FR Cisco Wan Deployment Guide PDF

Guide de dploiement des rseaux tendus (WAN)
Srie de fvrier 2012

Prface Srie de fvrier 2012
Prface
Qui doit lire ce guide
Le prsent guide Cisco Smart Business Architecture (SBA) s'adresse aux :
ingnieurs systme qui ont besoin de procdures standard pour la mise en
uvre de solutions ;
chefs de projet qui dveloppent des noncs de travaux pour les mises en
uvre Cisco SBA ;
partenaires commerciaux qui vendent de nouvelles technologies ou crent
une documentation de mise en uvre ;
formateurs qui ont besoin de supports pour le droulement de leurs
formations en classe ou sur site.
En rgle gnrale, vous pouvez galement utiliser les guides Cisco SBA pour
amliorer la cohrence entre les ingnieurs et les dploiements, mais aussi
pour mieux cadrer les activits de dploiement et en dfinir le budget.
Publication des guides par srie
Cisco s'efforce de mettre jour et d'amliorer rgulirement ses guides SBA.
Lorsque nous laborons une nouvelle srie de guides SBA, nous les testons
conjointement en tant que systme global. Pour garantir la compatibilit
mutuelle des conceptions dans les guides Cisco SBA, nous vous invitons
utiliser les guides appartenant la mme srie.
Tous les guides Cisco SBA portent le nom de la srie sur la couverture et en bas
gauche de chaque page. Nous dsignons la srie en fonction du mois et de
l'anne de sa publication. Par exemple :
Srie de mois anne
Par exemple, la srie de guides publis en aot 2011 s' intitule Srie
d'aot 2011 .
La toute dernire srie de guides SBA est disponible aux adresses suivantes :
Accs clients : www.cisco.com/go/sba
Accs partenaires : www.cisco.com/go/sbachannel
Explication des commandes
De nombