dmilitarise (DMZ) de pare-feu situe dans la priphrie Internet. De plus amples informations sur la connexion Internet du site principal sont fournies dans le guide de dploiement de priphrie Internet Cisco SBA. Le routeur concentrateur VPN est connect l' interface DMZ de pare-feu, et non directement un routeur du fournisseur d'accs Internet. Figure 19 - Connexion DMVPN de la conception WAN 500 Les routeurs Cisco de la gamme ASR 1000 entrent dans la composition de la plate-forme de routage Cisco de nouvelle gnration, une plate-forme modulaire services intgrs. Tout spcialement conus pour l'agrgation WAN, ils sont suffisamment flexibles pour prendre en charge des capacits de transfert de paquets trs tendues entre 3 et 16 mpps, des performances de bande passante entre 2, 5 et 40 Gbit/s et une mise l' chelle. La gamme Cisco ASR 1000 est entirement modulaire, tant du point de vue matriel que logiciel, et les routeurs prsentent toutes les caractristiques d' un vritable produit de routage de classe oprateur destin aux rseaux d'entreprise et de fournisseur de services. Conception WAN 500 - Connexion DMVPN Couche centrale P i h i I Couche de distribution R DMVPN Priphrie Internet Routeur concentrateur DMVPN : ASR1000 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 15 Internet 48 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Conception WAN 100 La conception WAN 100 peut prendre en charge jusqu' 100 sites distants avec une bande passante WAN combine agrge capable d'atteindre 100 Mbit/s. Il ne s'agit ni plus ni moins que d'une version plus limite de la conception WAN 500. Elle fournit des possibilits de mise l' chelle rduites. Si vous prvoyez une croissance des besoins en matire de bande passante ou une augmentation du nombre de sites, utilisez la conception WAN 500. Vous viterez ainsi les interruptions inutiles provoques par la mise niveau des priphriques. Cette conception utilise le routeur de services d'agrgation Cisco ASR1001 ou le routeur services intgrs Cisco 3945E pour le routeur concentrateur DMVPN. La conception WAN 100 fait appel un seul fournisseur d'accs Internet et un routeur concentrateur DMVPN unique. Figure 20 - Connexion DMVPN de la conception WAN 100 Slection de routeurs satellite DMVPN pour les sites distants Les plates-formes de routage de site distant WAN restent non spcifies. En effet, la spcification est troitement lie la bande passante requise par un site et aux besoins ventuels de logements de modules de service. La possibilit de mettre en uvre cette solution et de slectionner le routeur parmi un grand choix disponible constitue l'un des avantages de l'approche modulaire. Au moment de slectionner les routeurs de site distant WAN, de nombreux facteurs entrent en ligne de compte. L'un d'entre eux, qui est d'ailleurs essentiel au dploiement initial, est la possibilit de traiter le volume et le type souhaits de trafic. Vous devez galement vous assurer que vous disposez de suffisamment d' interfaces et de logements de modules ainsi que de l' image logicielle Cisco IOS sous licence qui convient pour prendre en charge l'ensemble des fonctions requises par la topologie. Cisco a test quatre modles de routeur services intgrs en tant que routeurs satellite DMVPN. Les performances attendues sont indiques dans le tableau suivant. Tableau 12 - Options de routeurs pour les sites distants WAN Option 2911 2921 3925 3945 WAN Ethernet avec services 1
35 Mbit/s 50 Mbit/s 100 Mbit/s 150 Mbit/s Ports GE embarqus 3 3 3 3 Logements pour modules de service 2
1 1 2 4 Option du bloc dalimentation redondant Non Non Oui Oui Remarques : 1. Les performances signales sont celles habituellement constates lorsque le routeur achemine un trafic IMIX comportant des services lourds avec un taux d'utilisation du processeur infrieur 75 %. 2. Certains modules de services ont une largeur double. Les routeurs satellite DMVPN des sites distants WAN se connectent directement Internet par le biais d'une interface de routeur. La configuration de la scurit des routeurs des sites distants connects Internet est aborde plus en dtails plus loin dans ce guide. Le site distant DMVPN liaison unique est l' lment constitutif fondamental de tous les emplacements distants. Cette conception peut tre utilise tout en connectant directement le routeur CE la couche d'accs. Elle peut aussi prendre en charge une topologie LAN plus complexe en connectant directement le routeur CE la couche de distribution. Conception WAN 500 - Connexion DMVPN Couche centrale P i h i I Couche de distribution R DMVPN Priphrie Internet Routeur concentrateur DMVPN : ASR1000 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 15 Internet 49 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Le routage IP est simple et peut tre entirement trait de manire statique, l'aide de routes statiques au niveau du site d'agrgation WAN et de routes statiques par dfaut sur le site distant. Toutefois, vous avez tout gagner utiliser un routage dynamique pour la configuration de ce type de site. Le routage dynamique facilite en effet l'ajout ou la modification de rseaux IP au niveau du site distant puisque tout changement est immdiatement propag vers le reste du rseau. Figure 21 - Site distant DMVPN (liaison unique, routeur unique) La connexion DMVPN peut tre le principal transport WAN, mais peut galement tre la liaison secondaire pour un transport WAN MPLS. Vous pouvez ajouter la conception liaison unique DMVPN une conception WAN MPLS existante afin de fournir une rsilience supplmentaire en effectuant la connexion sur le mme routeur ou sur un autre. L'ajout d'une liaison fournit le premier niveau de haute disponibilit pour le site distant. Le routeur peut automatiquement dtecter une dfaillance survenue au niveau de la liaison principale et racheminer le trafic vers le chemin secondaire. N'oubliez pas que vous devez absolument utiliser un routage dynamique si vous disposez de plusieurs chemins. Un ajustement des protocoles de routage est ncessaire pour garantir les flux de trafic souhaits. La conception de type routeur double-liaison double amliore encore le niveau de haute disponibilit du site. Elle peut tolrer la perte du routeur principal car le routeur secondaire reroute le trafic par l'autre chemin. Figure 22 - Site distant WAN MPLS + DMVPN (options liaison double) VRF (Virtual Route Forwarding) et FVRF (Front Door Virtual Route Forwarding) VRF (Virtual Route Forwarding) est une technologie utilise dans les rseaux informatiques qui permet plusieurs instances d'une table de routage de coexister au sein du mme routeur. Les instances de routage tant indpendantes, vous pouvez utiliser des adresses IP identiques ou se chevauchant sans qu'il y ait de conflit entre celles-ci. La technologie VRF est galement souvent dfinie dans un contexte MPLS en tant que routage et transfert VPN. Vous pouvez mettre la technologie VRF en uvre sur un priphrique rseau en utilisant des tables de routage distinctes, galement appeles bases FIB (Forwarding Information Base), raison d'une par instance VRF. Un priphrique rseau peut galement tre mme de configurer diffrents routeurs virtuels, chacun disposant de sa propre base FIB inaccessible aux autres instances de routage virtuel sur le mme priphrique. La mise en uvre VRF la plus simple est VRF Lite. Dans le cadre de cette mise en uvre, chaque routeur du rseau participe l'environnement de routage virtuel sur une base homologue homologue. Les configurations VRF Lite n'ont de signification qu'au niveau local. La stratgie de routage IP utilise dans cette conception pour les sites distants WAN n'autorise pas l'accs direct Internet pour la navigation Web ou toute autre utilisation. Les htes de sites distants accdant Internet doivent le faire par le biais de la priphrie Internet du site principal. Les htes d'extrmit requirent une route par dfaut pour l'ensemble des destinations Internet. Celle-ci doit toutefois forcer le trafic transiter par les liaisons WAN principale et secondaire (tunnel DMVPN ou VPN MPLS). Cette condition est en conflit avec l'exigence plus gnrale relative au routeur satellite VPN voulant qu'une route par dfaut oriente Internet invoque le tunnel VPN. Site distant DMVPN (liaison unique, routeur unique) DMVPN I t t Internet 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 17 Site distant WAN MPLS + DMVPN (options liaison double) VPN MPLS DMVPN I t t DMVPN Internet Internet VPN MPLS 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 12 50 Dploiement d'un WAN DMVPN Srie de fvrier 2012 L'utilisation d' instances VRF sur le routeur permet de rsoudre le problme li aux routes par dfaut multiples. Un routeur peut disposer de plusieurs tables de routage spares de manire logique sur le priphrique. Cette sparation est similaire un routeur virtuel du point de vue du plan de transfert. Le VRF global correspond la table de routage classique et les instances VRF supplmentaires se voient attribuer des noms et des descripteurs de route. Certaines fonctionnalits du routeur sont compatibles avec la technologie VRF, y compris les protocoles de routage et de routage statique, le transfert par interface et la tunnellisation IPSec. Cet ensemble de fonctionnalits est utilis en conjonction avec la technologie DMVPN afin de permettre l'utilisation de routes par dfaut multiples pour les routeurs concentrateurs DMVPN et les routeurs satellite DMVPN. Cette combinaison de fonctionnalits est appele FVRF (Front Door Virtual Route Forwarding) tant donn que le VRF est orient vers Internet et que les interfaces de routeur internes et le tunnel mGRE demeurent tous dans le VRF global. Pour plus d' informations techniques sur la technologie FVRF, reportez-vous l'annexe Supplment - Fonctionnalits techniques. Figure 23 - FVRF (Front-door vREF) Dtails de la conception Le routeur concentrateur DMVPN se connecte un priphrique de commutation fiable dans la couche de distribution et la DMZ. Le routeur DMVPN utilise des connexions EtherChannel constitues de deux ensembles de ports. Cette conception offre la fois rsilience et performances de transfert supplmentaires. Pour accrotre encore davantage les performances de transfert, augmentez le nombre de liaisons physiques au sein de chaque EtherChannel. Les routeurs concentrateurs DMVPN doivent disposer d' informations de routage IP suffisantes pour fournir une accessibilit de bout en bout. La maintenance de ces informations de routage ncessite gnralement un protocole de routage et EIGRP est donc utilis cette fin. Deux processus EIGRP distincts sont utiliss, l'un pour le routage interne sur le LAN (EIGRP- 100) et l'autre pour le DMVPN (EIGRP-200). Ceci a principalement pour but de simplifier la slection de la route au niveau du site d'agrgation WAN lors de l'utilisation d'un chemin principal WAN MPLS et d'un chemin secondaire DMVPN. Cette mthode permet de garantir que les routes MPLS et DMVPN acquises apparaissent en tant que routes EIGRP externes aprs leur redistribution dans le processus EIGRP-100 utilis sur le rseau local de campus. Au niveau du site d'agrgation WAN, vous devez connecter le routeur DMVPN la couche de distribution et la DMZ-VPN qui fournit la connectivit Internet. Les routeurs concentrateurs DMVPN utilisent la technologie FVRF et ont une route par dfaut statique avec l' instance VRF INET-PUBLIC pointant vers l' interface DMZ de pare-feu. Figure 24 - Conceptions WAN 500/100 - Dtails du routage DMVPN Distribution WAN FVRF (Front Door VRF) Priphrie Internet Par dfaut INTRIEUR vrf global vrf INET-PUBLIC Distribution WAN VPN-DMZ Internet Par dfaut Routeur concentrateur DMVPN Par dfaut EXTRIEUR Par dfaut Routage par dfaut Routage par dfaut (vrf INET-PUBLIC) Internet P df t Par dfaut vrf global vrf INET-PUBLIC Routeur satellite DMVPN 2008CiscoSystems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 19 Conceptions WAN 500/100 Dtail du routage DMVPN Route vrf INET-PUBLIC Route vrf INET-PUBLIC Distribution WAN Distribution WAN Routeur concentrateur DMVPN P i h i I Routeur concentrateur DMVPN P i h i I t t Priphrie Internet Par dfaut Priphrie Internet Par dfaut EIGRP (200) EIGRP (200) 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 20 Internet DMVPN 1 Internet DMVPN 1 51 Dploiement d'un WAN DMVPN Srie de fvrier 2012 EIGRP Cisco utilise EIGRP comme protocole de routage principal car il est simple configurer, ne ncessite aucune planification importante, possde des options de rsum et de filtrage souples et peut voluer pour prendre en charge de grands rseaux. mesure que le rseau se dveloppe, le nombre de prfixes ou de routes IP dans les tables de routage augmente lui aussi. Nous vous conseillons de programmer un rsum IP sur les liaisons sur lesquelles des frontires logiques existent, par exemple sur les liaisons de la couche de distribution avec le rseau tendu ou avec le cur du rseau. Par le biais de ce rsum IP, vous rduisez les besoins en bande passante, le nombre de processeurs et la quantit de mmoire ncessaires au transport de grandes tables de routage, de mme que vous limitez les temps de convergence associs une dfaillance de liaison. Dans cette conception, EIGRP processus 100 est le processus EIGRP principal. Il est dsign sous la forme EIGRP-100. Utilisez EIGRP-100 pour vous connecter la couche de distribution du LAN du site principal au niveau d'un site d'agrgation WAN. Il est galement utilis au niveau des sites distants WAN avec routeurs WAN doubles ou avec topologies LAN couche de distribution. Utilisez EIGRP-200 pour les tunnels DMVPN. Vous devez configurer EIGRP-200 pour le routage souche sur tous les routeurs de sites distants afin d'amliorer la stabilit du rseau et rduire l'utilisation des ressources. Cryptage L'objectif principal du cryptage est d'assurer la confidentialit, l' intgrit et l'authenticit des donnes en cryptant les paquets IP au fur et mesure que les donnes traversent un rseau. Les charges utiles cryptes sont alors encapsules avec un nouvel en-tte (ou plusieurs) et transmises travers le rseau. Les en-ttes supplmentaires ajoutent une certaine surcharge la longueur globale des paquets. Le tableau suivant indique la surcharge de paquet associe au cryptage en fonction des en-ttes supplmentaires requis pour les diverses combinaisons IPsec et GRE. Tableau 13 - Surcharge associe IPsec et GRE Encapsulation Surcharge GRE seulement 24 octets IPsec (mode Transport) 36 octets IPsec (mode Tunnel) 52 octets IPsec (mode Transport) + GRE 60 octets IPsec (mode Tunnel) + GRE 76 octets Il existe un paramtre MTU (Maximum Transmission Unit, taille maximum de l'unit de transfert) pour chaque liaison d'un rseau IP et cette valeur MTU est gnralement de 1 500 octets. Les paquets IP suprieurs 1 500 octets doivent tre fragments lors de leur transfert par le biais de ces liaisons. Cette fragmentation n'est pas souhaitable et peut avoir un impact ngatif sur les performances rseau. Pour viter ceci, la taille de paquet d'origine et la surcharge combines doivent tre gales ou infrieures 1 500 octets, ce qui signifie que l'expditeur doit rduire la taille du paquet d'origine. Afin de prendre en compte toute autre surcharge potentielle, Cisco vous recommande de configurer les interfaces de tunnel avec une valeur MTU de 1 400 octets. Il existe des mthodes dynamiques permettant aux clients du rseau de dcouvrir la valeur MTU du chemin, ce qui permet aux clients de rduire la taille des paquets qu' ils transmettent. Ces mthodes sont toutefois infructueuses dans de nombreux cas, gnralement parce que les priphriques de scurit filtrent le trafic de dcouverte ncessaire. Cette incapacit dcouvrir la valeur MTU du chemin met en vidence la ncessit d'utiliser une mthode mme de communiquer avec fiabilit la taille de paquet adquate aux clients du rseau. Vous devez, pour ce faire, mettre en uvre la commande ip tcp adjust mss [taille] sur les routeurs WAN, ce qui influence la valeur MSS (Maximum Segment Size, taille de segment maximum) TCP signale par les htes d'extrmit. La valeur MSS dfinit le volume de donnes maximum qu'un hte est prt accepter dans un seul datagramme TCP/IP. Cette valeur est envoye en tant qu'option d'en-tte TCP dans les segments TCP SYN uniquement. Chacune des deux extrmits d'une connexion TCP signale sa valeur MSS l'autre. L' hte expditeur doit limiter la taille des donnes d'un segment TCP unique une valeur infrieure ou gale la valeur MSS signale par l' hte destinataire. Les en-ttes IP et TCP combins reprsentant une surcharge de 40 octets, la valeur MSS typique signale par les clients du rseau sera donc de 1 460 octets. Cette conception inclut des tunnels crypts avec une valeur MTU de 1 400 octets. Les htes d'extrmit doivent donc configurer la valeur MSS sur 1 360 octets afin de minimiser tout impact de fragmentation. Dans ce cas, vous devez donc mettre en uvre la commande ip tcp adjust mss 1360 sur toutes les interfaces de routeur orientes WAN. DMVPN Cette solution fait appel Internet pour le transport WAN. Dans un souci de scurit et de confidentialit des donnes, tout trafic de site site traversant Internet doit tre crypt. Bien que plusieurs technologies offrent une fonctionnalit de cryptage, la mthode DMVPN offre la meilleure combinaison en termes de performances, d' volutivit, de prise en charge des applications et de facilit de dploiement. La plupart des cas de figure prsents dans ce guide de conception utilisent Internet/DMVPN en tant que transport WAN secondaire ncessitant une conception DMVPN de type Cloud unique, concentrateur unique. Les routeurs 52 Dploiement d'un WAN DMVPN Srie de fvrier 2012 DMVPN utilisent des interfaces de tunnel qui prennent en charge le trafic unicast et multicast IP ainsi que le trafic de diffusion, y compris l'utilisation de protocoles de routage dynamique. Une fois le tunnel satellite concentrateur initial actif, vous pouvez crer des tunnels satellite satellite dynamiques lorsque requis par les flux de trafic IP de site site. Les informations requises par un satellite pour configurer des tunnels satellite satellite dynamiques et rsoudre correctement d'autres satellites sont fournies par le biais du protocole NHRP (Next Hop Resolution Protocol). Les tunnels satellite satellite permettent un routage optimal du trafic d'un site un autre sans transfert indirect par le biais du concentrateur. Les tunnels satellite satellite inactifs expirent aprs une priode d' inactivit dfinie. L' insertion d'un pare-feu entre le routeur concentrateur DMVPN et Internet est courante. Dans de nombreux cas, ce pare-feu peut fournir la traduction d'adresses de rseau (NAT) depuis une adresse IP RFC-1918 interne (telle que 10.4.128. 33) vers une adresse IP routable sur Internet. La solution DMVPN fonctionne bien avec la NAT mais requiert l'utilisation du mode de transport IPsec pour la prise en charge d'un concentrateur DMVPN situ derrire la NAT statique. DMVPN ncessite d'utiliser des intervalles de conservation de connexion active ISAKMP (Internet Security Association and Key Management Protocol) pour la dtection DPD (Dead Peer Detection), ce qui est essentiel pour faciliter une convergence rapide et pour que l' inscription de satellite fonctionne correctement en cas de rechargement d'un concentrateur DMVPN. Cette conception permet un satellite de dtecter qu'un homologue de cryptage a fait l'objet d'une dfaillance et que la session ISAKMP avec cet homologue est prime, ce qui permet alors d'en crer une nouvelle. Sans la dtection DPD, l'association de scurit IPsec doit expirer (le dlai par dfaut est de 60 minutes) ; lorsque le routeur ne peut pas rengocier une nouvelle association de scurit, une nouvelle session ISAKMP est alors initialise. Le temps d'attente maximum est d'environ 60 minutes. L'un des principaux avantages de la solution DMVPN est que les routeurs satellite peuvent utiliser des adresses affectes de manire dynamique, souvent l'aide de DHCP depuis un fournisseur d'accs Internet. Les routeurs satellite peuvent utiliser une route Internet par dfaut pour l'accessibilit aux routeurs concentrateurs ainsi que d'autres adresses de satellites. Figure 25 - DMVPN de type Cloud unique Le routeur concentrateur DMVPN dispose d'une adresse IP statique affecte son interface oriente public. Cette configuration est essentielle au bon fonctionnement puisque cette adresse IP est intgre dans la configuration de chaque routeur satellite. DMVPN de type Cloud unique Tte de rseau DMVPN Concentrateur Cloud DMVPN 1 Concentrateur cloud 1 Tunnel Spoke-Spoke Internet Satellite DMVPN 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 21 Satellite DMVPN Satellite DMVPN 53 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Le dploiement en dtail Les procdures dcrites dans cette section sont pour nous l'occasion de vous fournir des exemples de paramtrage. Les paramtres et les valeurs que vous utilisez proviennent de votre configuration rseau actuelle. Tableau 14 - Services rseau communs utiliss dans les exemples de dploiement Service Adresse Nom d' hte : VPN-ASR1002-1 Adresse IP de bouclage (routeur) : 10.4. 32. 243/32 Adresse IP Port Channel (routeur) : 10.4. 32.18/30
Configuration du routeur concentrateur DMVPN 1. Configuration du commutateur de la couche de distribution 2. Configuration de la plate-forme d'agrgation WAN 3. Configuration de la connectivit du LAN 4. Configuration de VRF Lite 5. Connexion la DMZ d' Internet 6. Configuration d' ISAKMP et d' IPsec 7. Configuration du tunnel mGRE 8. Configuration du routage EIGRP Procdure
Procdure 1 Conguration du commutateur de la couche de distribution
La procdure suppose que le commutateur de distribution a dj t configur selon les conseils contenus dans le guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless Networks. Seules les procdures ncessaires la prise en charge de l' intgration du routeur d'agrgation WAN dans le dploiement sont incluses dans ce guide. Conseil l'intention du lecteur Le commutateur LAN de la couche de distribution correspond au chemin menant au campus principal et au data center de l'entreprise. Une interface Port Channel de couche 3 se connecte au commutateur de la couche de distribution et au routeur d'agrgation WAN. C'est cette interface que s'adresse le protocole de routage interne.
La meilleure pratique consiste, si possible, utiliser la mme numrotation de canal aux deux extrmits de la liaison. Conseil l'intention du lecteur tape 1 : Configurez l' interface Port Channel de couche 3 et affectez l'adresse IP. interface Port Channel3 description VPN-ASR1002-1 no switchport ip address 10.4.32.17 255.255.255.252 ip pim sparse-mode logging event link-status carrier-delay msec 0 no shutdown 54 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 2 : Configurez les interfaces des membres EtherChannel. Configurez les interfaces physiques et reliez-les aux interfaces Port Channel logiques l'aide de la commande channel-group. Le nombre d' interfaces Port Channel et de commandes channel-group doit correspondre. De mme, utilisez la macro egress QoS dfinie dans la procdure de configuration de la plate-forme pour dfinir de manire correcte les priorits du trafic. interface GigabitEthernet1/0/3 description VPN-ASR1002-1 Gig0/0/0 ! interface GigabitEthernet2/0/3 description VPN-ASR1002-1 Gig0/0/1 ! interface range GigabitEthernet1/0/3, GigabitEthernet2/0/3 no switchport macro apply EgressQoS carrier-delay msec 0 channel-protocol lacp channel-group 3 mode active logging event link-status logging event trunk-status logging event bundle-status no shutdown tape 3 : Configurez les interfaces connectes la partie centrale du LAN pour rsumer la plage du rseau WAN. interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1 ip summary-address eigrp 100 10.4.32.0 255.255.248.0 ip summary-address eigrp 100 10.5.0.0 255.255.0.0 tape 4 : Autorisez le protocole de routage former des relations de voisinage sur l' interface Port Channel. router eigrp 100 no passive-interface Port Channel3
Procdure 2 Conguration de la plate-forme d'agrgation WAN Dans cette conception, il existe des fonctionnalits et des services communs l'ensemble des routeurs d'agrgation WAN. Il s'agit de paramtres systme qui simplifient et scurisent la gestion de la solution. tape 1 : Configurez le nom d' hte du priphrique. hostname VPN-ASR1002-1 tape 2 : Configurez les protocoles de gestion des priphriques. HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris) sont des protocoles scuriss utiliss en remplacement des protocoles HTTP et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise) et TLS (Transport Layer Security, scurit de la couche transport) pour l'authentification du priphrique et le cryptage des donnes. Activez la gestion scurise du priphrique LAN au moyen des protocoles SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs. cdp run ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Activez le protocole SNMP (Simple Network Management Protocol, protocole simple de gestion de rseau) pour permettre la gestion des priphriques de l' infrastructure rseau par un systme d'administration rseau (NMS). SNMPv2c est configur pour la chane de communaut en lecture seule et en lecture-criture. snmp-server community cisco RO snmp-server community cisco123 RW tape 3 : Configurez l'authentification de l'utilisateur scurise. Activez le protocole AAA (authentication, authorization and accounting, authentification, autorisation et traabilit) pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques d' infrastructure rseau (SSH et HTTPS). 55 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Dans cette architecture, le serveur AAA est Cisco ACS. Pour plus d' information sur la configuration ACS, consultez le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention du lecteur TACACS+ est le principal protocole utilis pour authentifier les connexions de gestion au serveur AAA sur les priphriques d' infrastructure. Une base de donnes utilisateur AAA locale est galement dfinie sur chaque priphrique de l' infrastructure rseau de manire fournir une source d'authentification de secours au cas o le serveur TACACS+ centralis ne serait pas disponible. enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key SecretKey ! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local aaa authorization console ip http authentication aaa tape 4 : Configurez une horloge synchronise. Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient habituellement d'une source faisant autorit, par exemple une horloge radio- pilote ou une horloge atomique rattache un serveur temporel. Le protocole NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation. Vous devez programmer les priphriques rseau pour qu' ils se synchronisent avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise habituellement une heure plus prcise fournie par une source externe. Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des messages de console, des journaux et des rsultats de dbogage afin de pouvoir recouper les vnements du rseau. ntp server 10.4.48.17 ! clock timezone PST -8 clock summer-time PDT recurring ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime Lorsque la journalisation synchrone des rsultats de dbogage ou des messages non sollicits est active, les messages de journalisation de la console s'affichent sur cette dernire aprs l'affichage ou l' impression des rsultats de l' interface de ligne de commande (CLI) interactive. Cette commande vous permet galement de poursuivre la saisie sur la console du priphrique lorsque le dbogage est activ. line con 0 logging synchronous tape 5 : Configurez une interface de gestion intrabande. L' interface de bouclage est une interface logique. Elle est accessible tant que le priphrique est sous tension et qu'une interface IP est accessible sur le rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de manire idale la gestion intrabande du commutateur. Le processus et les fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour garantir la rsilience du processus. L'adresse de bouclage est habituellement une adresse hte possdant un masque d'adresse 32 bits. Affectez au reste du rseau l'adresse de bouclage issue du bloc d'adresses IP rsum par le commutateur de la couche de distribution. interface Loopback 0 ip address 10.4.32.243 255.255.255.255 ip pim sparse-mode La commande ip pim sparse-mode est explique plus loin dans cette procdure. 56 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une rsilience optimale : snmp-server trap-source Loopback0 ip ssh source-interface Loopback0 ip pim register-source Loopback0 ip tacacs source-interface Loopback0 ntp source Loopback0 tape 6 : Configurez le routage IP unicast Configurez le protocole EIGRP face la couche de distribution ou la couche centrale du LAN. Dans cette conception, l' interface Port Channel et la boucle doivent tre des interfaces EIGRP. La boucle doit rester quant elle une interface passive. La plage rseau doit inclure les deux adresses IP de l' interface, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. router eigrp 100 network 10.4.0.0 0.1.255.255 no auto-summary passive-interface default eigrp router-id 10.4.32.243 tape 7 : Configurez le routage IP multicast. Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Dans cette conception, qui s'appuie sur une opration multicast de type mode sparse, la fonction Auto RP est utilise. Elle aide de manire simple mais cependant volutive mettre en place un environnement RP hautement rsilient. Activez le routage multicast IP sur les plates-formes en mode de configuration globale. ip multicast-routing distributed Tous les commutateurs et routeurs de couche 3 doivent tre configurs de sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez la commande ip pim autorp listener pour autoriser la reconnaissance dans les liens du mode sparse. Cette configuration permet de faire voluer l'environnement en multicast IP et de le contrler. Elle peut changer en fonction des besoins et de la conception du rseau. ip pim autorp listener Toutes les interfaces de couche 3 du rseau doivent tre actives pour l'opration de multicast en mode sparse. ip pim sparse-mode
Procdure 3 Conguration de la connectivit du LAN Les liaisons vers des couches de distribution adjacentes doivent tre des liaisons ou des EtherChannels de couche 3. tape 1 : Configurez l' interface de couche 3. interface Port Channel3 ip address 10.4.32.18 255.255.255.252 ip pim sparse-mode no shutdown tape 2 : Configurez les interfaces des membres EtherChannel. Configurez les interfaces physiques et reliez-les aux interfaces Port Channel logiques l'aide de la commande channel-group. Le nombre d' interfaces Port Channel et de commandes channel-group doit correspondre. interface GigabitEthernet0/0/0 description WAN-D3750X Gig1/0/3 ! interface GigabitEthernet0/0/1 description WAN-D3750X Gig2/0/3 ! interface range GigabitEthernet0/0/0, GigabitEthernet0/0/1 no ip address channel-group 3 mode active cdp enable no shutdown 57 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 3 : Configurez l interface EIGRP. Permettez EIGRP de former des liens de voisinage sur l'ensemble de l' interface afin d' tablir des appairages adjacents et des tables de routage d' change. router eigrp 100 no passive-interface Port Channel3
Procdure 4 Conguration de VRF Lite Un VRF Internet est cr pour prendre en charge FVRF pour DMVPN. Le nom VRF est arbitraire mais s'avre utile pour choisir un nom de description pour le VRF. Un descripteur de routage (RD) associ doit galement tre configur pour que le VRF soit fonctionnel. La configuration du RD cre galement le routage et les tables de renvoi et associe le RD l' instance VRF. Cette conception utilise VRF Lite afin que la valeur du RD puisse tre choisie de faon arbitraire. Il s'agit d'une meilleure pratique qui consiste utiliser la mme combinaison VRF/RD sur plusieurs priphriques lors de l'utilisation des VRF de faon identique. Toutefois, cette convention n'est pas strictement obligatoire. ip vrf INET-PUBLIC rd 65512:1
Rfrence relative aux commandes : Un RD est soit li l'ASN (c'est--dire, compos d'un ASN et d'un numro arbitraire), soit li l'adresse IP (c'est--dire, compos d'une adresse IP et d'un numro arbitraire). Vous pouvez saisir un RD dans chacun de ces formats : Numro de systme autonome 16 bits:votre numro 32 bits Par exemple, saisissez 65512:1. Adresse IP 32 bits:votre numro 16 bits Par exemple, 192.168 122.15:1. Conseil l'intention du lecteur
Procdure 5 Connexion la DMZ d'Internet Le concentrateur DMVPN requiert une connexion Internet, et dans cette conception, la connexion du concentrateur DMVPN s'effectue via un appareil de scurit adaptable Cisco ASA5500 utilisant une interface DMZ spcifiquement cre et configure pour un routeur avec terminaison VPN. tape 1 : Activez l' interface, slectionnez le VRF et attribuez l'adresse IP. L'adresse IP que vous utilisez pour l' interface Internet du routeur concentrateur DMVPN doit tre une adresse routable sur Internet. Il existe deux mthodes possibles pour excuter cette tche : Attribuer une adresse IP routable directement au routeur. Attribuer une adresse RFC-1918 non routable directement au routeur et utiliser une NAT statique sur le Cisco ASA5500 pour traduire l'adresse IP du routeur en adresse IP routable. Cette conception suppose que le Cisco ASA5500 est configur pour les NAT statiques pour le routeur concentrateur DMVPN. La conception DMVPN utilise FVRF. Par consquent, cette interface doit tre place dans le VRF configur la procdure prcdente. interface GigabitEthernet0/0/3 ip vrf forwarding INET-PUBLIC ip address 192.168.18.10 255.255.255.0 no shutdown tape 2 : Configurez le routage par dfaut spcifique au VRF. Le VRF cr pour FVRF doit possder son propre routage par dfaut sur Internet. Ce routage par dfaut permet d'accder l'adresse IP de l' interface DMZ ASA5500. ip route vrf INET-PUBLIC 0.0.0.0 0.0.0.0 192.168.18.1 58 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Figure 26 - Vues physique et logique de la connexion la DMZ
Procdure 6 Conguration d'ISAKMP et d'IPsec tape 1 : Configurez le porte-cl cryptographique. Le porte-cl cryptographique dfinit une cl prpartage (Pre-Shared Key ou PSK), ou un mot de passe, valide pour les sources IP accessibles dans un VRF spcifique. Cette cl est une cl partage avec caractre de substitution si elle s'applique n' importe quelle source IP. La configuration d'une cl avec caractre de substitution s'effectue l'aide de la combinaison rseau/ masque 0.0.0.0 0.0.0.0. crypto keyring DMVPN-KEYRING vrf INET-PUBLIC pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 tape 2 : Configurez la stratgie de scurit ISAKMP. La stratgie de scurit ISAKMP de DMVPN utilise les lments suivants : Advanced Encryption Standard (AES) avec cl 256 bits ; Secure Hash Standard (SHA) ; authentification par cl prpartage (PSK) ; Diffie-Hellman group: 2. crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share group 2 tape 3 : Crez le profil ISAKMP. Le profil ISAKMP cre une association entre une adresse d' identit, un VRF et un porte-cl cryptographique. L'adresse de substitution d'un VRF est dsigne par 0.0.0.0. crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC keyring DMVPN-KEYRING match identity address 0.0.0.0 INET-PUBLIC tape 4 : Dfinissez l'ensemble de transformation IPsec. Un ensemble de transformation est une combinaison acceptable de protocoles de scurit, d'algorithmes et d'autres paramtres pouvant tre appliqus au trafic protg par IPsec. Les homologues ont convenu d'utiliser un ensemble de transformation spcifique pour protger un flux de donnes particulier. L'ensemble de transformation IPsec de DMVPN utilise les lments suivants : ESP avec l'algorithme de cryptage AES 256 bits ; ESP avec l'algorithme d'authentification SHA (variante HMAC). Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT, la transformation IPsec doit tre configure pour le mode de transport. crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp- sha-hmac mode transport tape 5 : Crez le profil IPSec. Le profil IPsec cre une association entre un profil ISAKMP et un ensemble de transformation IPsec. crypto ipsec profile DMVPN-PROFILE set transform-set AES256/SHA/TRANSPORT set isakmp-profile FVRF-ISAKMP-INET-PUBLIC Caractristiques physiques Topologie Routeur concentrateur Routeur concentrateur concentrateur DMVPN gig0/0/3 (.10) concentrateur DMVPN Priphrie Internet Priphrie Internet Commutateur DMZ 192.168.18.0/24 (.1) dmz-vpn vrf : INET-PUBLIC VLAN : 1118 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 22 Internet Internet 59 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 7 Conguration du tunnel mGRE tape 1 : Configurez les paramtres de l' interface de base. La cration des interfaces de tunnel s'effectue en mme temps que leur configuration. Le nombre de tunnels est arbitraire, mais il est prfrable de commencer la numrotation des tunnels 10 minimum, car les autres fonctionnalits dployes dans cette conception peuvent galement ncessiter des tunnels et slectionner des numros infrieurs par dfaut. Le paramtre de la bande passante doit tre configur pour correspondre la bande passante Internet de l'oprateur principal ou secondaire correspondant. Configurez la valeur IP MTU sur 1400 et ip tcp adjust-mss sur 1360. Vous constaterez un cart de 40 octets, qui correspond la longueur d'en-tte IP et TCP combine. interface Tunnel10 bandwidth 10000 ip address 10.4.34.1 255.255.254.0 no ip redirects ip mtu 1400 ip tcp adjust-mss 1360 tape 2 : Configurez le tunnel. DMVPN utilise les tunnels multipoint GRE (mGRE). Ce type de tunnel requiert uniquement une interface source. L' interface source correspond l' interface connecte Internet. Configurez la commande tunnel vrf sur le VRF dfini prcdemment pour FVRF. L'activation du cryptage sur cette interface requiert l'application du profil IPsec configur la prcdente procdure. interface Tunnel10 tunnel source GigabitEthernet0/0/3 tunnel mode gre multipoint tunnel vrf INET-PUBLIC tunnel protection ipsec profile DMVPN-PROFILE tape 3 : Configurez le protocole NHRP. Le routeur concentrateur DMVPN joue le rle du serveur NHRP pour tous les satellites. Le protocole NHRP est utilis par les routeurs distants pour dterminer les destinations du tunnel pour les homologues associs au tunnel mGRE. Le protocole NHRP ncessite que tous les priphriques d'un Cloud DMVPN utilisent le mme ID rseau et la mme cl d'authentification. Le temps d'attente de la mmoire cache du protocole NHRP doit tre configur sur 600 secondes. L' EIGRP (configur dans la procdure suivante) se base sur un transport en multicast et requiert que le protocole NHRP ajoute automatiquement des routeurs aux mappages NHRP en multicast. La commande ip nhrp redirect permet au concentrateur DMVPN d' informer les routeurs satellite qu'un chemin vers un rseau de destination plus adapt existe et peut s'avrer requis pour les communications directes de satellite satellite DMVPN. interface Tunnel10 ip nhrp authentication cisco123 ip nhrp map multicast dynamic ip nhrp network-id 101 ip nhrp holdtime 600 ip nhrp redirect tape 4 : Activez le mode multiaccs sans diffusion (NBMA, non-broadcast multiple access) PIM pour le tunnel DMVPN. Les rseaux DMVPN de satellite satellite constituent un dfi unique car les satellites ne peuvent pas changer directement d' informations les uns avec les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette incapacit changer directement des informations peut galement entraner des problmes lors de l'excution d'un multicast IP. Pour rsoudre ce problme, il est ncessaire d'appliquer une mthode o le suivi des messages d' inscription de chaque voisin PIM distant s'effectue sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM distant comme s' il tait connect au routeur par le biais d'une liaison point point.
N'activez pas le PIM sur l' interface DMZ Internet. En effet, vous ne devez pas demander de trafic multicast partir de cette interface. Conseil l'intention des techniciens interface Tunnel10 ip pim sparse-mode ip pim nbma-mode 60 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 5 : Configurez le protocole EIGRP. La configuration du protocole EIGRP s'effectue en suivant la procdure 8 suivante, mais certaines caractristiques spcifiques de l'interface du tunnel mGRE ncessitent d' tre configures au pralable. Les rseaux DMVPN de satellite satellite constituent un dfi unique car les satellites ne peuvent pas changer directement d' informations les uns avec les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette restriction exige que le routeur concentrateur DMVPN indique les routages provenant des autres satellites du mme rseau. L' indication de ces routages pourrait normalement tre vite ave Split Horizon et remplace par la commande no ip split-horizon eigrp. L' intervalle d'accueil du protocole EIGRP est augment de 20 secondes, et son temps d'attente, de 60 secondes pour accueillir jusqu' 500 sites distants sur un Cloud DMVPN unique. interface Tunnel10 ip hello-interval eigrp 200 20 ip hold-time eigrp 200 60 no ip split-horizon eigrp 200
Procdure 8 Conguration du routage EIGRP Vous devez utiliser deux processus EIGRP sur les routeurs concentrateurs DMVPN. La principale raison de ce processus supplmentaire est de s'assurer que les routes acquises des WAN distants apparaissent comme des routes externes EIGRP sur le commutateur de distribution WAN. Si vous n'avez utilis qu'un seul processus, les routes des sites distants apparaissent sous forme de routes internes EIGRP sur le commutateur de distribution WAN qui seraient prfrables aux routes MPLS et DMVPN acquises. tape 1 : Activez un processus EIGRP-200 supplmentaire pour DMVPN. Configurez l' EIGRP-200 pour l' interface mGRE DMVPN. Les routes issues de l'autre processus EIGRP sont redistribues. Le protocole de routage tant identique, aucune mesure par dfaut ne s'avre requise. L' interface du tunnel est l'unique interface EIGRP et vous devrez lister explicitement l' tendue de son rseau. router eigrp 200 network 10.4.34.0 0.0.1.255 passive-interface default no passive-interface Tunnel10 eigrp router-id 10.4.32.243 no auto-summary tape 2 : Marquez et redistribuez les routes. Cette conception utilise la redistribution mutuelle des routes. Les routes DMVPN issues du processus EIGRP-200 sont redistribues dans EIGRP-100 et les autres routes acquises issues du processus EIGRP-100 sont redistribues dans EIGRP-200. Le protocole de routage tant identique, aucune mesure par dfaut ne s'avre requise. L'utilisation de cette configuration requiert le contrle prcis du partage des informations de routage entre les diffrents protocoles de routage. Un battement de route risque de se produire sinon, savoir que certaines routes sont installes puis retires des tables de routage des priphriques de manire rpte. Un contrle adquat des routes garantit la stabilit de la table de routage. Une liste de distribution entrante est utilise sur les routeurs CE MPLS d'agrgation WAN pour restreindre les routes qui seront acceptes pour l' installation dans la table de routage. Ces routeurs sont configurs pour n'accepter que les routes qui ne proviennent pas des sources WAN MPLS et DMVPN. Pour accomplir cette tche, les routes WAN acquises du DMVPN doivent tre explicitement marques par leur routeur concentrateur DMVPN au cours du processus de redistribution des routes. Les marquages de routes spcifiques utiliss sont indiqus ci-dessous. Tableau 15 - Informations sur les marquages des routes du routeur concentrateur DMVPN Marquage Origine de la route Mthode de marquage Action 65401 MPLS A implicite accepter 65402 MPLS B implicite accepter 300 WAN de couche 2 explicite accepter 65512 Routeurs concentrateurs DMVPN explicite marquage Cet exemple inclut toutes les origines de routes WAN de la conception de rfrence. Selon la conception de votre rseau, il est possible que l'utilisation de marquages supplmentaires s'avre ncessaire. router eigrp 100 redistribute eigrp 200 route-map SET-ROUTE-TAG-DMVPN ! router eigrp 200 redistribute eigrp 100 ! route-map SET-ROUTE-TAG-DMVPN permit 10 match interface Tunnel10 set tag 65512 61 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Configuration du commutateur pare-feu et DMZ 1. Configuration du commutateur DMZ 2. Configuration de l interface de la zone dmilitarise 3. Configuration de la traduction d'adresses de rseau 4. Configuration de la stratgie de scurit Procdure
Procdure 1 Conguration du commutateur DMZ
La procdure suppose que le commutateur a dj t configur selon les conseils contenus dans le guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless Networks. Seules les procdures ncessaires la prise en charge de l' intgration du pare-feu dans le dploiement sont incluses dans ce guide. Conseil l'intention du lecteur tape 1 : Configurez le commutateur DMZ pour qu' il se situe la racine de Spanning Tree pour le VLAN contenant le routeur d'agrgation DMVPN. vlan 1118 spanning-tree vlan 1118 root primary tape 2 : Configurez les interfaces connectes aux appareils sous forme de liaison. interface GigabitEthernet1/0/24 description IE-ASA5540a Gig0/1 ! interface GigabitEthernet1/0/24 description IE-ASA5540b Gig0/1 ! interface range GigabitEthernet1/0/24, GigabitEthernet2/0/24 switchport trunk encapsulation dot1q switchport trunk allowed vlan add 1118 switchport mode trunk macro apply EgressQoS logging event link-status logging event trunk-status no shutdown tape 3 : Configurez les interfaces connectes au routeur d'agrgation DMVPN. interface GigabitEthernet1/0/7 description VPN-ASR1002-1 switchport access vlan 1118 switchport host macro apply EgressQoS logging event link-status no shutdown
Procdure 2 Conguration de linterface de la zone dmilitarise La zone dmilitarise (DMZ) du pare-feu dsigne une partie du rseau o le trafic depuis et vers les autres parties du rseau sont gnralement rigoureusement restreintes. Les entreprises placent les services rseau dans une DMZ afin de les prsenter sur Internet. Ces serveurs ne sont gnralement pas autoriss tablir des connexions vers le rseau interne , except dans des circonstances particulires. Le rseau DMZ est connect aux appareils sur l' interface GigabitEthernet de ces derniers par le biais d'une ligne VLAN pour offrir la plus grande flexibilit possible si de nouveaux VLAN ncessitent d' tre ajouts en vue de connecter d'autres zones dmilitarises. Cette liaison connecte les appareils une pile de commutateurs d'accs 3750x pour garantir la rsilience. Les interfaces VLAN DMZ de Cisco ASA se voient chacune attribuer une adresse IP qui servira de passerelle par dfaut pour chacun des sous-rseaux VLAN. Le commutateur DMZ offre uniquement une fonctionnalit de commutation de couche 2, les interfaces VLAN du commutateur DMZ ne possdent pas d'adresse IP, except pour une interface VLAN dote d'une adresse IP et ddie la gestion du commutateur. 62 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Figure 27 - Topologie et services de VLAN DMZ
Vous obtenez une plus grande souplesse en configurant la connectivit DMZ en tant que ligne VLAN. Conseil l'intention des techniciens tape 1 : Dans Configuration > Device Setup (Configuration de priphrique) > Interfaces, cliquez sur l' interface connecte au commutateur DMZ. (Exemple : GigabitEthernet0/1) tape 2 : Cliquez sur Edit (Modifier). tape 3 : Slectionnez Enable Interface (Activer l' interface), puis cliquez sur OK. tape 4 : Dans le volet Interface, cliquez sur Add (Ajouter) > Interface. tape 5 : Dans la liste Hardware Port (Port du matriel), choisissez l' interface configure l' tape 1. (Exemple : GigabitEthernet0/1) tape 6 : Dans la case VLAN ID (ID VLAN), saisissez le numro VLAN du VLAN DMZ. (Exemple : 1118) tape 7 : Dans la case Subinterface ID (ID de la sous-interface), saisissez le numro VLAN du VLAN DMZ. (Exemple : 1118) tape 8 : Entrez un nom pour l' interface dans Interface Name (Nom de l' interface). (Exemple : dmz-dmvpn) tape 9 : Dans la case Security Level (Niveau de scurit), saisissez la valeur 75. tape 10 : Saisissez l'adresse IP de l' interface dans la case IP Address (Adresse IP). (Exemple : 192.168.18.1) tape 11 : Saisissez le masque de sous-rseau de l'interface dans la case Subnet Mask (Masque de sous-rseau), puis cliquez sur OK. (Exemple : 255.255.255.0) Internet Cisco ESA Commutateur Liaison Serveurs Internet DMZ Liaison VLAN Cisco ASA ACE DM-VPN WC 5508 Web Invit Informations VLAN DMZ Invit VPN E-mail 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 31 63 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 12 : Cliquez sur Apply (Appliquer). tape 13 : Dans Configuration > Device Management (Gestion des priphriques) > High Availability (Haute disponibilit) > cliquez sur Failover (Basculement). tape 14 : Dans l'onglet Interfaces, pour l' interface que vous avez cre l' tape 4, dans la colonne Standby IP address (Adresse IP de veille), saisissez l'adresse IP de l'unit de veille. (Exemple : 192.168.18. 2) tape 15 : Slectionnez Monitored (Contrl). tape 16 : Cliquez sur Apply (Appliquer). 64 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 3 Conguration de la traduction d'adresses de rseau Le rseau DMZ utilise un adressage de rseau priv (RFC 1918) qui n'est pas routable par Internet. Par consquent, le pare-feu doit traduire l'adresse DMZ du routeur d'agrgation DMVPN en une adresse publique externe. L'adresse DMZ du mappage d'adresses IP indique titre d'exemple est illustre dans le tableau suivant. Adresse DMZ du routeur d'agrgation DMVPN Adresse publique du routeur d'agrgation DMVPN (routable en externe aprs la traduction d'adresses de rseau ou NAT) 192.168.18.10 172.16.130.1 (ISP-A) tape 1 : Dans Configuration > Firewall (Pare-feu) > Objects (Objets) >, cliquez sur Network Objects/Groups (Objets/groupes de rseau). Tout d'abord, ajoutez un objet de rseau pour l'adresse publique du routeur d'agrgation DMVPN sur la connexion Internet principale. tape 2 : Cliquez sur Add (Ajouter) > Network Object (Objet de rseau). tape 3 : Dans la bote de dialogue Add Network Object (Ajouter un objet de rseau), dans la case Name (Nom), saisissez une description pour l'adresse IP publique du routeur d'agrgation DMVPN. (Exemple : outside-dmvpn-ISPa) tape 4 : Dans la liste Type, slectionnez Host (Hte). tape 5 : Dans la zone IP Address (Adresse IP), saisissez l'adresse IP publique du routeur d'agrgation DMVPN, puis cliquez sur OK. (Exemple : 172.16.130.1) tape 6 : Cliquez sur Apply (Appliquer). Vous devez ensuite ajouter un objet de rseau pour l'adresse DMZ prive du routeur d'agrgation DMVPN. tape 7 : Cliquez sur Add (Ajouter) > Network Object (Objet de rseau). tape 8 : Dans la bote de dialogue Add Network Object (Ajouter un objet de rseau), dans la case Name (Nom), saisissez une description pour l'adresse IP prive du routeur d'agrgation DMVPN. (Exemple : dmz-dmvpn-1) tape 9 : Dans la liste Type, slectionnez Host (Hte). tape 10 : Dans la zone IP Address (Adresse IP), saisissez l'adresse IP DMZ prive du routeur. (Exemple : 192.168.18.10) tape 11 : Cliquez sur les deux flches descendantes. Le volet NAT se dveloppe. tape 12 : Slectionnez Add Automatic Address Translation Rules (Ajouter des rgles de traduction d'adresses automatique). 65 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 13 : Dans la liste Translated Addr (Adr. traduite), choisissez l'objet de rseau cr dans Step 2. tape 14 : Cliquez sur Advanced (Avanc). tape 15 : Dans la liste Destination Interface (Interface de destination), choisissez le nom d' interface de la connexion Internet principale, puis cliquez sur OK. (Exemple : outside-16) tape 16 : Cliquez sur OK. tape 17 : Cliquez sur Apply (Appliquer). 66 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 4 Conguration de la stratgie de scurit La zone dmilitarise DMVPN offre une couche de protection supplmentaire pour rduire le risque de configurations errones des routeurs DMVPN exposant le rseau de l'entreprise sur Internet. Un filtre permet uniquement au trafic DMVPN d'atteindre les routeurs d'agrgation DMVPN. Tableau 16 - Protocoles DMVPN requis (routeur d'agrgation) Nom Protocole Utilisation non500-isakmp UDP 4500 IPsec via NAT-T isakmp UDP 500 ISAKMP esp IP 50 IPsec Tableau 17 - Protocoles disponibles en option : routeur d'agrgation DMVPN Nom Protocole Utilisation icmp echo ICMP Type 0, Code 0 Autoriser les pings distants icmp echo-reply ICMP Type 8, Code 0 Autoriser les rponses ping ( partir de nos requtes) icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses Traceroute ( partir de nos requtes) icmp port-unreachable ICMP Type 3, Code 3 Autoriser les rponses Traceroute ( partir de nos requtes) UDP high ports UDP > 1023 Autoriser le Traceroute distant tape 1 : Dans Configuration > Firewall (Pare-feu) cliquez sur Access Rules (Rgles d'accs). tape 2 : Cliquez sur la rgle qui refuse le trafic provenant de la DMZ vers d'autres rseaux. Ensuite, vous devez insrer une nouvelle rgle au-dessus de la rgle slectionne. tape 3 : Cliquez sur Add (Ajouter) > Insert (Insrer). Activez les routeurs distants DMVPN pour pouvoir communiquer avec les routeurs d'agrgation DMVPN de la DMZ. tape 4 : Dans la liste Translated Addr (Adr. traduite), choisissez l'objet de rseau cr dans Procedure 2 Step 16. (Exemple : dmz-dmvpn-network/24) tape 5 : Dans la zone Service, saisissez esp, udp/4500, udp/isakmp, puis cliquez sur OK. Vous devez ensuite insrer une nouvelle rgle pour autoriser le trafic de diagnostic sur les routeurs d'agrgation DMVPN. tape 6 : Cliquez sur Add (Ajouter) > Insert (Insrer). Activez les routeurs distants DMVPN pour pouvoir communiquer avec les routeurs d'agrgation DMVPN de la DMZ. tape 7 : Dans la liste Destination, choisissez l'objet de rseau cr automatiquement pour la DMZ de DMVPN. (Exemple : dmz-dmvpn-network/24) 67 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 8 : Dans la zone Service, saisissez icmp/echo, icmp/echo-reply, puis cliquez sur OK. tape 9 : Cliquez sur Apply (Appliquer).
Activation de la sauvegarde DMVPN sur un routeur CE MPLS existant 1. Configuration de VRF Lite 2. Connexion Internet 3. Configuration d' ISAKMP et d' IPsec 4. Configuration du tunnel mGRE 5. Configuration du routage EIGRP 6. Configuration du routage IP multicast Procdure Cet ensemble de procdures inclut les tapes complmentaires requises pour configurer un routeur CE MPLS double rle et un routeur satellite DMVPN pour un site distant WAN MPLS + DMVPN (routeur unique, liaison double. Les procdures suivantes partent du principe que la configuration d'un routeur CE MPLS pour un site distant WAN MPLS (routeur unique, liaison unique) a dj t effectue. Seules les procdures supplmentaires permettant d'ajouter la sauvegarde DMVPN au routeur CE MPLS en cours d'excution figurent ici. L'organigramme suivant prsente de manire dtaille l'ajout d'une liaison DMVPN de secours sur un routeur CE MPLS d'un site distant existant. Figure 28 - Organigramme de l'ajout d'une liaison DMVPN de secours
Procdure 1 Conguration de VRF Lite Un VRF Internet est cr pour prendre en charge FVRF pour DMVPN. Le nom VRF est arbitraire mais s'avre utile pour choisir un nom de description pour le VRF. Un descripteur de routage (RD) associ doit galement tre configur pour que le VRF soit fonctionnel. La configuration du RD cre galement le routage et les tables de renvoi et associe le RD l' instance VRF. Routeur CE MPLS Configuration termine Ajout d'une MPLS OUI Ajout dune MPLS Liaison secondaire ? NON 1. Connexion au routeur PE MPLS 2. Configuration du routage BGP li i d bl Procdures d'ajout d'une 2 e liaison MPLS sur une configuration du routeur CE MPLS existante OUI Ajout d'une DMVPN Sauvegarde ? Procdures d'activation de la sauvegarde DMVPN sur une configuration du routeur CE MPLS existante pour une liaison double 1. Configuration de VRF Lite 2. Connexion 3. Configuration d'ISAKMP et d'IPSec 4. Configuration du tunnel mGRE 5 Configuration du routage EIGRP NON 5. Configuration du routage EIGRP 6. Configuration du routage IP multicast 2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 2 Site termin 68 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Cette conception utilise VRF Lite afin que la valeur du RD puisse tre choisie de faon arbitraire. Il s'agit d'une meilleure pratique qui consiste utiliser la mme combinaison VRF/RD sur plusieurs priphriques lors de l'utilisation des VRF de faon identique. Toutefois, cette convention n'est pas strictement obligatoire. ip vrf INET-PUBLIC rd 65512:1
Rfrence relative aux commandes : Un RD est soit li l'ASN (c'est--dire, compos d'un ASN et d'un numro arbitraire), soit li l'adresse IP (c'est--dire, compos d'une adresse IP et d'un numro arbitraire). Vous pouvez saisir un RD dans chacun de ces formats : Numro de systme autonome 16 bits:votre numro 32 bits Par exemple, saisissez 65512:1. Adresse IP 32 bits:votre numro 16 bits Par exemple, 192.168 122.15:1. Conseil l'intention du lecteur
Procdure 2 Connexion Internet Les sites distants qui utilisent DMVPN peuvent utiliser des adresses IP attribues de manire statique ou dynamique. Cisco a test la conception avec une adresse externe attribue par DHCP, qui fournit galement un routage par dfaut configur de faon dynamique. Le routeur satellite DMVPN se connecte directement Internet sans pare-feu distinct. Cette connexion est scurise de deux manires. L' interface Internet se trouvant dans un VRF distinct, aucun trafic ne peut accder au VRF global, except le trafic fourni par le tunnel DMVPN. Cette conception fournit une scurit implicite. En outre, une liste d'accs IP autorise uniquement le trafic requis pour un tunnel crypt, ainsi que le protocole DHCP et divers protocoles ICMP en vue du dpannage. tape 1 : Activez l' interface, slectionnez VRF, puis activez le protocole DHCP. La conception DMVPN utilise FVRF. Par consquent, cette interface doit tre place dans le VRF configur la procdure prcdente. interface GigabitEthernet 0/1 ip vrf forwarding INET-PUBLIC ip address dhcp no shutdown tape 2 : Configurez et appliquez la liste d'accs. La liste d'accs IP doit autoriser les protocoles indiqus dans le tableau suivant. Cette liste d'accs s'applique de faon entrante sur l' interface WAN, afin que le filtrage s'effectue sur le trafic destin au routeur. Tableau 18 - Protocoles DMVPN requis Nom Protocole Utilisation non500-isakmp UDP 4500 IPsec via NAT-T isakmp UDP 500 ISAKMP esp IP 50 IPsec bootpc UDP 68 DHCP Exemple de liste d'accs : interface GigabitEthernet 0/1 ip access-group ACL-INET-PUBLIC in ip access-list extended ACL-INET-PUBLIC permit udp any any eq non500-isakmp permit udp any any eq isakmp permit esp any any permit udp any any eq bootpc 69 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Les protocoles supplmentaires mentionns dans le tableau suivant peuvent aider au dpannage, mais ne s'avrent pas explicitement requis pour permettre au DMVPN de fonctionner correctement. Tableau 19 - Protocoles disponibles en option pour le routeur satellite DMVPN Nom Protocole Utilisation icmp echo ICMP Type 0, Code 0 Autoriser les pings distants icmp echo-reply ICMP Type 8, Code 0 Autoriser les rponses ping ( partir de nos requtes) icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses Traceroute ( partir de nos requtes) icmp port-unreachable ICMP Type 3, Code 3 Autoriser les rponses Traceroute ( partir de nos requtes) UDP high ports UDP > 1023, TTL=1 Autoriser le Traceroute distant Les entres facultatives supplmentaires d'une liste d'accs pour prendre en charge le ping sont les suivantes : permit icmp any any echo permit icmp any any echo-reply Les entres facultatives supplmentaires d'une liste d'accs pour prendre en charge Traceroute sont les suivantes : permit icmp any any ttl-exceeded ! for traceroute (sourced) permit icmp any any port-unreachable ! for traceroute (sourced) permit udp any any gt 1023 ttl eq 1 ! for traceroute (destination)
Procdure 3 Conguration d'ISAKMP et d'IPsec tape 1 : Configurez le porte-cl cryptographique. Le porte-cl cryptographique dfinit une cl prpartage (Pre-Shared Key ou PSK), ou un mot de passe, valide pour les sources IP accessibles dans un VRF spcifique. Cette cl est une cl partage avec caractre de substitution si elle s'applique n' importe quelle source IP. La configuration d'une cl avec caractre de substitution s'effectue l'aide de la combinaison rseau/ masque 0.0.0.0 0.0.0.0. crypto keyring DMVPN-KEYRING vrf INET-PUBLIC pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 tape 2 : Configurez la stratgie ISAKMP et la dtection DPD (Dead peer detection). La stratgie de scurit ISAKMP de DMVPN utilise les lments suivants : Advanced Encryption Standard (AES) avec cl 256 bits ; Secure Hash Standard (SHA) ; authentification par cl prpartage (PSK) ; Diffie-Hellman group: 2. DPD est activ avec l'envoi d' intervalles de conservation d'activit des intervalles de 30 secondes avec un intervalle de 5 secondes entre chaque tentative, qui est considr comme un paramtre raisonnable destin dtecter un concentrateur dfaillant. crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share group 2 ! crypto isakmp keepalive 30 5 tape 3 : Crez le profil ISAKMP. Le profil ISAKMP cre une association entre une adresse d' identit, un VRF et un porte-cl cryptographique. L'adresse de substitution d'un VRF est dsigne par 0.0.0.0. crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC keyring DMVPN-KEYRING match identity address 0.0.0.0 INET-PUBLIC tape 4 : Dfinissez l'ensemble de transformation IPsec. Un ensemble de transformation est une combinaison acceptable de protocoles de scurit, d'algorithmes et d'autres paramtres pouvant tre appliqus au trafic protg par IPsec. Les homologues ont convenu d'utiliser un ensemble de transformation spcifique pour protger un flux de donnes particulier. L'ensemble de transformation IPsec de DMVPN utilise les lments suivants : ESP avec l'algorithme de cryptage AES 256 bits ; ESP avec l'algorithme d'authentification SHA (variante HMAC). 70 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT, la transformation IPsec doit tre configure pour le mode de transport. crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-sha-hmac mode transport tape 5 : Crez le profil IPsec. Le profil IPsec cre une association entre un profil ISAKMP et un ensemble de transformation IPsec. crypto ipsec profile DMVPN-PROFILE set transform-set AES256/SHA/TRANSPORT set isakmp-profile FVRF-ISAKMP-INET-PUBLIC
Procdure 4 Conguration du tunnel mGRE tape 1 : Configurez les paramtres de l' interface de base. La cration des interfaces de tunnel s'effectue en mme temps que leur configuration. Le nombre de tunnels est arbitraire, mais il est prfrable de commencer la numrotation des tunnels 10 minimum, car les autres fonctionnalits dployes dans cette conception peuvent galement ncessiter des tunnels et slectionner des numros infrieurs par dfaut. Le paramtre de bande passante doit tre configur pour correspondre la bande passante Internet. Configurez la valeur IP MTU sur 1400 et ip tcp adjust-mss sur 1360. Vous constaterez un cart de 40 octets, qui correspond la longueur d'en-tte IP et TCP combine. interface Tunnel10 bandwidth [bande passante (Kbit/s)] ip address [adresse IP] [masque rseau] no ip redirects ip mtu 1400 ip tcp adjust-mss 1360 tape 2 : Configurez le tunnel. DMVPN utilise les tunnels multipoint GRE (mGRE). Ce type de tunnel requiert uniquement une interface source. L' interface source doit tre la mme que celle utilise pour se connecter Internet. La commande tunnel vrf doit tre configure sur le VRF prcdemment dfini pour FVRF. L'activation du cryptage sur cette interface requiert l'application du profil IPsec configur la prcdente procdure. interface Tunnel10 tunnel source GigabitEthernet 0/1 tunnel mode gre multipoint tunnel vrf INET-PUBLIC tunnel protection ipsec profile DMVPN-PROFILE tape 3 : Configurez le protocole NHRP. Le routeur concentrateur DMVPN joue le rle du serveur NHRP pour tous les satellites. Le protocole NHRP est utilis par les routeurs distants pour dterminer les destinations du tunnel pour les homologues associs au tunnel mGRE. Le routeur satellite requiert plusieurs noncs de configuration supplmentaires pour dfinir les noncs du serveur NHRP (NHS) et de la carte NHRP pour l'adresse IP du tunnel mGRE du routeur concentrateur DMVPN. EIGRP (configur dans la procdure 5 suivante) se base sur un transport multicast. Les routeurs satellite requirent le mappage multicast statique NHRP. La valeur que vous utilisez pour le NHS correspond l'adresse du tunnel mGRE du routeur concentrateur DMVPN. Les entres de la carte doivent tre configures sur la valeur NAT externe du concentrateur DMVPN, telles qu'elles sont configures sur le Cisco ASA5500. Cette conception utilise les valeurs affiches dans le tableau suivant. Tableau 20 - Informations sur l'adresse IP du concentrateur DMVPN Adresse de la DMZ du concentrateur DMVPN Adresse externe du concentrateur DMVPN NHS (adresse du tunnel mGRE du concentrateur DMVPN) 192.168.18.10 172.16.130.1 10.4. 34.1 Le protocole NHRP ncessite que tous les priphriques d'un Cloud DMVPN utilisent le mme ID rseau et la mme cl d'authentification. Le temps d'attente de la mmoire cache du protocole NHRP doit tre configur sur 600 secondes. Cette conception prend en charge les routeurs satellite DMVPN qui reoivent leurs adresses IP externes via le protocole DHCP. Il est possible pour ces routeurs d'acqurir diffrentes adresses IP aprs un rechargement. Lorsque le routeur tente de s'enregistrer avec le serveur NHRP, il peut apparatre comme la duplication d'une entre se trouvant dj dans la mmoire cache et tre rejet. L'option registration no-unique vous permet d' craser les entres existantes dans la mmoire cache. Cette fonctionnalit s'avre uniquement requise sur les clients NHRP (routeurs satellite DMVPN). 71 Dploiement d'un WAN DMVPN Srie de fvrier 2012 La commande ip nhrp redirect permet au concentrateur DMVPN d' informer les routeurs satellite qu'un chemin vers un rseau de destination plus adapt existe et peut s'avrer requis pour les communications directes de satellite satellite DMVPN. Les routeurs satellite DMVPN utilisent galement une commutation de raccourcis lors de la cration des tunnels de satellite satellite. interface Tunnel10 ip nhrp authentication cisco123 ip nhrp map 10.4.34.1 172.16.130.1 ip nhrp map multicast 172.16.130.1 ip nhrp network-id 101 ip nhrp holdtime 600 ip nhrp nhs 10.4.34.1 ip nhrp registration no-unique ip nhrp shortcut ip nhrp redirect tape 4 : Configurez le protocole EIGRP. Vous devez configurer l' EIGRP dans la Procedure 5 suivante, mais vous devez d'abord configurer certaines fonctions spcifiques pour l' interface du tunnel mGRE. L' intervalle d'accueil du protocole EIGRP est augment de 20 secondes, et son temps d'attente, de 60 secondes pour accueillir jusqu' 500 sites distants sur un Cloud DMVPN unique. interface Tunnel10 ip hello-interval eigrp 200 20 ip hold-time eigrp 200 60 Vous devez communiquer les rseaux LAN de sites distants. L'affectation d'adresses IP pour les sites distants a t conue de sorte que tous les rseaux en cours d'utilisation peuvent tre rsums en une seule route globale. L'adresse de rsum, telle qu'elle est configure ci-dessous, supprime les routes les plus spcifiques. Si un rseau du rsum est prsent dans la table de routage, ce rsum est indiqu au concentrateur DMVPN qui fournit une mesure de la rsilience. Si les diffrents rseaux LAN ne peuvent pas tre rsums, l' EIGRP continuera alors d' indiquer les routes spcifiques. interface Tunnel10 ip summary-address eigrp 200 [rseau du rsum] [masque du rsum]
Procdure 5 Conguration du routage EIGRP L'excution d'un processus EIGRP-200 unique s'effectue sur le routeur satellite DMVPN. Toutes les interfaces du routeur sont des interfaces EIGRP, mais seule l' interface des tunnels DMVPN est non passive. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. Tous les routeurs satellite DMVPN doivent excuter le routage souche de l' EIGRP pour amliorer la stabilit du rseau et rduire l'utilisation des ressources. router eigrp 200 network 10.4.34.0 0.0.1.255 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface Tunnel10 eigrp router-id [adresse IP de Loopback0] eigrp stub connected summary no auto-summary
Procdure 6 Conguration du routage IP multicast Cette procdure comprend des tapes supplmentaires permettant de raliser la configuration du routage IP multicast lorsque vous ajoutez une fonctionnalit de sauvegarde DMVPN un routeur lorsque le routage IP multicast est dj activ. tape 1 : Configurez PIM sur l' interface des tunnels DMVPN. Utilisez le mode sparse comme mode de fonctionnement des interfaces de multicast IP et pour l'activer sur toutes les interfaces de couche 3, et notamment les interfaces de tunnel DMVPN.
N'activez pas le PIM sur l' interface DMZ Internet. En effet, vous ne devez pas demander de trafic multicast partir de cette interface. Conseil l'intention des techniciens interface Tunnel10 ip pim sparse-mode 72 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 2 : Activez le mode NBMA PIM pour le tunnel DMVPN. Les rseaux DMVPN de satellite satellite constituent un dfi unique car les satellites ne peuvent pas changer directement d' informations les uns avec les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette incapacit changer directement des informations peut galement entraner des problmes lors de l'excution d'un multicast IP. Pour rsoudre le problme du NBMA, vous devez mettre en uvre une mthode o le suivi des messages d' inscription de chaque voisin PIM distant s'effectue sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM distant comme s' il tait connect au routeur par le biais d'une liaison point point. interface Tunnel10 ip pim nbma-mode tape 3 : Configurez la priorit DR pour le routeur satellite DMVPN. Le fonctionnement du routage multicast au sein d'un Cloud DMVPN exige que le routeur concentrateur assume le rle du routeur dsign par PIM (Designated Router ou DR). Les routeurs satellite ne doivent jamais devenir le DR. Il vous est possible d' viter cela en paramtrant la priorit DR sur 0 pour les satellites. interface Tunnel10 ip pim dr-priority 0 73 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Configuration d'un routeur satellite DMVPN de site distant 1. Fin de la configuration universelle des routeurs WAN 2. Configuration de VRF Lite 3. Connexion Internet 4. Configuration d' ISAKMP et d' IPsec 5. Configuration du tunnel mGRE 6. Configuration du routage EIGRP 7. Configuration du routage IP multicast 8. Configuration du routeur HSRP de couche d'accs 9. Configuration du rseau de transit 10. Configuration du routage EIGRP (ct LAN) 11. Configuration de la rsilience de bouclage Procdure Utilisez cet ensemble de procdures lorsque vous configurez un site distant WAN MPLS + DMVPN. Utilisez galement ces procdures lors de la configuration du deuxime routeur de la conception de type routeur double et liaison double. L'organigramme suivant prsente de manire dtaille la configuration du routeur satellite DMVPN d'un site distant. Figure 29 - Organigramme de la configuration du routeur satellite DMVPN d'un site distant
Procdure 1 Fin de la conguration universelle des routeurs WAN Cette conception comprend plusieurs fonctionnalits et services communs tous les routeurs WAN de site distant. Il s'agit de paramtres systme qui simplifient et scurisent la gestion de la solution. tape 1 : Configurez le nom d' hte du priphrique pour en faciliter l' identification. hostname [nom d'hte] tape 2 : Configurez les protocoles de gestion des priphriques. HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris) sont des protocoles scuriss utiliss en remplacement des protocoles HTTP et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise) et TLS (Transport Layer Security, scurit de la couche transport) pour l'authentification du priphrique et le cryptage des donnes. Routeur CE MPLS de site distant Routeur double, liaison double (2 e routeur) 1. Fin de la configuration universelle des routeurs WAN 2. Connexion au routeur PE MPLS 3 Configuration du routage BGP Routeur CE MPLS de site distant 2 Procdures de configuration 3. Configuration du routage BGP Couche de distribution Conception ? OUI NON R t CE MPLS d it di t t 2 4. Configuration du routage de couche d'accs 5. Configuration du routeur HSRP de couche d'accs 6. Configuration du rseau de transit 7 Configuration du routage EIGRP (ct LAN) 1. Connexion au routeur CE MPLS 2. Configuration du routage EIGRP (ct LAN) 3. Configuration du rseau de transit Routeur CE MPLS de site distant 2 Procdures de la couche de distribution Routeur CE MPLS de site distant 2 Procdures de la couche d'accs 7. Configuration du routage EIGRP (ct LAN) 8. Configuration de la rsilience de bouclage Site termin Site termin 2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 3 74 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Vous devez activer la gestion scurise du priphrique LAN par le biais de l'utilisation des protocoles SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs. ip domain-name cisco.local ip ssh version 2 no ip http server ip http secure-server line vty 0 15 transport input ssh Activez le protocole SNMP (Simple Network Management Protocol, protocole simple de gestion de rseau) pour permettre la gestion des priphriques de l' infrastructure rseau par un systme d'administration rseau (NMS). SNMPv2c est configur pour la chane de communaut en lecture seule et en lecture-criture. snmp-server community cisco RO snmp-server community cisco123 RW tape 3 : Configurez l'authentification de l'utilisateur scurise. Activez le protocole AAA (authentication, authorization and accounting, authentification, autorisation et traabilit) pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques d' infrastructure rseau (SSH et HTTPS).
Le serveur AAA utilis dans cette architecture est le serveur Cisco ACS. Pour plus d' information sur la configuration ACS, consultez le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention du lecteur TACACS+ est le principal protocole utilis pour authentifier les connexions de gestion au serveur AAA sur les priphriques d' infrastructure. Une base de donnes utilisateur AAA locale est galement dfinie sur chaque priphrique de l' infrastructure rseau de manire fournir une source d'authentification de secours au cas o le serveur TACACS+ centralis ne serait pas disponible. enable secret c1sco123 service password-encryption ! username admin password c1sco123 aaa new-model ! tacacs server TACACS-SERVER-1 address ipv4 10.4.48.15 key SecretKey ! aaa group server tacacs+ TACACS-SERVERS server name TACACS-SERVER-1 ! aaa authentication login default group TACACS-SERVERS local aaa authorization exec default group TACACS-SERVERS local aaa authorization console ip http authentication aaa tape 4 : Configurez une horloge synchronise. Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient habituellement d'une source faisant autorit, par exemple une horloge radio- pilote ou une horloge atomique rattache un serveur temporel. Le protocole NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation. Vous devez programmer les priphriques rseau pour qu' ils se synchronisent avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise habituellement une heure plus prcise fournie par une source externe. Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des messages de console, des journaux et des rsultats de dbogage afin de pouvoir recouper les vnements du rseau. ntp server 10.4.48.17 ntp update-calendar ! clock timezone PST -8 clock summer-time PDT recurring ! service timestamps debug datetime msec localtime service timestamps log datetime msec localtime Lorsque la journalisation synchrone des rsultats de dbogage ou des messages non sollicits est active, les messages de journalisation de la console s'affichent sur cette dernire aprs l'affichage ou l' impression des rsultats de l' interface de ligne de commande (CLI) interactive. Au moyen de cette commande, vous pouvez poursuivre la saisie sur la console du priphrique lorsque le dbogage est activ. line con 0 logging synchronous 75 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 5 : Configurez une interface de gestion intrabande. L' interface de bouclage est une interface logique. Elle est accessible tant que le priphrique est sous tension et qu'une interface IP est accessible sur le rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de manire idale la gestion intrabande du commutateur. Le processus et les fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour garantir la rsilience du processus. L'adresse de bouclage est habituellement une adresse hte possdant un masque d'adresse 32 bits. Affectez l'adresse IP en boucle du routeur de site distant depuis une plage rseau unique ne faisant pas partie d'une autre plage de rsum rseau interne. interface Loopback0 ip address [adresse IP] 255.255.255.255 ip pim sparse-mode La commande ip pim sparse-mode est explique plus loin dans cette procdure. Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une rsilience optimale : snmp-server trap-source Loopback0 ip ssh source-interface Loopback0 ip pim register-source Loopback0 ip tacacs source-interface Loopback0 ntp source Loopback0 tape 6 : Configurez le routage IP multicast. Le multicast IP sert la reproduction d'un flux de donnes IP unique par l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont deux exemples d'applications multicast IP. Pour recevoir un flux de donnes particulier en multicast IP, les htes d'extrmit doivent rejoindre un groupe multicast en envoyant un message IGMP (Internet Group Management Protocol, protocole de gestion de groupe Internet) au routeur multicast local dont ils dpendent. Dans une conception multicast IP traditionnelle, le routeur local consulte un autre routeur sur le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les rcepteurs aux sources actives et ainsi fusionner les flux. Dans cette conception, qui s'appuie sur une opration multicast de type mode sparse, Cisco utilise la fonction Auto RP. Elle aide de manire simple mais cependant volutive mettre en place un environnement RP hautement rsilient. Activez le routage multicast IP sur les plates-formes en mode de configuration globale. ip multicast-routing Tous les commutateurs et routeurs de couche 3 doivent tre configurs de sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez la commande ip pim autorp listener pour autoriser la reconnaissance dans les liens du mode sparse. Cette configuration permet de faire voluer l'environnement en multicast IP et de le contrler. Elle peut changer en fonction des besoins et de la conception du rseau. ip pim autorp listener Vous devez activer toutes les interfaces de couche 3 du rseau pour l'opration de multicast en mode sparse. ip pim sparse-mode
Procdure 2 Conguration de VRF Lite Un VRF Internet est cr pour prendre en charge FVRF pour DMVPN. Le nom VRF est arbitraire mais s'avre utile pour choisir un nom de description pour le VRF. Vous devez galement configurer un RD associ pour rendre le VRF oprationnel. La configuration du RD cre le routage et les tables de renvoi et associe le RD l' instance VRF. Cette conception utilise VRF Lite afin que la valeur du RD puisse tre choisie de faon arbitraire. Il s'agit d'une meilleure pratique qui consiste utiliser la mme combinaison VRF/RD sur plusieurs priphriques lors de l'utilisation des VRF de faon identique. Toutefois, cette convention n'est pas strictement obligatoire. ip vrf INET-PUBLIC rd 65512:1 76 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Rfrence relative aux commandes : Un RD est soit li l'ASN (c'est--dire, compos d'un ASN et d'un numro arbitraire), soit li l'adresse IP (c'est--dire, compos d'une adresse IP et d'un numro arbitraire). Vous pouvez saisir un RD dans chacun de ces formats : Numro de systme autonome 16 bits:votre numro 32 bits Par exemple, saisissez 65512:1. Adresse IP 32 bits:votre numro 16 bits Par exemple, 192.168 122.15:1. Conseil l'intention du lecteur
Procdure 3 Connexion Internet Les sites distants qui utilisent DMVPN peuvent utiliser des adresses IP attribues de manire statique ou dynamique. Nous avons test la conception avec une adresse externe attribue par DHCP, qui fournit galement un routage par dfaut configur de faon dynamique. Le routeur satellite DMVPN se connecte directement Internet sans pare-feu distinct. Cette connexion est scurise de deux manires. L' interface Internet se trouvant dans un VRF distinct, aucun trafic ne peut accder au VRF global, except le trafic fourni par le tunnel DMVPN. Cette conception fournit une scurit implicite. En outre, une liste d'accs IP autorise uniquement le trafic requis pour un tunnel crypt, ainsi que le protocole DHCP et divers protocoles ICMP en vue du dpannage. tape 1 : Activez l' interface, slectionnez VRF, puis activez le protocole DHCP. La conception DMVPN utilise FVRF. Par consquent, cette interface doit tre place dans le VRF configur la procdure prcdente. interface GigabitEthernet0/1 ip vrf forwarding INET-PUBLIC ip address dhcp no shutdown tape 2 : Configurez et appliquez la liste d'accs. La liste d'accs IP doit autoriser les protocoles indiqus dans le tableau suivant. Cette liste d'accs s'applique de faon entrante sur l' interface WAN, afin que le filtrage s'effectue sur le trafic destin au routeur. Tableau 21 - Protocoles DMVPN requis Nom Protocole Utilisation non500-isakmp UDP 4500 IPsec via NAT-T isakmp UDP 500 ISAKMP esp IP 50 IPsec bootpc UDP 68 DHCP Exemple de liste d'accs : interface GigabitEthernet0/1 ip access-group ACL-INET-PUBLIC in ip access-list extended ACL-INET-PUBLIC permit udp any any eq non500-isakmp permit udp any any eq isakmp permit esp any any permit udp any any eq bootpc Les protocoles supplmentaires mentionns dans le tableau suivant peuvent aider au dpannage, mais ne s'avrent pas explicitement requis pour permettre au DMVPN de fonctionner correctement. Tableau 22 - Protocoles disponibles en option pour le routeur satellite DMVPN Nom Protocole Utilisation icmp echo ICMP Type 0, Code 0 Autoriser les pings distants icmp echo-reply ICMP Type 8, Code 0 Autoriser les rponses ping ( partir de nos requtes) icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses Traceroute ( partir de nos requtes) icmp port-unreachable ICMP Type 3, Code 3 Autoriser les rponses Traceroute ( partir de nos requtes) UDP high ports UDP > 1023, TTL=1 Autoriser le Traceroute distant 77 Dploiement d'un WAN DMVPN Srie de fvrier 2012 Les entres facultatives supplmentaires d'une liste d'accs pour prendre en charge le ping sont les suivantes : permit icmp any any echo permit icmp any any echo-reply Les entres facultatives supplmentaires d'une liste d'accs pour prendre en charge Traceroute sont les suivantes : permit icmp any any ttl-exceeded ! for traceroute (sourced) permit icmp any any port-unreachable ! for traceroute (sourced) permit udp any any gt 1023 ttl eq 1 ! for traceroute (destination)
Procdure 4 Conguration d'ISAKMP et d'IPsec tape 1 : Configurez le porte-cl cryptographique. Le porte-cl cryptographique dfinit une cl prpartage (Pre-Shared Key ou PSK), ou un mot de passe, valide pour les sources IP accessibles dans un VRF spcifique. Cette cl est une cl partage avec caractre de substitution si elle s'applique n' importe quelle source IP. La configuration d'une cl avec caractre de substitution s'effectue l'aide de la combinaison rseau/ masque 0.0.0.0 0.0.0.0. crypto keyring DMVPN-KEYRING vrf INET-PUBLIC pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123 tape 2 : Configurez la stratgie ISAKMP et la dtection DPD (Dead peer detection). La stratgie de scurit ISAKMP de DMVPN utilise les lments suivants : Advanced Encryption Standard (AES) avec cl 256 bits ; Secure Hash Standard (SHA) ; authentification par cl prpartage (PSK) ; Diffie-Hellman group: 2. DPD est activ avec l'envoi d' intervalles de conservation d'activit des intervalles de 30 secondes avec un intervalle de 5 secondes entre chaque tentative, qui est considr comme un paramtre raisonnable destin dtecter un concentrateur dfaillant. crypto isakmp policy 10 encr aes 256 hash sha authentication pre-share group 2 ! crypto isakmp keepalive 30 5 tape 3 : Crez le profil ISAKMP. Le profil ISAKMP cre une association entre une adresse d' identit, un VRF et un porte-cl cryptographique. L'adresse de substitution d'un VRF est dsigne par 0.0.0.0. crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC keyring DMVPN-KEYRING match identity address 0.0.0.0 INET-PUBLIC tape 4 : Dfinissez l'ensemble de transformation IPsec. Un ensemble de transformation est une combinaison acceptable de protocoles de scurit, d'algorithmes et d'autres paramtres pouvant tre appliqus au trafic protg par IPsec. Les homologues ont convenu d'utiliser un ensemble de transformation spcifique pour protger un flux de donnes particulier. L'ensemble de transformation IPsec de DMVPN utilise les lments suivants : ESP avec l'algorithme de cryptage AES 256 bits ; ESP avec l'algorithme d'authentification SHA (variante HMAC). Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT, la transformation IPsec doit tre configure pour le mode de transport. crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp- sha-hmac mode transport tape 5 : Crez le profil IPsec. Le profil IPsec cre une association entre un profil ISAKMP et un ensemble de transformation IPsec. crypto ipsec profile DMVPN-PROFILE set transform-set AES256/SHA/TRANSPORT set isakmp-profile FVRF-ISAKMP-INET-PUBLIC 78 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 5 Conguration du tunnel mGRE tape 1 : Configurez les paramtres de l' interface de base. Vous crez des interfaces de tunnel au moment o vous les configurez. Le nombre de tunnels est arbitraire, mais il est prfrable de commencer la numrotation des tunnels 10 minimum, car les autres fonctionnalits dployes dans cette conception peuvent galement ncessiter des tunnels et slectionner des numros infrieurs par dfaut. Le paramtre de bande passante doit tre configur pour correspondre la bande passante Internet. Configurez la valeur MTU IP sur 1400 et ip tcp adjust-mss sur 1360. Vous constaterez un cart de 40 octets, qui correspond la longueur d'en-tte IP et TCP combine. interface Tunnel10 bandwidth [bande passante (Kbit/s)] ip address [adresse IP] [masque rseau] no ip redirects ip mtu 1400 ip tcp adjust-mss 1360 tape 2 : Configurez le tunnel. DMVPN utilise les tunnels multipoint GRE (mGRE). Ce type de tunnel requiert uniquement une interface source. L' interface source doit tre la mme que celle utilise pour se connecter Internet. Configurez la commande tunnel vrf sur le VRF dfini prcdemment pour FVRF. Pour activer le cryptage sur cette interface, vous devez appliquer le profil IPsec que vous avez configur la prcdente procdure. interface Tunnel10 tunnel source GigabitEthernet0/1 tunnel mode gre multipoint tunnel vrf INET-PUBLIC tunnel protection ipsec profile DMVPN-PROFILE tape 3 : Configurez le protocole NHRP. Le routeur concentrateur DMVPN joue le rle du serveur NHRP pour tous les satellites. Le protocole NHRP est utilis par les routeurs distants pour dterminer les destinations du tunnel pour les homologues associs au tunnel mGRE. Le routeur satellite requiert plusieurs noncs de configuration supplmentaires pour dfinir les noncs du serveur NHRP (NHS) et de la carte NHRP pour l'adresse IP du tunnel mGRE du routeur concentrateur DMVPN. EIGRP (configur dans la procdure 5 suivante) se base sur un transport multicast. Les routeurs satellite requirent le mappage multicast statique NHRP. Pour la valeur NHS, utilisez l'adresse de tunnel mGRE du routeur concentrateur DMVPN. Les entres de la carte doivent tre configures sur la valeur NAT externe du concentrateur DMVPN, telles qu'elles sont configures sur le Cisco ASA5500. Cette conception utilise les valeurs affiches dans le tableau suivant. Tableau 23 - Informations sur l'adresse IP du concentrateur DMVPN Adresse de la DMZ du concentrateur DMVPN Adresse externe du concentrateur DMVPN NHS (adresse du tunnel mGRE du concentrateur DMVPN) 192.168.18.10 172.16.130.1 10.4. 34.1 Le protocole NHRP ncessite que tous les priphriques d'un Cloud DMVPN utilisent le mme ID rseau et la mme cl d'authentification. Vous devez configurer le temps d'attente de la mmoire cache du protocole NHRP sur 600 secondes. Cette conception prend en charge les routeurs satellite DMVPN qui reoivent leurs adresses IP externes via le protocole DHCP. Il est possible pour ces routeurs d'acqurir diffrentes adresses IP aprs un rechargement. Lorsque le routeur tente de s'enregistrer avec le serveur NHRP, il peut apparatre comme la duplication d'une entre se trouvant dj dans la mmoire cache et tre rejet. L'option registration no-unique vous permet d' craser les entres existantes dans la mmoire cache. Cette fonctionnalit s'avre uniquement requise sur les clients NHRP (routeurs satellite DMVPN). La commande ip nhrp redirect permet au concentrateur DMVPN d'informer les routeurs satellite qu'un chemin vers un rseau de destination plus adapt existe et peut s'avrer requis pour les communications directes de satellite satellite DMVPN. Les routeurs satellite DMVPN utilisent galement une commutation de raccourcis lors de la cration des tunnels de satellite satellite. interface Tunnel10 ip nhrp authentication cisco123 ip nhrp map 10.4.34.1 172.16.130.1 ip nhrp map multicast 172.16.130.1 ip nhrp network-id 101 ip nhrp holdtime 600 ip nhrp nhs 10.4.34.1 ip nhrp registration no-unique ip nhrp shortcut ip nhrp redirect 79 Dploiement d'un WAN DMVPN Srie de fvrier 2012 tape 4 : Configurez le protocole EIGRP. Vous devez configurer l' EIGRP dans la Procedure 6 suivante, mais vous devez d'abord configurer certaines fonctions spcifiques pour l' interface du tunnel mGRE. Augmentez l' intervalle d'accueil du protocole EIGRP 20 secondes, et son temps d'attente, 60 secondes pour accueillir jusqu' 500 sites distants sur un Cloud DMVPN unique. interface Tunnel10 ip hello-interval eigrp 200 20 ip hold-time eigrp 200 60 Vous devez communiquer les rseaux LAN de sites distants. L'affectation d'adresses IP pour les sites distants a t conue de sorte que tous les rseaux en cours d'utilisation peuvent tre rsums en une seule route globale. L'adresse de rsum, telle qu'elle est configure ci-dessous, supprime les routes les plus spcifiques. Si un rseau du rsum est prsent dans la table de routage, ce rsum est indiqu au concentrateur DMVPN qui fournit une mesure de la rsilience. Si les diffrents rseaux LAN ne peuvent pas tre rsums, l' EIGRP continuera alors d' indiquer les routes spcifiques. interface Tunnel10 ip summary-address eigrp 200 [rseau du rsum] [masque du rsum]
Procdure 6 Conguration du routage EIGRP L'excution d'un processus EIGRP-200 unique s'effectue sur le routeur satellite DMVPN. Toutes les interfaces du routeur sont des interfaces EIGRP, mais seule l' interface des tunnels DMVPN est non passive. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. Tous les routeurs satellite DMVPN doivent excuter le routage souche de l' EIGRP pour amliorer la stabilit du rseau et rduire l'utilisation des ressources. router eigrp 200 network 10.4.34.0 0.0.1.255 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface Tunnel10 eigrp router-id [adresse IP de Loopback0] eigrp stub connected summary no auto-summary
Procdure 7 Conguration du routage IP multicast Cette procdure comprend des tapes supplmentaires permettant de raliser la configuration du routage IP multicast lorsque vous ajoutez une fonctionnalit de sauvegarde DMVPN un routeur lorsque le routage IP multicast est dj activ. tape 1 : Configurez PIM sur l' interface des tunnels DMVPN. Cisco vous recommande d'utiliser le mode sparse comme mode de fonctionnement des interfaces de multicast IP et pour l'activer sur toutes les interfaces de couche 3, et notamment les interfaces de tunnel DMVPN.
N'activez pas le PIM sur l' interface DMZ Internet. En effet, vous ne devez pas demander de trafic multicast partir de cette interface. Conseil l'intention des techniciens interface Tunnel10 ip pim sparse-mode tape 2 : Activez le mode NBMA PIM pour le tunnel DMVPN. Les rseaux DMVPN de satellite satellite constituent un dfi unique car les satellites ne peuvent pas changer directement d' informations les uns avec les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette incapacit changer directement des informations peut galement entraner des problmes lors de l'excution d'un multicast IP. Pour rsoudre le problme du NBMA, vous devez mettre en uvre une mthode o le suivi des messages d' inscription de chaque voisin PIM distant s'effectue sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM distant comme s' il tait connect au routeur par le biais d'une liaison point point. interface Tunnel10 ip pim nbma-mode tape 3 : Configurez la priorit DR pour le routeur satellite DMVPN. Le fonctionnement du routage multicast au sein d'un Cloud DMVPN exige que le routeur concentrateur assume le rle du routeur dsign par PIM (Designated Router ou DR). Les routeurs satellite ne doivent jamais devenir le DR. Il vous est possible d' viter cela en paramtrant la priorit DR sur 0 pour les satellites. interface Tunnel10 ip pim dr-priority 0 80 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 8 Conguration du routeur HSRP de couche d'accs Vous devez configurer le protocole HSRP pour activer une VIP que vous utiliserez comme passerelle par dfaut partage par deux routeurs. Le routeur HSRP actif est le routeur CE MPLS connect l'oprateur MPLS principal et le routeur HSRP en veille est le routeur satellite DMVPN. Configurez le routeur HSRP en veille avec une priorit de veille infrieure celle du routeur HSRP actif. Le routeur ayant la valeur de priorit de veille la plus leve est lu routeur HSRP actif. L'option d'anticipation (preempt) permet un routeur dont la priorit est suprieure de devenir le routeur HSRP actif, sans attendre un cas de figure o aucun des routeurs HSRP ne serait l' tat actif. Les paramtres HSRP appropris pour la configuration du routeur sont indiqus dans le tableau suivant. Tableau 24 - Paramtres HSRP de site distant WAN (routeur double) Routeur Rle HSRP Adresse IP virtuelle (VIP) Adresse IP relle Priorit HSRP Priorit DR PIM CE MPLS (principal) Actif .1 . 2 110 110 CE MPLS (secondaire) ou satellite DMVPN En veille .1 . 3 105 105 La conception de couche d'accs routeur double requiert l'apport d'une modification afin de permettre un multicast fiable. Le DR PIM doit se trouver sur le routeur HSRP actif. Le DR est normalement lu en fonction de l'adresse IP la plus leve et n'a pas connaissance de la configuration HSRP. Dans cette conception, le routeur HSRP actif a une adresse IP relle infrieure celle du routeur HSRP en veille, d'o la ncessit de modifier la configuration PIM. Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la priorit DR sur les sous-interfaces orientes LAN pour les routeurs.
Comme il est indiqu dans le tableau prcdent, les priorits HSRP et DR PIM ont la mme valeur. Cependant, il n'est pas obligatoire d'utiliser des valeurs identiques. Conseil l'intention des techniciens Rptez cette procdure pour toutes les sous-interfaces donnes ou voix. interface [type d'interface] [numro].[numro de la sous- interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau LAN 1] [masque rseau LAN 1] ip helper-address 10.4.48.10 ip pim sparse-mode ip pim dr-priority 105 standby 1 ip [adresse de la passerelle rseau LAN 1] standby 1 priority 105 standby 1 preempt Exemple interface GigabitEthernet0/2.64 description Data encapsulation dot1Q 64 ip address 10.5.52.3 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.52.1 standby 1 priority 105 standby 1 preempt ! interface GigabitEthernet0/2.69 description Voice encapsulation dot1Q 69 ip address 10.5.53.3 255.255.255.0 ip helper-address 10.4.48.10 ip pim dr-priority 105 ip pim sparse-mode standby 1 ip 10.5.53.1 standby 1 priority 105 standby 1 preempt 81 Dploiement d'un WAN DMVPN Srie de fvrier 2012
Procdure 9 Conguration du rseau de transit Vous configurez le rseau de transit entre deux routeurs. Ce rseau est utilis pour la communication de routeur routeur et pour viter le renvoi d'appel. Le rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface de routeur dj en cours d'utilisation pour les donnes ou la voix. Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP et DHCP ne sont donc pas requis. interface GigabitEthernet0/2.99 description Transit Net encapsulation dot1Q 99 ip address 10.5.48.2 255.255.255.252 ip pim sparse-mode
Procdure 10 Conguration du routage EIGRP (ct LAN) Un protocole de routage doit tre configur entre les deux routeurs. Ceci permet de garantir que le routeur HSRP actif dispose d' informations d'accessibilit compltes pour tous les sites distants WAN. tape 1 : Activez le routeur EIGRP-100. Vous devez configurer le routeur EIGRP-100 orient vers la couche d'accs. Dans cette conception, toutes les interfaces orientes LAN et la boucle doivent tre des interfaces EIGRP. Toutes les interfaces doivent rester passives, l'exception de la sous-interface du rseau de transit. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. N' incluez pas l' interface WAN (interface de liaison PE-CE MPLS) comme interface EIGRP. router eigrp 100 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface GigabitEthernet0/2.99 eigrp router-id [adresse IP de Loopback0] no auto-summary tape 2 : Redistribuez l' EIGRP-200 (DMVPN) dans l' EIGRP-100. Cette tape doit uniquement tre excute sur le routeur satellite DMVPN. L' EIGRP-200 est dj configur pour l' interface mGRE DMVPN. Les routes issues de ce processus EIGRP sont redistribues. Le protocole de routage tant identique, aucune mesure par dfaut ne s'avre requise. router eigrp 100 redistribute eigrp 200
Procdure 11 Conguration de la rsilience de bouclage Applicable uniquement la conception de type routeur double La gestion intrabande des routeurs de site distant est configure par le biais de l' interface de bouclage. Pour assurer l'accessibilit de l' interface de bouclage dans une conception de type routeur double, redistribuez la boucle du routeur adjacent dans le protocole de routage WAN. Option 1. Ce protocole WAN est l'EIGRP tape 1 : Configurez une liste d'accs afin de limiter la redistribution l'adresse IP de bouclage du routeur adjacent. ip access-list standard R[numro]-LOOPBACK permit [adresse IP de bouclage du routeur adjacent] ! route-map LOOPBACK-ONLY permit 10 match ip address R[numro]-LOOPBACK tape 2 : Configurez le protocole EIGRP de sorte redistribuer l'adresse IP de bouclage du routeur adjacent. Vous devez rgler le routage souche EIGRP afin d'autoriser les routes redistribues. router eigrp [systme autonome] redistribute eigrp 100 route-map LOOPBACK-ONLY eigrp stub connected summary redistributed Option 2. Le protocole WAN est BGP tape 1 : Configurez le protocole BGP de sorte communiquer le rseau de bouclage du routeur adjacent. router bgp 65511 network 10.5.12.0 mask 255.255.255.0 network 10.5.13.0 mask 255.255.255.0 82 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 Dploiement d'une couche de distribution pour un site distant WAN Suivez cet ensemble de procdures pour configurer le routeur CE MPLS d'un site distant WAN MPLS (routeur unique, liaison simple). Cette section dcrit l'ensemble des procdures devant tre suivies pour se connecter une couche de distribution. De mme, vous pouvez utiliser cet ensemble de procdures pour un site distant MPLS double oprateur ou MPLS WAN + DMVPN. Suivez ces procdures pour connecter une couche de distribution un routeur CE MPLS double rle et un routeur satellite DMVPN dans une conception routeur unique et liaison double. Suivez ces procdures lorsque vous connectez une couche de distribution au premier routeur de la conception routeur double et liaison double.
Couche de distribution de routeur CE MPLS de site distant 1. Connexion d'un routeur CE MPLS 2. Configuration du routage EIGRP (ct LAN) 3. Configuration du rseau de transit Procdure
Procdure 1 Connexion d'un routeur CE MPLS Une interface Port Channel de couche 2 se connecte au commutateur de distribution WAN. Cette connexion permet d' inclure plusieurs VLAN EtherChannel, si ncessaire. La configuration suivante cre une liaison EtherChannel entre le routeur et le commutateur, avec deux membres du groupe de canaux. tape 1 : Configurez l' interface Port Channel. Crez l' interface Port Channel. La meilleure pratique consiste, si possible, utiliser la mme numrotation de canal aux deux extrmits de la liaison. interface Port Channel [numro] no ip address tape 2 : Configurez les sous-interfaces Port Channel et attribuez-leur des adresses IP. Aprs avoir activ l' interface physique, faites correspondre les sous- interfaces appropries avec les VLAN du commutateur de couche de distribution. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de simplifier l'ensemble de la configuration. La sous-interface configure sur le routeur correspond une interface VLAN sur un commutateur de couche de distribution. Le routage du trafic s'effectue parmi les priphriques avec un VLAN agissant en tant que liaison point point. interface Port Channel [numro].[numro de la sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse IP] [masque rseau] tape 3 : Activez, au niveau administratif, les membres du groupe Port Channel et attribuez-leur le groupe de canaux appropri. Les plates-formes de routeurs ne peuvent pas toutes prendre en charge le protocole LACP pour ngocier avec le commutateur. Par consquent, EtherChannel doit tre configur de faon statique. interface [type d'interface] [numro] no ip address channel-group [numro] no shutdown Exemple interface Port Channel1 no ip address ! interface Port Channel1.50 encapsulation dot1Q 50 ip address 10.5.0.1 255.255.255.252 ip pim sparse-mode ! interface GigabitEthernet0/1 no ip address 83 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 channel-group 1 no shutdown ! interface GigabitEthernet0/2 no ip address channel-group 1 no shutdown
Procdure 2 Conguration du routage EIGRP (ct LAN) Vous devez configurer un protocole de routage entre le routeur et la couche de distribution. tape 1 : Activez le routeur EIGRP-100. Configurez le routeur EIGRP-100 orient vers la couche de distribution. Dans cette conception, les sous-interfaces de toutes les couches de distribution et de la boucle doivent tre des interfaces EIGRP. Toutes les autres interfaces doivent demeurer passives. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. router eigrp 100 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface [interface] eigrp router-id [adresse IP de Loopback0] no auto-summary tape 2 : Redistribuez le routage BGP vers EIGRP-100. Excutez cette tape sur un routeur CE MPLS uniquement. Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le calcul de cette mesure. router eigrp [numro de systme autonome] default-metric [bande passante] [dlai] 255 1 1500 redistribute bgp 65511
Rfrence relative aux commandes : default-metric mtu de chargement de fiabilit du dlai de bande passante bandwidth : bande passante minimum de la route en kilobits par seconde delay : dlai de la route en diximes de microseconde Conseil l'intention du lecteur Exemple router eigrp 100 default-metric 100000 100 255 1 1500 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface Port Channel1.50 eigrp router-id 10.5.48.254 no auto-summary
Procdure 3 Conguration du rseau de transit Applicable uniquement la conception de type routeur double Configurez le rseau de transit entre deux routeurs. Vous utilisez ce rseau pour la communication de routeur routeur et pour viter le renvoi d'appel. Le rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface EtherChannel qui est dj utilise pour la connexion la couche de distribution. Le rseau de transit doit tre une interface EIGRP non passive. 84 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP et DHCP ne sont donc pas requis. interface Port Channel1.99 description Transit Net encapsulation dot1Q 99 ip address 10.5.0.9 255.255.255.252 ip pim sparse-mode ! router eigrp 100 no passive-interface Port Channel1.99
Couche de distribution du deuxime routeur de site distant 1. Connexion d'un routeur satellite DMVPN 2. Configuration du routage EIGRP (ct LAN) 3. Configuration du rseau de transit Procdure Suivez cet ensemble de procdures pour le site distant WAN MPLS double oprateur d'un site distant MPLS WAN + DMVPN. Suivez ces procdures pour vous connecter une couche de distribution lorsque vous configurez le second routeur de la conception liaison double et double routeur.
Procdure 1 Connexion d'un routeur satellite DMVPN Une interface Port Channel de couche 2 se connecte au commutateur de distribution WAN. Cette connexion permet d' inclure plusieurs VLAN EtherChannel, si ncessaire. La configuration suivante cre une liaison EtherChannel entre le routeur et le commutateur, avec deux membres du groupe de canaux. tape 1 : Configurez l' interface Port Channel. Crez l' interface Port Channel. La meilleure pratique consiste, si possible, utiliser la mme numrotation de canal aux deux extrmits de la liaison. interface Port Channel [numro] no ip address tape 2 : Configurez les sous-interfaces Port Channel et attribuez-leur des adresses IP. Aprs avoir activ l' interface physique, faites correspondre les sous- interfaces appropries avec les VLAN du commutateur de couche de distribution. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de simplifier l'ensemble de la configuration. La sous-interface configure sur le routeur correspond une interface VLAN sur un commutateur de couche de distribution. Le routage du trafic s'effectue parmi les priphriques avec un VLAN agissant en tant que liaison point point. interface Port Channel [numro].[numro de la sous-interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse IP] [masque rseau] tape 3 : Activez les membres du groupe Port Channel et attribuez-leur le groupe de canaux appropri. Les plates-formes de routeurs ne peuvent pas toutes prendre en charge le protocole LACP pour ngocier avec le commutateur. Par consquent, EtherChannel doit tre configur de faon statique. interface [type d'interface] [numro] no ip address channel-group [numro] no shutdown Exemple interface Port Channel2 no ip address ! interface Port Channel2.54 encapsulation dot1Q 54 ip address 10.5.0.5 255.255.255.252 ip pim sparse-mode ! interface GigabitEthernet0/1 no ip address 85 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 channel-group 2 no shutdown ! interface GigabitEthernet0/2 no ip address channel-group 2 no shutdown
Procdure 2 Conguration du routage EIGRP (ct LAN) Vous devez configurer un protocole de routage entre le routeur et la couche de distribution. l' tape 2, l'option 1 s'avre pertinente pour un routeur CE MPLS. Si vous configurez un routeur satellite DMVPN, excutez l'option 2 de l' tape 2. tape 1 : Activez le routeur EIGRP-100. L' EIGRP-100 est configur face la couche de distribution. Dans cette conception, les sous-interfaces de toutes les couches de distribution et de la boucle doivent tre des interfaces EIGRP. Toutes les autres interfaces doivent demeurer passives. La plage rseau doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage. router eigrp [numro de systme autonome] network [rseau] [masque inverse] passive-interface default no passive-interface [interface] eigrp router-id [adresse IP de Loopback0] no auto-summary tape 2 : Configurez votre routeur. Option 1. Redistribuez le protocole BGP dans l'EIGRP-100 (routeur CE MPLS uniquement). Excutez cette tape sur un routeur CE MPLS uniquement. Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le calcul de cette mesure. router eigrp [numro de systme autonome] default-metric [bande passante] [dlai] 255 1 1500 redistribute bgp [ASN BGP]
Rfrence relative aux commandes : default-metric mtu de chargement de fiabilit du dlai de bande passante bandwidth : bande passante minimum de la route en kilobits par seconde delay : dlai de la route en diximes de microseconde Conseil l'intention du lecteur Exemple : option 1, routeur CE MPLS router eigrp 100 default-metric 100000 100 255 1 1500 network 10.5.0.0 0.0.255.255 redistribute bgp 65511 passive-interface default no passive-interface Port Channel2.54 eigrp router-id 10.5.48.253 no auto-summary Option 2. Redistribuez l'EIGRP-200 (DMVPN) dans l'EIGRP-100 (routeur satellite DMVPN uniquement). Excutez cette tape sur le routeur satellite DMVPN uniquement. L' EIGRP-200 est dj configur pour l' interface mGRE DMVPN. Les routes issues de ce processus EIGRP sont redistribues. Le protocole de routage tant identique, aucune mesure par dfaut ne s'avre requise. router eigrp [numro de systme autonome] redistribute eigrp [numro de systme autonome (DMVPN)] Exemple : option 2, routeur satellite DMVPN router eigrp 100 network 10.5.0.0 0.0.255.255 redistribute eigrp 200 passive-interface default no passive-interface Port Channel2.54 eigrp router-id 10.5.0.253 no auto-summary 86 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012
Procdure 3 Conguration du rseau de transit Applicable uniquement la conception de type routeur double Configurez le rseau de transit entre deux routeurs. Vous utilisez ce rseau pour la communication de routeur routeur et pour viter le renvoi d'appel. Le rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface EtherChannel qui est dj utilise pour la connexion la couche de distribution. Le rseau de transit doit tre une interface EIGRP non passive. Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP et DHCP ne sont donc pas requis. interface [type d'interface] [numro].[numro de la sous- interface] encapsulation dot1Q [Marquage VLAN dot1q] ip address [adresse rseau de transit] [masque rseau de transit] Exemple : routeur satellite DMVPN interface Port Channel2.99 description Transit Net encapsulation dot1Q 99 ip address 10.5.0.10 255.255.255.252 ip pim sparse-mode ! router eigrp 100 no passive-interface Port Channel2.99
Configuration du commutateur de couche de distribution WAN de site distant 1. Fin de la configuration universelle du commutateur de distribution 2. Connexion aux routeurs WAN 3. Configuration du routage EIGRP 4. Configuration du VLAN du rseau de transit Procdure
Procdure 1 Fin de la conguration universelle du commutateur de distribution Dans le cadre de ce guide, nous sommes partis du principe que vous avez pralablement configur la couche de distribution. Seules les procdures requises pour effectuer la connexion du commutateur avec les routeurs de priphrique WAN sont incluses. Pour obtenir des dtails sur la configuration du commutateur de couche de distribution, reportez-vous au guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise OrganizationsBorderless Networks.
Procdure 2 Connexion aux routeurs WAN Les interfaces Port Channel se connectent aux routeurs WAN simples ou doubles, et ces connexions sont de type Port Channel de couche 2. La configuration suivante cre une liaison EtherChannel entre le commutateur et un routeur, avec deux membres du groupe de canaux. Cette procdure doit tre rpte pour un routeur WAN supplmentaire, si ncessaire. tape 1 : Crez le VLAN de la liaison du routeur sur le commutateur, crez l' interface VLAN puis attribuez l'adresse IP. Crez le VLAN point point de la liaison du routeur. vlan [numro VLAN] Crez l' interface VLAN et attribuez l'adresse IP de la liaison point point. interface Vlan [numro VLAN] ip address [adresse IP] [masque rseau] no shutdown tape 2 : Configurez l' interface Port Channel et effectuez la configuration de la ligne VLAN 802.1q. La meilleure pratique consiste, si possible, utiliser la mme numrotation de canal aux deux extrmits de la liaison. interface Port Channel [numro] switchport trunk encapsulation dot1q switchport trunk allowed vlan [numro du VLAN] switchport mode trunk tape 3 : Activez, au niveau administratif, les membres du groupe Port Channel et attribuez-leur le groupe de canaux appropri. Effectuez la configuration de la ligne VLAN 802.1. 87 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 Les plates-formes de routeurs ne peuvent pas toutes prendre en charge le protocole LACP pour ngocier avec le commutateur. Par consquent, EtherChannel doit tre configur de faon statique. interface [type d'interface] [numro] switchport trunk encapsulation dot1q switchport trunk allowed vlan [numro du VLAN] switchport mode trunk channel-group [numro] mode on no shutdown Exemple vlan 50 ! interface Port Channel1 description MPLS CE router switchport trunk encapsulation dot1q switchport trunk allowed vlan 50 switchport mode trunk ! interface GigabitEthernet1/0/1 description MPLS CE router port 1 switchport trunk encapsulation dot1q switchport trunk allowed vlan 50 switchport mode trunk channel-group 1 mode on no shutdown ! interface GigabitEthernet2/0/1 description MPLS CE router port 2 switchport trunk encapsulation dot1q switchport trunk allowed vlan 50 switchport mode trunk channel-group 1 mode on no shutdown ! interface Vlan50 ip address 10.5.0.2 255.255.255.252 no shutdown
Procdure 3 Conguration du routage EIGRP Activez l' EIGRP de l'espace d'adresse IP qui sera utilis par le rseau. Si cela s'avre ncessaire pour votre rseau, vous pouvez saisir plusieurs instructions rseau. Dsactivez le rsum automatique des rseaux IP puis activez toutes les liaisons avec routage pour qu'elles soient passives par dfaut. L'adresse IP de bouclage 0 est utilise comme identifiant pour le routeur EIGRP, afin de garantir une rsilience maximum. La conception de couche de distribution logique unique utilise le commutateur avec tat et la transmission sans interruption pour fournir un basculement en quelques fractions de secondes en cas de dfaillance des donnes de supervision ou du plan de contrle. Cette capacit permet de rduire la perte de paquets lors de la commutation vers une logique redondante et de maintenir le flux des paquets lorsque le plan de contrle est toujours intact vers les nuds adjacents. Dans l'approche de couche de distribution avec pile, un point de contrle logique unique continue d'exister et le plan de contrle principal d'une pile peut basculer vers un autre membre de la pile fournissant une rsilience quasiment la seconde ou en quelques fractions de secondes. Lorsque le superviseur ou le commutateur principal d'une plate-forme de distribution migre depuis le mode Actif vers le superviseur de secours immdiat, il continue de commuter les flux de trafic de donnes IP dans le matriel. Toutefois, le superviseur a besoin de temps pour recrer l'appairage bidirectionnel du plan de contrle avec des voisins de routage EIGRP et viter au routeur homologue de supprimer les contiguts dues aux accueils manqus susceptibles de provoquer un racheminement et une interruption du trafic. Un paramtre de transmission sans interruption (NSF) permettant au protocole de routage d'attendre que le commutateur homologue du superviseur double rcupre est propos pour permettre au superviseur de rcuprer ce temps. Le routeur environnant est considr comme reconnaissant la transmission sans interruption s'il comporte une version de l' IOS permettant de reconnatre un homologue NSF. Toutes les plates-formes utilises dans cette conception reconnaissent la transmission sans interruption pour les protocoles de routage utiliss. Vous devez configurer le commutateur de couche de distribution pour activer la transmission sans interruption (NSF) du protocole utilis, pour qu' il puisse signaler un homologue lorsqu' il bascule vers un superviseur de secours immdiat du voisin d'appairage pour lui laisser le temps de recrer le protocole EIGRP dans ce nud. Aucun rglage des temporisateurs de transmission sans interruption (NSF) par dfaut ne s'avre requis sur ce rseau. Rien ne doit tre configur pour un routeur homologue reconnaissant la transmission sans interruption (NSF). router eigrp [numro de systme autonome] network [rseau] [masque inverse] passive-interface default no passive-interface [interface] eigrp router-id [adresse IP de Loopback0] no auto-summary nsf 88 Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012 Exemple router eigrp 100 network 10.5.0.0 0.0.255.255 passive-interface default no passive-interface Vlan50 eigrp router-id 10.5.0.252 no auto-summary nsf
Procdure 4 Conguration du VLAN du rseau de transit Applicable uniquement la conception de type routeur double Vous devez configurer le rseau de transit entre les deux routeurs ; toutefois, une liaison physique entre les routeurs n'est pas ncessaire. la place, utilisez un VLAN de transit. La couche de distribution tend le VLAN au sein des deux EtherChannels de couche 2 existants. La couche de distribution ne participe pas au routage du rseau de transit, afin qu'une interface VLAN ne soit pas ncessaire pour le VLAN du transit. tape 1 : Crez le VLAN de transit sur le commutateur. Crez le VLAN du transit. vlan [numro VLAN] tape 2 : Ajoutez le VLAN de transit l' interface de liaison Port Channel existante et aux membres du groupe de canal. interface Port Channel [numro] switchport trunk allowed vlan add [numro VLAN] ! interface [type d'interface] [numro] switchport trunk allowed vlan add [numro VLAN] Exemple vlan 99 ! interface Port Channel1 switchport trunk allowed vlan add 99 ! interface GigabitEthernet1/0/1 switchport trunk allowed vlan add 99 ! interface GigabitEthernet2/0/1 switchport trunk allowed vlan add 99 89 Dploiement de la qualit de service WAN Srie de fvrier 2012 Dploiement de la qualit de service WAN Lorsque vous configurez la qualit de service de la priphrie WAN, vous dfinissez la manire dont le trafic sort de votre rseau. Il est essentiel que la classification, le marquage et l'allocation de bande passante s'alignent sur l'offre du fournisseur de services pour garantir un traitement de qualit de service cohrent de bout en bout.
Configuration de la qualit de service 1. Cration des mappages de qualit de service pour classer le trafic 2. Cration du mappage de stratgie pour marquer le trafic BGP 3. Ajout du trafic ISAKMP Network-Critical 4. Dfinition du mappage de stratgie pour la stratgie de mise en file d'attente 5. Configuration de la stratgie de qualit de service de l' interface physique 6. Application d'une stratgie de qualit de service sur une interface physique Procdure
Procdure 1 Cration des mappages de qualit de service pour classer le trac Utilisez la commande class-map pour dfinir une classe de trafic et identifier le trafic associer avec le nom de classe. Ces noms de classe sont utiliss lors de la configuration des mappages de stratgie qui dfinissent les actions que vous souhaitez prendre par rapport au type de trafic. La commande class-map dfinit la logique de correspondance. Dans ce cas, le mot-cl match-any indique que les mappages correspondent n' importe quel critre spcifique indiqu. Ce mot-cl est suivi du nom que vous souhaitez attribuer la classe de service Aprs avoir configur la commande class- map , dfinissez des valeurs spcifiques telles que DSCP et les protocoles qui doivent correspondre la commande match . Utilisez les deux formes de la commande match : match dscp et match protocol . Effectuez les tapes ci-dessous pour configurer les mappages de classe WAN requis et les critres correspondants. tape 1 : Crez les mappages de classe pour la correspondance DSCP. Rptez cette tape afin de crer un mappage de classe pour chacune des six classes de service WAN rpertories dans le tableau suivant. Vous n'avez pas besoin de configurer explicitement la classe par dfaut. class-map match-any [nom de mappage de classe] match dscp [valeur dcsp] [valeurs dscp facultatives supplmentaires] Tableau 25 - Classes de service de qualit de service Classe de service Type de trafic Valeurs DSCP % de la bande passante limination d'encombrement VOIX Trafic vocal ef 10 (PQ) - INTERACTIVE- VIDEO Interactive video (video conferencing) cs4, af41 23 (PQ) - CRITICAL- DATA Trs interactif (par exemple, clients lgers Telnet, Citrix, et Oracle) af31, cs3 15 Bas sur DSCP DONNES Donnes af21 19 Bas sur DSCP SCAVENGER Scavenger af11, cs1 5 - NETWORK- CRITICAL Protocoles de routage. Trafic d'exploitation, d'administration et de maintenance (OAM) cs6, cs2 3 - Dfaut Trafic au mieux Autre 25 Alatoire tape 2 : Crez un mappage de classe pour la correspondance de protocole BGP. Le trafic du BGP n'est pas explicitement marqu par une valeur DSCP. Utilisez NBAR pour faire correspondre le BGP en fonction du protocole. Cette tape est uniquement ncessaire dans le cas d'un routeur MPLS CE d'agrgation WAN ou d'un routeur MPLS CE de site distant WAN utilisant le BGP. 90 Dploiement de la qualit de service WAN Srie de fvrier 2012 class-map match-any [nom de mappage de classe] match ip protocol [nom de protocole] Exemple class-map match-any VOICE match dscp ef ! class-map match-any INTERACTIVE-VIDEO match dscp cs4 af41 ! class-map match-any CRITICAL-DATA match dscp af31 cs3 ! class-map match-any DATA match dscp af21 ! class-map match-any SCAVENGER match dscp af11 cs1 ! class-map match-any NETWORK-CRITICAL match dscp cs6 cs2 ! class-map match-any BGP-ROUTING match protocol bgp
Il n'est pas ncessaire de configurer un service au mieux. En effet, elle est incluse implicitement dans la classe par dfaut, comme cela est dcrit dans la Procdure 4. Conseil l'intention des techniciens
Procdure 2 Cration du mappage de stratgie pour marquer le trac BGP Cette procdure est uniquement ncessaire dans le cas d'un routeur MPLS CE d'agrgation WAN ou d'un routeur MPLS CE de site distant WAN utilisant le BGP. Pour garantir un traitement appropri du routage du trafic par BGP dans le WAN, vous devez attribuer au DSCP une valeur de cs6. Mme si le mappage de classe que vous avez cr l' tape prcdente correspond la totalit du trafic du BGP vers la classe appele BGP , vous devez configurer un mappage de stratgie afin d'attribuer la valeur DSCP requise tout le trafic du BGP. policy-map MARK-BGP class BGP-ROUTING set dscp cs6
Procdure 3 Ajout du trac ISAKMP Network-Critical Pour une connexion WAN l'aide du DMVPN, vous devez garantir un traitement adquat du trafic ISAKMP sur le WAN. Le classement de ce trafic requiert la cration d'une liste d'accs et l'ajout de ce nom au mappage de classe NETWORK-CRITICAL cr lors de la premire procdure. Cette procdure est ncessaire uniquement dans le cas de l'utilisation d'un routeur concentrateur DMVPN d'agrgation WAN ou d'un routeur satellite DMVPN de site distant WAN. tape 1 : Crez la liste d'accs. ip access-list extended ISAKMP permit udp any eq isakmp any eq isakmp tape 2 : Ajoutez le critre de correspondance au mappage de classe NETWORK-CRITICAL existant. class-map match-any NETWORK-CRITICAL match access-group name ISAKMP 91 Dploiement de la qualit de service WAN Srie de fvrier 2012
Procdure 4 Dnition du mappage de stratgie pour la stratgie de mise en le d'attente Cette procdure s'applique tous les routeurs WAN. Le mappage de stratgie du WAN rpertorie les noms de classe que vous avez crs lors des procdures prcdentes et dfinit le comportement de la mise en file d'attente ainsi que le maximum de bande passante garantie alloue chaque classe. Vous pouvez dfinir cette caractristique au moyen du mappage de stratgie. Ensuite, chaque classe du mappage de stratgie appelle une queue de sortie, alloue un taux de bande passante et associe une classe de trafic spcifique la file d'attente. Une classe supplmentaire par dfaut dfinit le minimum de bande passante alloue disponible pour le trafic au mieux. Les mappages de stratgie du routeur local permettent de dfinir sept classes alors que la plupart des fournisseurs de services n'en proposent que six. La dfinition du mappage de stratgie NETWORK-CRITICAL permet de garantir la classification, le marquage et la mise en file du trafic important pour le rseau en sortie vers le WAN. Aprs la transmission du trafic au fournisseur de services, celui-ci remet gnralement en correspondance le trafic important pour le rseau dans la classe de donnes sensibles. La plupart des fournisseurs de services effectuent cette opration par le bais de la mise en correspondance des valeurs DSCP cs6 et cs2. tape 1 : Crez le mappage de stratgie parent. policy-map [nom de mappage de stratgie] Les tapes 2 6 sont rptes pour chaque classe dans le Table 25, y compris la classe par dfaut. tape 2 : Appliquez le mappage de classe cr prcdemment. class [nom de classe] tape 3 : (Facultatif) Allouez le maximum de bande passante garantie la classe. bandwidth percent [pourcentage] tape 4 : (Facultatif) Dfinissez la file d'attente prioritaire de la classe. priority percent [pourcentage] tape 5 : (Facultatif) Appliquez la stratgie de service enfant. Il s'agit d'une tape facultative s'appliquant uniquement la classe de service NETWORK-CRITICAL comportant une stratgie de service enfant MARK-BGP. service-policy [nom du mappage de stratgie] tape 6 : (Facultatif) Dfinissez le mcanisme d'encombrement. random-detect [type] Exemple policy-map WAN class VOICE priority percent 10 class INTERACTIVE-VIDEO priority percent 23 class CRITICAL-DATA bandwidth percent 15 random-detect dscp-based class DATA bandwidth percent 19 random-detect dscp-based class SCAVENGER bandwidth percent 5 class NETWORK-CRITICAL bandwidth percent 3 service-policy MARK-BGP class class-default bandwidth percent 25 random-detect
Mme si ces allocations de bande passante reprsentent une base de rfrence solide, il est important de prendre en compte vos besoins en trafic rels par classe et d'ajuster la bande passante en consquence. Conseil l'intention des techniciens 92 Dploiement de la qualit de service WAN Srie de fvrier 2012
Procdure 5 Conguration de la stratgie de qualit de service de l'interface physique Avec des interfaces du WAN reposant sur Ethernet en tant que technologie d'accs, il est possible que le point de dmarcation entre l'entreprise et le fournisseur de services ne comporte plus de contraintes de bande passante quant l' interface physique. Au contraire, il existe un accord avec le fournisseur de services en ce qui concerne les besoins spcifiques en bande passante. Pour garantir que la charge propose au fournisseur de services ne dpasse pas le dbit figurant dans le contrat et ne provoque pas de rejet du trafic par l'oprateur, vous devez configurer la mise en forme sur l' interface physique. Cette mise en forme s'effectue grce une stratgie de qualit de service. Configurez une stratgie de qualit de service l'extrieur de l' interface Ethernet. Cette stratgie parent inclut une mise en forme qui spcifie ensuite une deuxime stratgie ou une stratgie subalterne (enfant) qui permet la mise en file d'attente dans les limites du dbit dfini. Cette configuration est appele HCBWFQ (Hierarchical Class-Based Weighted Fair Queuing, mise en file d'attente quitable pondre reposant sur la classe hirarchique). Lorsque vous configurez la commande shape average , assurez-vous que la valeur correspond au dbit de bande passante indiqu dans le contrat pass avec votre fournisseur de services. Cette procdure s'applique tous les routeurs WAN. Vous pouvez rpter cette procdure de nombreuses fois afin de prendre en charge des priphriques comportant plusieurs connexions WAN associes diffrentes interfaces. tape 1 : Crez le mappage de stratgie parent. L'une des meilleures pratiques consiste intgrer le nom de mappage de stratgie parent. policy-map [nom de mappage de stratgie] tape 2 : Configurez la mise en forme. class [nom de classe] shape [moyen | maximal] [bande passante (Kbit/s)] tape 3 : Appliquez la stratgie de service enfant. policy-map [nom de mappage de stratgie] Exemple L'exemple suivant montre un routeur avec une liaison de 20 Mbit/s sur l' interface GigabitEthernet0/0 et une liaison de 10 Mbit/s sur l' interface GigabitEthernet0/1. policy-map WAN-INTERFACE-G0/0 class class-default shape average 20000000 service-policy WAN ! policy-map WAN-INTERFACE-G0/1 class class-default shape average 10000000 service-policy WAN
Procdure 6 Application d'une stratgie de qualit de service sur une interface physique Pour appeler la mise en forme et la mise en file d'attente sur une interface physique, vous devez appliquer la stratgie parent configure lors de la procdure prcdente. Cette procdure s'applique tous les routeurs WAN. Vous pouvez rpter cette procdure de nombreuses fois afin de prendre en charge des priphriques comportant plusieurs connexions WAN associes diffrentes interfaces. tape 1 : Slectionnez l' interface WAN. interface [type d'interface] [numro] tape 2 : Appliquez la stratgie de qualit de service du WAN. La stratgie de service doit tre applique vers la sortie. service-policy output [nom du mappage de stratgie] Exemple interface GigabitEthernet0/0 service-policy output WAN-INTERFACE-G0/0 ! interface GigabitEthernet0/1 service-policy output WAN-INTERFACE-G0/1 93 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Dploiement de l'optimisation des applications avec le WAAS Prsentation commerciale Le nombre de sites professionnels distants s'accrot. Par consquent, les administrateurs rseau ont besoin d'outils pour assurer de bonnes performances applicatives sur les sites distants. Les tendances rcentes montrent que le nombre de sites distants augmente et que la majorit des nouveaux salaris travaillent sur des sites distants. Ces tendances sont associes l'expansion internationale, l'attraction et la fidlisation des employs, aux fusions et acquisitions, la rduction des cots et aux proccupations environnementales. En attendant, les besoins en communications des sites distants voluent et ont pour rsultat l'adoption d'applications collaboratives, de la vido et des technologies Web 2.0. De ce fait, les sites distants et le WAN doivent galement faire face une pression croissante en termes de performances. La tendance des entreprises la consolidation du data center se poursuit galement. Les efforts de consolidation dplacent la plupart des ressources des sites distants vers des data center, en grande partie afin de se conformer aux obligations rglementaires portant sur la scurit centralise et le contrle renforc des donnes d'entreprise. La consolidation des data center, paralllement l'augmentation des effectifs des sites distants, signifie qu'un nombre croissant d'employs distants accdent des applications d'entreprise bases sur le LAN par le biais de WAN relativement lents. Ces applications tant de plus en plus centres sur les multimdias et sensibles la latence, le nouveau dfi du personnel rseau et informatique consiste maintenir les temps de rponse des applications distantes au mme niveau que ceux des utilisateurs situs proximit des serveurs d'applications de la socit, dans le data center. Ces utilisateurs locaux bnficient de vitesses LAN de plusieurs mgabits et ne sont pas affects par les dlais dus la distance, contrairement leurs collgues situs l'autre extrmit d'une connexion WAN. L'optimisation de l'application peut dynamiser les performances rseau tout en optimisant la scurit et en amliorant la mise disposition des applications. L'optimisation WAN Cisco est une solution architecturale constitue d'un ensemble d'outils et de techniques associs en une approche systme stratgique. Ceux-ci offrent une optimisation WAN de pointe extrmement performante, tout en rduisant son cot total d'acquisition. Prsentation de la technologie Agrgation WAN Les sites d'agrgation WAN utilisent un cluster de deux priphriques WAE ou plus, afin de fournir des fonctionnalits WAAS. Les dispositifs WAE se connectent au commutateur de couche de distribution. Les connexions utilisent EtherChannel la fois pour une rsilience et un dbit accrus. Les WAE se connectent au rseau de services WAN qui est configur sur le commutateur de couche de distribution. La conception WAN 500 utilise un cluster de priphriques WAE-7371. Au moins deux priphriques sont requis (pour une redondance N+1). De mme, la conception WAN 100 utilise un cluster de priphriques WAE-7341, avec au moins deux priphriques requis (pour une redondance N+1). Pour plus d' informations sur le dimensionnement WAE, consultez le tableau ci-aprs. Les chiffres concernant le facteur de charge de sortie (fan-out) correspondent au nombre total de priphriques WAE des homologues distants. Tableau 26 - Options WAE de l'agrgation WAN Priphrique Nombre maximal de connexions TCP optimises Nombre maximal de liaisons WAN recommandes [Mbit/s] Dbit optimis maximal [Mbit/s] Facteur de charge de sortie maximal du cur [Homologues] WAVE-594-8GB 750 50 250 50 WAVE-594-12GB 1300 100 300 100 WAE-694-16GB 2500 200 450 150 WAE-694-24GB 6000 200 500 300 WAE-7341 12000 310 1000 1400 WAE-7371 50000 1000 2500 2800 WAVE-7541 18000 500 1000 700 WAVE-7571 60000 1000 2000 1400 WAVE-8541 150000 2000 4000 2800 Un outil de dimensionnement WAAS plus complet et plus interactif est disposition des utilisateurs inscrits sur www.cisco.com : http: //tools.cisco.com/WAAS/sizing WCCP est un protocole dvelopp par Cisco. Son but est d' interprter et de racheminer le trafic en toute transparence partir d'un priphrique rseau vers un appareil WCCP tel qu'un WAE excutant WAAS (voir ci-dessous). 94 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 WCCP est activ sur les routeurs MPLS CE et DMVPN. La redirection WCCP utilise les groupes de services 61 et 62 pour faire correspondre le trafic afin de le racheminer. Ces groupes de services doivent tre utiliss par paires : Le groupe de services 61 utilise l'adresse source pour racheminer le trafic. Le groupe de services 62 utilise l'adresse de destination pour racheminer le trafic. Cette conception utilise le WCCP 61 entrant sur les interfaces orientes LAN et a pour but de faire correspondre entre elles les donnes non optimises provenant du data center et destines aux clients sur les sites distants du WAN. Le WCCP 62 est utilis en mode entrant sur les interfaces orientes WAN et fait correspondre les donnes optimises provenant des sites distants WAN. Le WCCP 62 est utilis en mode sortant sur les interfaces LAN pour les routeurs concentrateurs DMVPN. Les connexions du commutateur aux routeurs MPLS CE et DMVPN sont toutes des liaisons achemines point point. Cette conception impose l'utilisation d'un tunnel avec retour ngoci GRE du WAE au routeur. Lorsqu'une conception utilise un retour ngoci du GRE, il n'est pas ncessaire d' tendre le VLAN des services WAN pour inclure les routeurs MPLS CE et DMVPN. Figure 30 - Agrgation WAN Topologie WAAS Sites distants La conception de l'optimisation WAN pour sites distants peut subir des variations en fonction des caractristiques spcifiques prsentes sur le site. Un seul routeur utilise un seul WAE (non redondant). De mme, tous les sites avec double routeur utilisent deux WAE. Les conditions spcifiques du dimensionnement et du format WAE dpendent principalement du nombre d'utilisateurs finaux et de la bande passante sur les liaisons WAN. Les sites avec une seule liaison, un seul routeur et une bande passante faible (< 2 Mbit/s) peuvent aussi utiliser la fonctionnalit intgre WAASx du routeur. Lors du choix de la plate-forme d'optimisation WAN du site distant WAN, de nombreux facteurs entrent en ligne de compte. Le principal paramtre dfinir concerne la bande passante de la liaison WAN. Une fois que vous avez dtermin les besoins en bande passante, l' lment suivant prendre en compte est le nombre maximal de connexions TCP simultanes et optimises. Pour plus d' informations sur le dimensionnement WAE, consultez le tableau ci-aprs. Les chiffres de dbit optimis correspondent la bande passante apparente disponible aprs une optimisation russie effectue par le WAAS. Tableau 27 - Options WAE de site distant WAN Priphrique Nombre maximal de connexions TCP optimises Nombre maximal de liaisons WAN recommandes [Mbit/s] Dbit optimis maximal [Mbit/s] Cisco1941/WAASX 1 150 4 8 SRE-700-S 200 20 200 SRE-700-M 500 20 200 SRE-900-S 200 50 300 SRE-900-M 500 50 300 SRE-900-L 1000 50 300 WAVE-294-4GB 200 10 100 WAVE-294-8GB 500 20 150 WAVE-594-8GB 750 50 250 WAVE-594-12GB 1300 100 300 WAE-694-16GB 2500 200 450 WAE-694-24GB 6000 200 500 WAE-7341 12000 310 1000 WAE-7371 50000 1000 2500 WAVE-7541 18000 500 1000 WAVE-7571 60000 1000 2000 WAVE-8541 150000 2000 4000 Remarques : 1. Conception une seule liaison uniquement Cluster WAAS WAE Agrgation WAN - Topologie WAAS wccp 61 (depuis le LAN) 62 (d i l WAN) Redirection WCCP en entre : wccp 62 (depuis le WAN) Tunnel GRE ngoci Distribution WAN wccp 62 (depuis le WAN) Redirection WCCP en sortie : Routeur concentrateur DMVPN P i h i I Routeurs CE Priphrie Internet WAN WAN 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 23 Internet DMVPN 95 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Un outil de dimensionnement WAAS plus complet et plus interactif est disposition des utilisateurs inscrits sur www.cisco.com : http: //tools.cisco.com/WAAS/sizing Le routeur intgr WAASx fournit un sous-ensemble des fonctionnalits compltes WAAS disponibles sur les plate-formes WAE. La version actuelle du logiciel WAASx, compatible avec les conceptions WAN liaison unique, est galement conomique et facile dployer. Aucun changement de conception ou d'architecture n'est ncessaire pour activer cette fonctionnalit sur le routeur. Figure 31 - Site distant WAN - Topologie WAASx Les formats WAE dont nous avons discut prcdemment incluent un routeur SRE et un appareil externe. Ces variantes excutent toutes le mme logiciel WAAS et les fonctionnalits sont quivalentes. La principale diffrence est constitue par la mthode de connexion au rseau LAN de ces deux priphriques : SRE : une interface interne (connexion par routeur uniquement), une interface externe Appareil : deux interfaces (toutes deux externes) L'approche quant la connexion des priphriques WAE au LAN doit tre cohrente, quel que soit le format de matriel choisi. Toutes les connexions WAE s'effectuent par le biais des interfaces externes. L'avantage de cette mthode est qu' il n'est pas ncessaire de crer un rseau ddi pour connecter spcifiquement les priphriques WAE. En outre, le SRE et les priphriques des appareils peuvent utiliser une conception identique. L' interface interne du SRE n'est pas utilise pour cette conception, sauf pour la fonction Bootstrap initiale de la configuration des priphriques. Pour cette solution, vous devez connecter un cble Ethernet externe partir de chaque module SRE. Vous devez connecter les priphriques WAE au VLAN donnes du commutateur d'accs dans toutes les conceptions plates de couche 2. Figure 32 - Site distant WAN Topologie WAAS (connexion de la couche d'accs) Lorsque le dploiement utilise une conception de couche de distribution, les priphriques WAE doivent se connecter au VLAN donnes principal sur le commutateur de couche de distribution. Site distant WAN WAASx WAN Routeur WAASx Interface WAAS Vlan65 Donnes sans fil Vlan64 - Donnes Vlan70 Voix sans fil Vlan69 - Voix 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 24 Site distant WAN Topologie WAAS (connexion de la couche d'accs) wccp 61 (depuis le LAN) Redirection WCCP en entre : Tunnel GRE ngoci WAN WAN p ( p ) wccp 62 (depuis le WAN) Vlan99 Transit Cluster WAAS WAE WAE WAAS Vlan65 Donnes sans fil Vlan64 - Donnes Vlan99 - Transit Vlan65 Donnes sans fil Vlan64 - Donnes Vlan70 Voix sans fil Vlan69 - Voix Vlan70 Voix sans fil Vlan69 - Voix 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 25 96 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Figure 33 - Site distant WAN Topologie WAAS (connexion de la couche de distribution) Si possible, connectez les appareils WAE par le biais des deux interfaces au moyen d' EtherChannel, pour une rsilience et des performances accrues. Afin de permettre la redirection du trafic vers les appareils WAAS, WCCP Version 2 est activ sur les routeurs WAN. La redirection WCCP utilise les groupes de services 61 et 62 pour faire correspondre le trafic afin de le racheminer. Ces groupes de services doivent tre utiliss par paires : Le groupe de services 61 utilise l'adresse source pour racheminer le trafic. Le groupe de services 62 utilise l'adresse de destination pour racheminer le trafic. Cette conception utilise WCCP 61 en entre sur les sous-interfaces VLAN orientes LAN afin de faire correspondre les donnes non optimises provenant des clients et destines au data center (ou d'autres sites distants). Dans tous les cas, WCCP 62 est utilis en entre pour les interfaces orientes WAN afin de faire correspondre les donnes optimises provenant du data center (ou d'autres sites distants). Le WAE est connect aux donnes VLAN. Par consquent, cette conception exige l'utilisation d'un tunnel avec retour ngoci GRE partir du WAE vers le routeur. Lorsque vous utilisez un retour ngoci GRE, il n'est pas ncessaire de crer un nouveau rseau sur les routeurs pour connecter spcifiquement les WAE. Les tapes suivantes constituent une prsentation des tches requises pour la configuration d'un environnement WAAS de base.
Configuration WAAS/WAE 1. Installation de la machine virtuelle vWAAS 2. Configuration du Gestionnaire central WAAS 3. Configuration du commutateur pour les appareils WAE 4. Configuration des priphriques d'appareils WAE 5. Configuration des priphriques WAE SRE 6. Configuration des commutateurs distants pour les priphriques WAE 7. Configuration du protocole WCCPv2 sur des routeurs 8. Configuration du Gestionnaire central pour WAASx 9. Configuration des routeurs WAAS Express Procdure
Procdure 1 Installation de la machine virtuelle vWAAS Cette procdure est facultative et uniquement requise si vous utilisez un vWAAS (Virtual WAAS, WAAS virtuel). vWAAS est fourni en tant qu'OVA (Open Virtual Appliance, appareil virtuel ouvert). L'OVA est prconditionn. Il comporte un disque, une mmoire, une unit centrale, des cartes d' interface rseau et fonctionne avec des paramtres de configuration lis la machine virtuelle. C'est une norme du secteur et de nombreux appareils virtuels sont disponibles dans ce format. Un fichier OVA diffrent est fourni pour chaque modle vWAAS.
Les fichiers OVA sont disponibles uniquement au format DVD et ne peuvent pas tre tlchargs sur www.cisco.com pour le moment. Conseil l'intention des techniciens Site distant WAN Topologie WAAS (connexion de la couche de distribution) WAN wccp 61 (depuis le LAN) Redirection WCCP en entre : Tunnel GRE ngoci Cluster WAAS WAE p ( p ) wccp 62 (depuis le WAN) Vlan54 Liaison routeur Vlan50 Liaison routeur Vlan99 Transit Vlan65 Donnes sans fil Vlan100 Donnes (principal) Vlan64 - Donnes Vlanxx - Donnes Vlan70 Voix sans fil 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 26 Vlan69 - Voix Vlanxx - Voix 97 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 1 : Dployez un modle OVF avec le client VMWare vSphere. Vous devez d'abord installer vWAAS OVA sur le serveur VMware ESX/ESXi l'aide de vSphere avant de configurer le vWAAS. tape 2 : Configurez le priphrique l'aide de la console VMware. Les procdures et les tapes de configuration du Gestionnaire central vWAAS et des priphriques de l'acclrateur d'applications vWAAS sont identiques ceux des formats d'appareil WAE et SRE. Slectionnez la procdure approprie ci-aprs pour terminer la configuration vWAAS.
Procdure 2 Conguration du Gestionnaire central WAAS Un priphrique Cisco WAVE-574 est utilis pour le Gestionnaire central sur le site principal dans le but de fournir la gestion, la configuration et les rapports sur le rseau WAAS sous forme graphique. Ce priphrique rside dans la batterie de serveurs car il ne se trouve pas directement dans le chemin de transfert de l'optimisation WAN. Cependant, il fournit des services de gestion et de surveillance. La configuration initiale du Gestionnaire central ncessite un accs terminal au port de la console pour les options de configuration de base et l'affectation d'adresses IP. Pour tous les priphriques WAE, le nom d'utilisateur par dfaut en sortie d'usine est admin et le mot de passe par dfaut en sortie d'usine est default . L'utilitaire de configuration initiale peut tre dmarr partir de la ligne de commande en entrant la commande setup . tape 1 : Effectuez la configuration. Parameter Default Value 1. Device Mode Application Accelerator 2. Interception Method WCCP 3. Time Zone UTC 0 0 4. Management Interface GigabitEthernet 1/0 5. Autosense Enabled 6. DHCP Enabled ESC Quit ? Help WAAS Default Configuration
Press y to select above defaults, n to configure all, <1-6>
to change specific default [y]: n tape 2 : Configurez en tant que Gestionnaire central. 1. Acclrateur d'applications 2. Central Manager Select device mode [1]: 2 tape 3 : Configurez le fuseau horaire. Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0 0]: PST -8 0 tape 4 : Configurez l' interface de gestion, l'adresse IP et la passerelle par dfaut. No. Interface Name IP Address Network Mask 1. GigabitEthernet 1/0 dhcp 2. GigabitEthernet 2/0 dhcp Select Management Interface [1]: 1 Enable Autosense for Management Interface? (y/n)[y]: y Enable DHCP for Management Interface? (y/n)[y]: n Enter Management Interface IP Address <a.b.c.d or a.b.c.d/X(optional mask bits)> [Non configure]: 10.4.48.100/24 Enter Default Gateway IP Address [Non configure]: 10.4.48.1 tape 5 : Configurez les paramtres du DNS, de l' hte et du NTP. Enter Domain Name Server IP Address [Non configure]: 10.4.48.10 Enter Domain Name(s) (Not configured): cisco.local Enter Host Name (Aucun): WAAS-WCM-1 Enter NTP Server IP Address [Aucune]: 10.4.48.17 tape 6 : Slectionnez la licence approprie. The product supports the following licenses: 1. Entreprise Enter the license(s) you purchased [1]: 1 98 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 7 : Vrifiez les paramtres de configuration et lancez le rechargement. Parameter Configured Value 1. Device Mode Central Manager 2. Time Zone PST -8 0 3. Management Interface GigabitEthernet 1/0 4. Autosense Enabled 5. DHCP Disabled 6. IP Address 10.4.48.100 7. IP Network Mask 255.255.255.0 8. IP Default Gateway 10.4.48.1 9. DNS IP Address 10.4.48.10 10. Domain Name(s) cisco.local 11. Host Name WAAS-WCM-1 12. NTP Server Address 10.4.48.17 13. License Enterprise ESC Quit ? Help ! CLI WAAS Final Configuration
Press y to select configuration, d to toggle defaults
display, <1-13> to change specific parameter [y]: y Apply WAAS Configuration: Device Mode changed in SETUP; New configuration takes effect after a reload. If applicable, registration with CM, CM IP address, WAAS WCCP configuration etc, are applied after the reboot. Initiate system reload? <y/n> [n] y Are you sure? <y/n> [n]: y tape 8 : Aprs le redmarrage, connectez-vous au Gestionnaire central WAAS et activez les connexions SSH. Pour activer les connexions SSH, vous devez gnrer la cl RSA et activer le service sshd. ssh-key-generate key-length 2048 sshd version 2 sshd enable tape 9 : Dsactivez telnet. no telnet enable tape 10 : Accdez au Gestionnaire central WAAS par le biais de l' interface Web. Le priphrique Gestionnaire central doit prsent fonctionner une fois le rechargement termin et tre accessible par le biais d'un navigateur Web l'adresse IP affecte l' tape 6 de l'utilitaire de configuration, ou au nom d' hte associ s' il a t configur dans DNS. Pour accder au Gestionnaire central, prcisez le protocole HTTP scuris et le numro de port 8443, par exemple : https: //10.4.48.100:8443. Connectez-vous au moyen du nom d'utilisateur par dfaut admin et du mot de passe par dfaut default . tape 11 : Dans le menu My WAN (Mon WAN), cliquez sur l'option Manage devices (Gestion de priphriques). Le Gestionnaire central apparat dans la fentre My WAN en tant que seul priphrique administrable. Figure 34 - Gestionnaire central WAAS - Liste initiale des priphriques administrables 99 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 12 : Configurez le groupe d'utilisateurs Network-Admins. L' interface Web du Gestionnaire central ncessite un groupe d'utilisateurs avec une attribution du rle concern afin de permettre une autorisation des utilisateurs partir d'une base de donnes AAA externe. Cette tape, qui ne peut tre effectue qu' partir de l' interface Web, doit tre effectue avant d'activer AAA dans l' tape suivante. Dans le menu Admin, puis dans le sous-menu AAA, cliquez sur l'option User groups (Groupes d'utilisateurs). Dans le menu Create (Crer), puis dans le champ Name (Nom), saisissez un nom. Ce nom, sensible la casse, doit correspondre exactement au nom de groupe utilis sur le serveur AAA. Par exemple, c'est le cas du nom Network Admins dans le cadre de cette mise en uvre. Aprs avoir cr le groupe, cliquez sur l'onglet Role management (Gestion du rle), puis sur l'option X pour attribuer le rle. Aprs avoir attribu correctement un rle, une grande coche verte apparat ct de l' icne. 100 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 13 : Configurez l'authentification utilisateur scurise. Activez l'authentification AAA pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques WAAS/WAE (connexions SSH et HTTPS). Un utilisateur administratif local a t cr sur WAAS/WAE pendant la configuration. Ce compte d'utilisateur permet de grer le priphrique si le serveur centralis TACACS+ n'est pas disponible ou si votre organisation ne dispose pas de serveur TACACS+.
Les informations concernant la configuration AAA prsentes concernent uniquement les priphriques WAAS. Une configuration supplmentaire est ncessaire sur le serveur AAA pour permettre une autorisation des utilisateurs russie. Ne configurez pas d'authentification des utilisateurs scurise avant d'avoir effectu les tapes ncessaires prsentes dans le guide Cisco SBA for Enterprise OrganizationsBorderless Networks Network Device Authentication and Authorization Deployment Guide. Conseil l'intention des techniciens Les tapes suivantes permettent de configurer le serveur TACACS+ en tant que principale mthode d'authentification des utilisateurs (connexion) et d'autorisation des utilisateurs (configuration). tacacs key SecretKey tacacs password ascii tacacs host 10.4.48.15 primary ! authentication login local enable secondary authentication login tacacs enable primary authentication configuration local enable secondary authentication configuration tacacs enable primary authentication fail-over server-unreachable tape 14 : Aprs avoir apport des changements la configuration, enregistrez-la. copy running-config startup-config
Procdure 3 Conguration du commutateur pour les appareils WAE Le commutateur de distribution WAN est l'emplacement appropri qui permet de connecter physiquement les priphriques sur le site d'agrgation WAN, par exemple les appareils WAE qui prennent en charge l'optimisation WAN. Ce type de priphrique exige une connexion rsiliente mais pas de protocole de routage. Ce type de connexion peut utiliser une liaison EtherChannel de couche 2. Dans le cadre de ce guide, nous sommes partis du principe que vous avez pralablement configur la couche de distribution. Seules les procdures requises pour terminer la connexion du commutateur aux appareils WAE sont incluses. Pour plus d' informations sur la configuration du commutateur de couche de distribution, reportez-vous au guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise OrganizationsBorderless Networks. cette occasion, vous devez crer un VLAN et un SVI, ainsi que pour d'autres priphriques prsentant des exigences de connectivit similaires. Ce VLAN correspond au rseau de service WAN. tape 1 : Crez le VLAN et le SVI. vlan [numro VLAN] name [nom VLAN] ! interface Vlan [numro VLAN] ip address [adresse IP] [masque rseau] no shutdown tape 2 : Configurez les liaisons EtherChannel de couche 2 des priphriques et associez-les au VLAN. interface Port Channel [numro] switchport access vlan [numro VLAN] ! interface [type] [number] switchport access vlan [numro VLAN] channel-group [numro] mode on no shutdown 101 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Exemple vlan 350 name WAN_Service_Net ! interface Port Channel7 description bn-wae-1 EtherChannel switchport access vlan 350 ! interface GigabitEthernet1/0/2 description bn-wae-1 port 1 switchport access vlan 350 channel-group 7 mode on no shutdown ! interface GigabitEthernet2/0/2 description bn-wae-1 port 2 switchport access vlan 350 channel-group 7 mode on no shutdown ! interface Vlan350 ip address 10.4.32.129 255.255.255.192 no shutdown
Procdure 4 Conguration des priphriques d'appareils WAE Un cluster d'appareils Cisco WAE-7341 est dploy sur le site d'agrgation WAN afin de fournir la terminaison de tte de rseau pour le trafic WAAS entrant et sortant qui provient des sites distants sur le WAN. Connectez ces priphriques directement sur le commutateur des couches de distribution WAN l'aide du retour ngoci GRE afin de communiquer avec les routeurs WCCP. Vous pouvez aussi dployer les appareils WAE sur les sites distants WAN individuellement ou dans le cadre d'un cluster WAE. Vous devez suivre cette procdure pour configurer les appareils WAE des sites distants WAN. Vous utilisez le mme utilitaire de configuration utilis pour la configuration initiale du Gestionnaire central WAAS pour configurer les priphriques des appareils WAE. Pour attribuer les paramtres initiaux, les priphriques ne ncessitent qu'une configuration de base, par le biais de leur port de console. Aprs avoir termin cette configuration, vous pouvez entirement grer le rseau WAAS par le biais de la console du Gestionnaire central WAAS. La configuration initiale des acclrateurs d'applications WAE ncessite un accs du terminal au port de la console pour les options de configuration de base et l'affectation d'adresses IP. Pour tous les priphriques WAE, le nom d'utilisateur par dfaut en sortie d'usine est admin et le mot de passe par dfaut en sortie d'usine est default . Les tapes de configuration de l'utilitaire de configuration pour les acclrateurs d'application WAE sont similaires celles du Gestionnaire central, sauf la numrotation des tapes qui change aprs la slection de l'acclrateur d'application en tant que mode de priphrique l' tape 2. Une fois ce mode choisi, le script de configuration change pour vous permettre d'enregistrer le WAE auprs du Gestionnaire central, puis de dfinir la mthode d' interception du trafic (WCCP). tape 1 : Effectuez la configuration. L'utilitaire de configuration initiale peut tre dmarr partir de la ligne de commande en entrant la commande setup . Parameter Default Value 1. Device Mode Application Accelerator 2. Interception Method WCCP 3. Time Zone UTC 0 0 4. Management Interface GigabitEthernet 1/0 5. Autosense Enabled 6. DHCP Enabled ESC Quit ? Help WAAS Default Configuration
Press y to select above defaults, n to configure all, <1-6>
to change specific default [y]: n tape 2 : Configurez en tant qu'acclrateur d'applications. 1. Acclrateur d'applications 2. Central Manager Select device mode [1]: 1 tape 3 : Configurez la mthode d' interception. 1. WCCP 2. Other Select Interception Method [1]: 1 tape 4 : Configurez le fuseau horaire. Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0 0]: PST -8 0 102 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 5 : Configurez l' interface de gestion, l'adresse IP et la passerelle par dfaut. No. Interface Name IP Address Network Mask 1. GigabitEthernet 1/0 dhcp 2. GigabitEthernet 2/0 dhcp Select Management Interface [1]: 1 Enable Autosense for Management Interface? (y/n)[y]: y Enable DHCP for Management Interface? (y/n)[y]: n Enter Management Interface IP Address <a.b.c.d or a.b.c.d/X(optional mask bits)> [Non configure]: 10.4.32.161/26 Enter Default Gateway IP Address [Non configure]: 10.4.32.129 Enter Central Manager IP Address (WARNING: An invalid entry will cause SETUP to take a long time when applying WAAS configuration) [Aucune]: 10.4.48.100 tape 6 : Configurez les paramtres du DNS, de l' hte et du NTP. Enter Domain Name Server IP Address [Non configure]: 10.4.48.10 Enter Domain Name(s) (Not configured): cisco.local Enter Host Name (None): WAE7341-1 Enter NTP Server IP Address [Aucune]: 10.4.48.17 tape 7 : Configurez la liste du routeur WCCP. Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []: 10.4.32.241 10.4.32.242 10.4.32.243 tape 8 : Slectionnez la licence approprie. The product supports the following licenses: 1. Transport 2. Entreprise 3. Enterprise & Video 4. Enterprise & Virtual-Blade 5. Enterprise, Video & Virtual-Blade Enter the license(s) you purchased [2]: 2 tape 9 : Vrifiez les paramtres de configuration. Parameter Configured Value 2. Interception Method WCCP 3. Time Zone PST -8 0 4. Management Interface GigabitEthernet 1/0 5. Autosense Enabled 6. DHCP Disabled 7. IP Address 10.4.32.161 8. IP Network Mask 255.255.255.192 9. IP Default Gateway 10.4.32.129 10. CM IP Address 10.4.48.100 11. DNS IP Address 10.4.48.10 12. Domain Name(s) cisco.local 13. Host Name WAE7341-1 14. NTP Server Address 10.4.48.17 15. WCCP Router List 10.4.32.241 10.4.32.242 10.4.32.243 16. License Enterprise ESC Quit ? Help ! CLI WAAS Final Configuration
Press y to select configuration, <F2> to see all configuration,
d to toggle defaults display, <1-16> to change specific parameter [y]: y Applying WAAS configuration on WAE ... May take a few seconds to complete ... Si la connexion du commutateur au SAE est configure en tant que Port Channel, cette procdure choue. En effet, le script de configuration du SAE n'active pas le Port Channel. Si c'est le cas, l' inscription auprs du Gestionnaire central WAAS est effectue manuellement l' tape 11. tape 10 : (Facultatif) Configurez la connexion du Port Channel du WAE la pile de commutateurs de distribution. Cette tape facultative est ncessaire lors d'une connexion au WAE par le biais d'un Port Channel (connexion rsiliente). interface GigabitEthernet 1/0 no ip address 10.4.32.161 255.255.255.192 exit ! primary-interface PortChannel 1 103 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 ! interface PortChannel 1 ip address 10.4.32.161 255.255.255.192 exit ! interface GigabitEthernet 1/0 channel-group 1 exit interface GigabitEthernet 2/0 channel-group 1 exit tape 11 : (Facultatif) Terminez l' inscription auprs du Gestionnaire central WAAS. Aprs la configuration du Port Channel, le WAE peut atteindre le Gestionnaire central WAAS. Excutez la commande cms enable pour forcer une inscription manuelle. Cette tape facultative est uniquement ncessaire lors de la connexion, lorsque la tentative d' inscription initiale l' tape 9 a chou. cms enable Registering WAAS Application Engine... Sending device registration request to Central Manager with address 10.4.48.100 Please wait, initializing CMS tables Successfully initialized CMS tables Registration complete. Please preserve running configuration using copy running-config startup-config. Otherwise management service will not be started on reload and node will be shown offline in WAAS Central Manager UI. management services enabled Plusieurs paramtres supplmentaires activs sur les priphriques WAE permettent de terminer la configuration. La configuration de ces paramtres est dcrite dans les tapes 13 15. tape 12 : Configurez le retour ngoci GRE. Tous les priphriques WAE utilisent les retours ngocis GRE avec leurs routeurs WCCP respectifs. egress-method negotiated-return intercept-method wccp tape 13 : Configurez la liste du routeur WCCP. Le script de configuration a gnr une liste de routeurs reposant sur les informations fournies. Pour voir la configuration du priphrique, saisissez la commande suivante : WAE-7341-1# show running-config | include wccp router-list wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243 La liste de routeurs 8 est destine spcifiquement une utilisation avec une configuration WCCP sur un routeur passerelle par dfaut. Cette conception utilise les retours ngocis GRE et les adresses de bouclage de routage. Il est donc ncessaire de crer une nouvelle liste de routeurs et d'effacer la liste de routeurs 8. Toutes les configurations WAE de cette conception utilisent la liste de routeurs 1. no wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243 wccp router-list 1 10.4.32.241 10.4.32.242 10.4.32.243 Cette conception utilise l'authentification entre les routeurs et le WAE. REMARQUE : pour un fonctionnement correct du WCCP, les routeurs de la gamme ASR 1000 doivent utiliser le mode d'attribution de masque WCCP. Si l'un des routeurs WCCP appartient la gamme Cisco ASR 1000, remplacez le paramtre par dfaut hash-source-ip par mask-assign . Ce changement est effectu sur les WAE et non sur les routeurs. wccp tcp-promiscuous router-list-num 1 password c1sco123 mask- assign Toutes les autres plates-formes de routeurs peuvent utiliser le paramtre par dfaut suivant : wccp tcp-promiscuous router-list-num 1 password c1sco123 tape 14 : Activez le routage SSH. Pour activer les connexions SSH, vous devez gnrer la cl RSA et activer le service sshd. ssh-key-generate key-length 2048 sshd version 2 sshd enable tape 15 : Dsactivez telnet. no telnet enable tape 16 : Configurez l'authentification de l'utilisateur scurise. Activez l'authentification AAA pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques WAAS/WAE (connexions SSH et HTTPS). 104 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Un utilisateur administratif local a t cr sur WAAS/WAE pendant la configuration. Ce compte d'utilisateur permet de grer le priphrique si le serveur centralis TACACS+ n'est pas disponible ou si votre organisation ne dispose pas de TACACS+. Les tapes suivantes permettent de configurer le serveur TACACS+ en tant que principale mthode d'authentification des utilisateurs (connexion) et d'autorisation des utilisateurs (configuration). tacacs key SecretKey tacacs password ascii tacacs host 10.4.48.15 primary ! authentication login local enable secondary authentication login tacacs enable primary authentication configuration local enable secondary authentication configuration tacacs enable primary authentication fail-over server-unreachable tape 17 : Enregistrez la configuration. Aprs avoir apport des changements la configuration, enregistrez-la. copy running-config startup-config
Procdure 5 Conguration des priphriques WAE SRE Dans le cadre de cette conception, vous pouvez utiliser divers formats d'appareils WAE ou SRE pour l' quipement du site distant WAAS, en fonction des besoins en termes de performances. Vous pouvez insrer les modules SRE directement dans un logement de module correspondant du routeur de site distant et les configurer assez diffremment des appareils. Si vous utilisez un appareil, vous pouvez suivre l'ensemble des procdures du priphrique WAE avec agrgation WAN, avec les paramtres d'adressage du site distant. Mme si le routeur de site distant peut potentiellement communiquer directement avec le SRE par le biais du fond de panier du routeur, cette conception utilise les interfaces externes des modules qui permettent une mise en uvre cohrente de la conception, indpendament du priphrique WAE choisi. L' interface SM doit tre active et une adresse IP arbitraire (significative au niveau local uniquement) doit lui tre affecte afin de pouvoir y accder par le biais de la session de console, partir du routeur hte. Vous devez connecter l' interface externe au rseau de donnes sur le commutateur de la couche d'accs ou de distribution pour que cette configuration fonctionne correctement. tape 1 : Configurez la console d'accs et les adresses IP du SRE sur le routeur hte. Afin de permettre la console d'accder aux modules SRE, vous devez saisir les commandes suivantes sur le routeur hte. interface SM1/0 ip address 1.1.1.1 255.255.255.252 service-module external ip address 10.5.52.8 255.255.255.0 service-module ip default-gateway 10.5.52.1 no shutdown
Dans cette conception, l'adresse IP 1.1.1.1 attribue au SM/0 est arbitraire et sa prsence locale n'est importante que pour le routeur hte. Conseil l'intention des techniciens tape 2 : (Facultatif) Configurez une dispense AAA pour les priphriques SRE. Si AAA a t activ sur le routeur, vous serez invit fournir la fois l' identifiant du routeur et celui du WAAS, ce qui peut porter confusion. Pour dsactiver l'authentification initiale du routeur, vous devez crez une mthode AAA qui est ensuite applique la configuration de ligne spcifique sur le routeur associ au SRE/NME. Crez la mthode de connexion AAA : aaa authentication login MODULE none Dterminez le numro de la ligne attribu au SRE. L'exemple ci-dessous indique la ligne 67. Br203-2921-1# show run | begin line con 0 line con 0 logging synchronous line aux 0 line 67 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 105 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 flowcontrol software line vty 0 4 password 7 04585A150C2E1D1C5A transport input ssh Pour limiter l'accs la console SRE/NME, crez une liste d'accs. Le numro de liste d'accs est arbitraire, mais l'adresse IP doit correspondre l'adresse attribue l' interface SM lors de l' tape prcdente. access-list 67 permit 1.1.1.1 Affectez la mthode la ligne approprie : line 67 login authentication MODULE access-class 67 in transport output none tape 3 : Connectez-vous la console WAE par le biais d'une session du routeur hte. Aprs l'affectation de l'adresse IP et l'activation de l' interface, il est possible d'ouvrir une session sur le WAE et d'excuter le script de configuration. Pour tous les priphriques WAE, le nom d'utilisateur par dfaut en sortie d'usine est admin et le mot de passe par dfaut en sortie d'usine est default . REMARQUE : si vous utilisez une authentification de l'utilisateur scurise sur le routeur et que vous n'avez pas cr de dispense AAA, vous devez pralablement vous authentifier au moyen d' identifiants de connexion de routeur valides avant de vous connecter la session de la console WAE. Br203-2921-1# service-module sm 1/0 session tape 4 : Effectuez la configuration. Vous pouvez faire dmarrer l'utilitaire de configuration initiale partir de la ligne de commande en saisissant la commande setup . Parameter Default Value Device Mode Application Accelerator 1. Interception Method WCCP 2. Time Zone UTC 0 0 3. Management Interface GigabitEthernet 1/0 (internal) Autosense Disabled DHCP Disabled ESC Quit ? Help WAAS Default Configuration
Press y to select above defaults, n to configure all, <1-3>
to changespecific default [y]: n tape 5 : Configurez la mthode d' interception. 1. WCCP 2. Other Select Interception Method [1]: 1 tape 6 : Configurez le fuseau horaire. Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0 0]: PST -8 0 tape 7 : Configurez l' interface de gestion, l'adresse IP et la passerelle par dfaut. Cette conception utilise l' interface externe en tant qu' interface de gestion. No. Interface Name IP Address Network Mask 1. GigabitEthernet 1/0 unassigned unassigned (internal) 2. GigabitEthernet 2/0 dhcp (external) Select Management Interface [1]: 2 Enable Autosense for Management Interface? (y/n)[y]: y Enable DHCP for Management Interface? (y/n)[y]: n
Il est possible que l'avertissement ci-aprs s'affiche. Celui-ci peut tre ignor, puisque la configuration de l'adresse IP a dj t fournie. *** You have chosen to disable DHCP! Any network configuration learnt from DHCPserver will be unlearnt! SETUP will indicate failure as the managementinterface cannot be brought up - Please make sure WAE Management Interface IPaddress and Default Gateway are configured from the Router; Press ENTER to continue: Conseil l'intention des techniciens 106 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 8 : Configurez l'adresse du Gestionnaire central. Enter Central Manager IP Address (WARNING: An invalid entry will cause SETUP to take a long time when applying WAAS configuration) [Aucune]: 10.4.48.100 tape 9 : Configurez les paramtres du DNS, de l' hte et du NTP. Enter Domain Name Server IP Address [Non configure]: 10.4.48.10 Enter Domain Name(s) (Not configured): cisco.local Enter Host Name (None): Br203-WAE-SRE700-1 Enter NTP Server IP Address [Aucune]: 10.4.48.17 tape 10 : Configurez la liste du routeur WCCP. Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []: 10.5.48.253 10.5.48.254 tape 11 : Slectionnez la licence approprie. The product supports the following licenses: 1. Transport 2. Entreprise 3. Enterprise & Video Enter the license(s) you purchased [2]: 2 tape 12 : Vrifiez les paramtres de configuration. Parameter Configured Value 1. Interception Method WCCP 2. Time Zone PST -8 0 3. Management Interface GigabitEthernet 2/0 (external) 4. Autosense Enabled 5. DHCP Disabled IP Address 10.5.52.8 IP Network Mask 255.255.255.0 IP Default Gateway 10.5.52.1 6. CM IP Address 10.4.48.100 7. DNS IP Address 10.4.48.10 8. Domain Name(s) cisco.local 9. Host Name Br203-WAE-SRE700-1 10. NTP Server Address 10.4.48.17 11. WCCP Router List 10.5.48.253 10.5.48.254 12. License Enterprise ESC Quit ? Help ! CLI WAAS Final Configuration
Press y to select configuration, <F2> to see all configuration,
d to toggle defaults display, <1-12> to change specific parameter [y]: y Router WCCP configuration First WCCP router IP in the WCCP router list seems to be an external address; WCCP configuration on external routers is not allowed through SETUP. Please press ENTER to apply WAAS configuration on WAE ... Applying WAAS configuration on WAE ... May take a few seconds to complete ... WAAS configuration applied successfully!! Saved configuration to memory. Press ENTER to continue ... Vous tes invit utiliser un modle de configuration WCCP recommand pour le routeur, dont nous parlerons de manire plus approfondie dans l'une des procdures suivantes. Par consquent, vous n'avez pas besoin de retenir ces informations. 107 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 13 : Configurez le retour ngoci GRE. Tous les priphriques WAE utilisent le retour ngoci GRE avec leurs routeurs WCCP respectifs : egress-method negotiated-return intercept-method wccp tape 14 : Configurez la liste du routeur WCCP. Le script de configuration a gnr une liste de routeurs reposant sur les informations fournies. Pour voir la configuration du priphrique, saisissez la commande suivante : Br203-WAE-SRE700-1# show running-config | include wccp router- list wccp router-list 8 10.5.48.253 10.5.48.254 La liste de routeurs 8 est destine spcifiquement une utilisation avec une configuration WCCP sur un routeur passerelle par dfaut. Cette conception utilise les retours ngocis GRE et les adresses de bouclage de routage. Il est donc ncessaire de crer une nouvelle liste de routeurs et d'effacer la liste de routeurs 8. Toutes les configurations WAE de cette conception utilisent la liste de routeurs 1. no wccp router-list 8 10.5.48.253 10.5.48.254 wccp router-list 1 10.5.48.253 10.5.48.254 Cette conception utilise l'authentification entre les routeurs et les WAE. wccp tcp-promiscuous service-pair 61 62 router-list-num 1 password c1sco123 tape 15 : Activez le routage SSH. L'activation de SSH ncessite la gnration de la cl RSA et l'activation du service sshd. ssh-key-generate key-length 2048 sshd version 2 sshd enable tape 16 : Dsactivez telnet. no telnet enable tape 17 : Configurez l'authentification de l'utilisateur scurise. Activez l'authentification AAA pour le contrle d'accs. AAA contrle tous les accs de gestion aux priphriques WAAS/WAE (connexions SSH et HTTPS). Un utilisateur administratif local a t cr sur WAAS/WAE pendant la configuration. Ce compte d'utilisateur permet de grer le priphrique si le serveur centralis TACACS+ n'est pas disponible ou si votre organisation ne dispose pas de serveur TACACS+. Les tapes suivantes permettent de configurer le serveur TACACS+ en tant que principale mthode d'authentification des utilisateurs (connexion) et d'autorisation des utilisateurs (configuration). tacacs key SecretKey tacacs password ascii tacacs host 10.4.48.15 primary ! authentication login local enable secondary authentication login tacacs enable primary authentication configuration local enable secondary authentication configuration tacacs enable primary authentication fail-over server-unreachable tape 18 : Enregistrez la configuration. Aprs avoir apport des changements la configuration, enregistrez-la. copy running-config startup-config Chaque WAE s' inscrit auprs du Gestionnaire central WAAS au fur et mesure de son activation sur le rseau. Vous pouvez vrifier cette inscription l'aide de la commande show cms info sur les WAE respectifs ou sur le WCM par le biais de l' interface Web. Lorsque vous avez termin cette configuration, vous pouvez quitter la session et revenir la ligne de commande du routeur hte en saisissant la squence d' chappement Ctrl-Maj-6 x. Figure 35 - Gestionnaire central WAAS - Liste renseigne des priphriques administrables 108 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012
Procdure 6 Conguration des commutateurs distants pour les priphriques WAE Si vous utilisez une conception en couche de distribution de site distant, le commutateur de couche de distribution est l'emplacement appropri pour connecter physiquement les priphriques WAE. Ce type de priphrique ncessite une connexion rsiliente mais pas de protocole de routage. Ce type de connexion peut utiliser une liaison EtherChannel de couche 2. Dans le cadre de ce guide, nous sommes partis du principe que vous avez pralablement configur la couche de distribution. Seules les procdures requises pour terminer la connexion du commutateur aux appareils WAE sont incluses. Pour plus d' informations sur la configuration du commutateur de couche de distribution, reportez-vous au guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise OrganizationsBorderless Networks. Cette conception localise les priphriques WAE sur le VLAN de donnes (principal). Il est ncessaire de crer un VLAN et un SVI s' il n'en existe aucun. tape 1 : Crez le VLAN et le SVI (le cas chant). vlan [numro VLAN] name [nom VLAN] ! interface Vlan [numro VLAN] ip address [adresse IP] [masque rseau] no shutdown tape 2 : Configurez les liaisons EtherChannel de couche 2 des priphriques et associez-les au VLAN. interface Port Channel [numro] switchport access vlan [numro VLAN] ! interface [type] [number] switchport access vlan [numro VLAN] channel-group [numro] mode on no shutdown ! interface [type] [number] switchport access vlan [numro VLAN] channel-group [numro] mode on no shutdown Exemple vlan 100 name Data ! interface Port Channel7 description bn-wae-1 EtherChannel switchport access vlan 100 ! interface GigabitEthernet1/0/3 description bn-wae-1 port 1 switchport access vlan 100 channel-group 7 mode on no shutdown ! interface GigabitEthernet2/0/3 description bn-wae-1 port 2 switchport access vlan 100 channel-group 7 mode on no shutdown ! interface Vlan100 ip address 10.5.1.1 255.255.255.0 no shutdown
Procdure 7 Conguration du protocole WCCPv2 sur des routeurs Dans cette conception, le WCCP dtourne le trafic rseau destin au WAN vers le systme WAAS pour permettre l'optimisation. Cette mthode favorise un dploiement propre avec peu de cblage supplmentaire et ncessite que l'agrgation WAN et les routeurs des sites distants soient configurs pour le WCCP. Configurez les paramtres WCCP globaux et activez les services 61 et 62. Vous devez activer les services 61 et 62 pour la redirection WCCP du WAAS. Ces services doivent utiliser le protocole WCCP version 2. La dispense de certains types de trafic importants partir de la redirection du WCCP par le biais d'une liste de redirection figure parmi les meilleures pratiques. 109 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Afin d'empcher les priphriques WAE non autoriss de faire partie des clusters WAAS, vous devez configurer une liste de groupe et un mot de passe. ip wccp version 2 ip wccp 61 redirect-list [racheminer ACL] group-list [groupe ACL] password [mot de passe] ip wccp 62 redirect-list [racheminer ACL] group-list [groupe ACL] password [mot de passe] ! ip access-list standard [groupe ACL] permit [adresse IP du membre du cluster WAAS] permit [adresse IP du membre du cluster WAAS] ! ip access-list extended [racheminer ACL] deny tcp [adresse IP src] [adresse IP dest.] any eq [port TCP] deny tcp [adresse IP src] [adresse IP dest.] any eq [port TCP] ! Additional lines as necessary deny tcp [adresse IP src] [adresse IP dest.] any eq [port TCP] permit tcp any any tape 1 : Configurez la redirection WCCP sur les interfaces LAN et WAN. Option 1. Tous les routeurs WAAS sauf les routeurs concentrateurs DMVPN Des interfaces spcifiques doivent tre identifies dans le cas o le trafic WAN entrant et sortant doit tre intercept. Le trafic provenant du LAN est intercept par le service 61 entrant sur toutes les interfaces LAN. Il n'est pas ncessaire de configurer l' interception WCCP sur les interfaces voix et les VLAN voix. interface [type d'interface] [numro] ip wccp 61 redirect in Le trafic provenant du WAN est intercept par le service 62 entrant sur tous les interfaces WAN, y compris les interfaces de tunnel DMVPN (sauf leurs interfaces physiques sous-jacentes). interface [type d'interface] [numro] ip wccp 62 redirect in Exemple Option 1 ip wccp version 2 ip wccp 61 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE password c1sco123 ip wccp 62 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE password c1sco123 ! interface Port Channel1 ip wccp 61 redirect in ! interface GigabitEthernet0/0/3 ip wccp 62 redirect in ! ip access-list standard BN-WAE permit 10.4.32.161 permit 10.4.32.162 ip access-list extended WAAS-REDIRECT-LIST remark WAAS WCCP Redirect List deny tcp any any eq 22 deny tcp any eq 22 any deny tcp any eq telnet any deny tcp any any eq telnet deny tcp any eq bgp any deny tcp any any eq bgp deny tcp any any eq 123 deny tcp any eq 123 any permit tcp any any Option 2. Routeurs concentrateurs DMVPN Des interfaces spcifiques doivent tre identifies dans le cas o le trafic WAN entrant et sortant doit tre intercept. Le trafic provenant du LAN est intercept par le service 61 entrant sur les interfaces LAN. interface [type d'interface] [numro] ip wccp 61 redirect in Pour prendre en charge la cration de tunnels satellite satellite de faon dynamique, les routeurs concentrateurs DMVPN ont besoin du WCCP 62 sortant sur l' interface LAN. 110 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Le trafic provenant du WAN est intercept par le service 62 sortant sur les interfaces LAN. interface [type d'interface] [numro] ip wccp 62 redirect out Exemple Option 2 ip wccp version 2 ip wccp 61 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE password c1sco123 ip wccp 62 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE password c1sco123 ! interface Port Channel3 ip wccp 61 redirect in ip wccp 62 redirect out ! ip access-list standard BN-WAE permit 10.4.32.161 permit 10.4.32.162 ip access-list extended WAAS-REDIRECT-LIST remark WAAS WCCP Redirect List deny tcp any any eq 22 deny tcp any eq 22 any deny tcp any eq telnet any deny tcp any any eq telnet deny tcp any eq bgp any deny tcp any any eq bgp deny tcp any any eq 123 deny tcp any eq 123 any permit tcp any any
Procdure 8 Conguration du Gestionnaire central pour WAASx Vous pouvez utiliser le Gestionnaire central WAAS pour grer les routeurs WAASx de manire centralise, c'est--dire comme pour un appareil WAE. Vous devez dfinir le nom d'utilisateur et le mot de passe que WCM utilise pour accder aux routeurs WAASx afin d'effectuer la surveillance et la gestion. Ces communications sont scurises grce au protocole HTTPS, qui ncessite l'utilisation de certificats numriques. tape 1 : Configurez des identifiants pour les routeurs WAASx. Sur l' interface Web du Gestionnaire central WAAS (https: //10.4.48.100:8443), configurez l' identifiant et le mot de passe de connexion du routeur WAASx. Pour effectuer cette configuration, modifiez le groupe de priphriques AllWAASExpressGroup. partir de la page d'accueil Gestionnaire central WAAS, cliquez sur le menu My Wan (Mon Wan), puis sur le sous-menu Manage Device Groups (Gestion des groupes de priphriques) sur la gauche. Figure 36 - Gestionnaire central WAAS - Gestion des groupes de priphriques 111 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 Pour slectionner le groupe de priphriques, cliquez sur le groupe AllWAASExpressGroup, puis sur l'onglet Admin (associ au groupe de priphriques AllWAASExpressGroup). Figure 37 - Gestionnaire central WAAS - AllWAASExpressGroup Cliquez sur les identifiants WAAS Express. Figure 38 - Gestionnaire central WAAS - Identifiants WAASx Saisissez le nom d'utilisateur et le mot de passe appropris que vous prvoyez galement d'utiliser pour la configuration du routeur WAASx ou sur le serveur central AAA. L'exemple montre le nom d'utilisateur sbawaasx et le mot de passe c1sco123 . tape 2 : Exportez le certificat numrique approuv partir du WCM. Pour activer les communications scurises entre le WCM et le routeur, vous devez installer le certificat numrique partir du WCM sur chacun des routeurs WAASx. Le certificat peut tre export au format PEM (Privacy Enhanced Mail, messagerie confidentialit amliore) Base64. Cette commande est disponible par le biais de l' interface de ligne de commande du priphrique. WAAS-WCM-1#show crypto certificate-detail admin | begin BEGIN ...skipping -----BEGIN CERTIFICATE----- <certificate data deleted> -----END CERTIFICATE----- Cette information est requise pour tous les routeurs WAASx. Par consquent, copiez et collez ce certificat, puis enregistrez-le dans un fichier scuris.
Procdure 9 Conguration des routeurs WAAS Express Pour activer l'optimisation WAN intgre, vous devez activer l'optimisation WAAS sur l' interface WAN du routeur. Le WAASx peut galement tre administrable de manire centralise par le mme Gestionnaire central WAAS utilis avec les priphriques WAE. Le routeur doit galement tre configur correctement afin d' tre en mesure de communiquer avec le WCM de faon scurise. Notez que le WAASx est une fonction spciale fournie sous licence. Cette licence doit tre installe sur un routeur quip d'une mmoire DRAM suffisante pour la prise en charge de la fonctionnalit WAASx. Les routeurs WAASx doivent tre configurs avec un maximum de mmoire DRAM. La redirection WCCP n'est pas utilise lors d'une mise en uvre WAASx. La totalit de l'optimisation du trafic est effectue sur le routeur. Par consquent, il n'est pas ncessaire de racheminer le trafic vers un priphrique externe. tape 1 : Activez le WAAS sur l' interface WAN. Le WAASx a t conu pour une activation l'aide d'une simple commande. Sur un routeur de site distant avec une interface WAN GigabitEthernet0/0. interface GigabitEthernet0/0 waas enable 112 Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012 tape 2 : Configurez le point de confiance autosign et gnrez un certificat numrique. Sur le routeur WAASx, configurez un point de confiance autosign durable et inscrivez-vous. Cette tape est ncessaire, mme si vous avez dj un point de confiance autosign autognr partir du protocole HTTPS activ prcdemment. Assurez-vous d'avoir fait correspondre le nom d' hte et le nom de domaine qui sont dj configurs sur le routeur pour le champ subject-alt-name . crypto pki trustpoint SELF-SIGNED-TRUSTPOINT enrollment selfsigned subject-alt-name Br204-1941.cisco.local revocation-check none rsakeypair SELF-SIGNED-RSAKEYPAIR 2048 exit crypto pki enroll SELF-SIGNED-TRUSTPOINT The router has already generated a Self Signed Certificate for trustpoint TP-self-signed-xxxxxx. If you continue the existing trustpoint and Self Signed Certificate will be deleted. Do you want to continue generating a new Self Signed Certificate? [yes/no]: yes % Include the router serial number in the subject name? [yes/no]: no % Include an IP address in the subject name? [no]: no Generate Self Signed Router Certificate? [yes/no]: yes Router Self Signed Certificate successfully created tape 3 : Configurez le client et le serveur HTTPS. Configurez le routeur WAASx afin d'utiliser une interface de bouclage en tant que source pour toutes les communications client HTTP. ip http client source-interface Loopback0 Activez le serveur scuris HTTPS. ip http secure-server ip http secure-trustpoint SELF-SIGNED-TRUSTPOINT tape 4 : Crez un point de confiance et importez le certificat du Gestionnaire central WAAS. crypto pki trustpoint WAAS-WCM revocation-check none enrollment terminal pem exit crypto pki authenticate WAAS-WCM Enter the base 64 encoded CA certificate. End with a blank line or the word quit on a line by itself Maintenant, partir du Gestionnaire central WAAS, collez le certificat PEM qui a t gnr lors de la procdure prcdente. -----BEGIN CERTIFICATE----- <certificate data deleted> -----END CERTIFICATE----- Certificate has the following attributes: Fingerprint MD5: 2EA6FF8F 38ABC32F 25168396 1A587F17 Fingerprint SHA1: 8DAB6185 7B95FC4C 34FDACDC A8F2B1A4 8074709B % Do you accept this certificate? [yes/no]: yes Trustpoint CA certificate accepted. % Certificate successfully imported tape 5 : Inscrivez le routeur WAASx auprs du Gestionnaire central WAAS. Aprs avoir gnr et install correctement les certificats numriques, vous pouvez inscrire le routeur auprs du WCM. waas cm-register https://10.4.48.100:8443/wcm/register Le routeur apparat comme priphrique administrable sur le WCM. 113 Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations Srie de fvrier 2012 Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations Domaine fonctionnel Produit Rfrences Version logicielle Conception WAN 500 Agrgation WAN ASR1002 ASR1002-5G-VPN/K9 ASR1002-PWR-AC IOS-XE 15.1(3)S0a Agrgation WAN : Gestionnaire central WAAS Appareil WAVE-594 WAAS WAVE-594-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Agrgation WAN : acclrateur d'applications WAAS Appareil WAE-7571-K9 WAAS WAE-7571-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Conception WAN 100 Agrgation WAN : ASR1001 ASR1001-2. 5G-VPNK9 ASR1001-PWR-AC IOS-XE 15.1(3)S0a Agrgation WAN : Gestionnaire central WAAS Appareil WAVE-594 WAAS WAVE-594-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Agrgation WAN : acclrateur d'applications WAAS Appareil WAE-7541-K9 WAAS WAE-7541-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Routeurs pour site distant WAN Routeur pour site distant WAN Cisco1941 C1941-WAASX-SEC/K9 SL-19-DATA-K9 15.1(4)M2 Routeur pour site distant WAN Cisco2911 C2911-VSEC/K9 SL-29-DATA-K9 15.1(4)M2 Routeur pour site distant WAN Cisco2921 C2921-VSEC/K9 SL-29-DATA-K9 15.1(4)M2 Routeur pour site distant WAN Cisco3925 C3925-VSEC/K9 SL-39-DATA-K9 15.1(4)M2 Routeur pour site distant WAN Cisco3945 C3945-VSEC/K9 SL-39-DATA-K9 15.1(4)M2 114 Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations Srie de fvrier 2012 Domaine fonctionnel Produit Rfrences Version logicielle WAAS de site distant WAN Acclrateur d'applications SM-SRE-700-K9 SM-SRE-700-K9 WAAS-ENT-SM 4.4.1 (WAAS-UNIVERSAL-K9) Acclrateur d'applications SM-SRE-900-K9 SM-SRE-900-K9 WAAS-ENT-SM 4.4.1 (WAAS-UNIVERSAL-K9) Acclrateur d'applications WAVE-294 WAVE-294-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Acclrateur d'applications WAVE-594 WAVE-594-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) Acclrateur d'applications WAVE-694 WAVE-694-K9 WAAS-ENT-APL 4.4.1 (WAAS-UNIVERSAL-K9) 115 Annexe B : Supplment - Fonctionnalits techniques Srie de fvrier 2012 Annexe B : Supplment - Fonctionnalits techniques FVRF (Front Door vREF) pour DMVPN La construction d'un tunnel IPsec exige une accessibilit entre les routeurs cryptographiques. Lorsque vous utilisez Internet, les routeurs utilisent une route par dfaut pour contacter leurs homologues. Figure 39 - Tunnel IPsec Si vous avez besoin d' tendre le rseau interne (et les mmes options de routage par dfaut mises disposition des utilisateurs internes), vous devez indiquer une route par dfaut vers le routeur concentrateur VPN. Pour obtenir plus d' informations, consultez la section A dans l' illustration ci-aprs. Figure 40 - Tunnel IPsec avant/aprs l'injection de la route par dfaut Indiquer une route par dfaut au routeur concentrateur (avec une route existant par dfaut) est problmatique. Cette route ncessite une meilleure distance administrative pour devenir la route active par dfaut et remplacer par la suite la route par dfaut prenant en charge la connexion du tunnel IPsec homologue homologue. L' indication de ce routage interrompt le tunnel, comme prsent dans la section B de l' illustration prcdente. Grce l' introduction d'un VRF INET-PUBLIC externe (indiqu en rouge), le routeur concentrateur peut prendre en charge de nombreuses routes par dfaut. Le rseau interne reste dans le VRF global (voir illustration la section A de la figure ci-aprs). Tunnel IPSec Distribution WAN Priphrie Internet Par dfaut INTRIEUR Routeur VPN-DMZ Internet Par dfaut concentrateur DMVPN Par dfaut EXTRIEUR Internet R df Routeur satellite DMVPN 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 27 Routage par dfaut DMVPN Tunnel IPsec avant/aprs l'injection du routage par dfaut Distribution WAN Distribution WAN Par dfaut INTRIEUR Par dfaut Par dfaut Par dfaut INTRIEUR Priphrie Internet Par dfaut Priphrie Internet Par dfaut Routeur concentrateur DMVPN Routeur concentrateur DMVPN VPN-DMZ Par dfaut Par dfaut VPN-DMZ EXTRIEUR EXTRIEUR Internet Internet R t Routeur 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 28 Routage par dfaut Routeur Routeur Routeur Routeur 116 Annexe B : Supplment - Fonctionnalits techniques Srie de fvrier 2012
La plupart des fonctionnalits supplmentaires du routeur concentrateur ne ncessitent pas de reconnaissance VRF. Conseil l'intention des techniciens Figure 41 - Tunnel IPsec avec agrgation FVRF Cette configuration est appele FVRF car elle contient toutes les connexions Internet dans le VRF. L'alternative cette conception est appele IVRF (inside VRF, dans le VRF) : le rseau interne est contenu dans un VRF sur le concentrateur VPN et les connexions Internet restent sur le VRF global. Cette mthode ne figure pas dans ce guide. Il est maintenant possible de rtablir le tunnel IPSec vers le routeur homologue distant. La stratgie du site distant ncessite un accs Internet centralis pour les utilisateurs finaux. Par consquent, une route par dfaut est indique par le biais du tunnel. L' indication provoque un problme de routage par dfaut similaire sur le routeur distant. Le tunnel par dfaut remplace les paramtres par dfaut dsignant Internet et la connexion du tunnel s' interrompt, comme l' illustre la section B de la figure prcdente. Cette configuration ncessite galement l'utilisation du FVRF sur le routeur du site distant. Les principaux avantages inhrents l'utilisation de cette solution sont les suivants : routage par dfaut et routes statiques par dfaut simplifies sur INET- PUBLIC VRF ; possibilit de prendre en charge le routage par dfaut du trafic des utilisateurs finaux par le biais des tunnels VPN ; possibilit d'utiliser le routage dynamique par dfaut pour les sites comportant plusieurs transports WAN ; possibilit de dvelopper des tunnels satellite satellite grce DMVPN ; trafic des utilisateurs finaux achemin par dfaut par le biais des tunnels VPN. La conception finale qui utilise FVRF la fois sur le site d'agrgation WAN et sur le site distant WAN est indique dans la figure ci-aprs. Figure 42 - FVRF Configuration finale Tunnel IPSec avec agrgation F-VRF Distribution WAN Distribution WAN Par dfaut INTRIEUR vrf global vrf INET-PUBLIC Bl i h i Par dfaut INTRIEUR vrf global vrf INET-PUBLIC VPN DMZ Blocage priphrie Internet Par dfaut VPN DMZ Blocage priphrie Internet Par dfaut VPN-DMZ Par dfaut EXTRIEUR VPN-DMZ Par dfaut EXTRIEUR P df t Internet Par dfaut Internet Routeur R Routeur 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 29 Routage par dfaut Routage par dfaut (vrf INET-PUBLIC) Routeur Routeur FVRF (Front Door VRF) Configuration finale Distribution WAN Par dfaut INTRIEUR vrf global vrf INET-PUBLIC VPN DMZ Blocage priphrie Internet Par dfaut Routeur concentrateur DMVPN VPN-DMZ Par dfaut EXTRIEUR Par dfaut Internet Par dfaut f l b l vrf INET-PUBLIC Routeur Routeur 2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 30 Routage par dfaut Routage par dfaut (vrf INET-PUBLIC) vrf global 117 Annexe C : Modifications Srie de fvrier 2012 Annexe C : Modications L'annexe rsume les modifications apportes par rapport la gamme Cisco SBA prcdente. Multicast IP : nous avons activ Cisco Auto RP pour simplifier le dploiement. Interfaces de bouclage des routeurs de site distant : nous suggrons l'utilisation d'une plage d'adresses IP et non d'une plage rsume de n' importe quelle autre partie du rseau. AAA : nous avons mis jour les commandes et proposons une nouvelle syntaxe. Options de plate-forme d'agrgation WAN : nous avons retir le routeur services intgrs Cisco 3945E. Options de plate-forme d'acclration des applications : nous avons retir les appareils des gnrations prcdentes. SMART BUSINESS ARCHITECTURE Cisco has more than 200 of fices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices. Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word partner does not imply a partnership relationship between Cisco and any other company. (1005R) Americas Headquarters Cisco Systems, Inc. San Jose, CA Asia Pacific Headquarters Cisco Systems (USA) Pte. Ltd. Singapore Europe Headquarters Cisco Systems International BV Amsterdam, The Netherlands SMART BUSINESS SMART BUSINESS ARCHITECTURE B-0000164-1 1/12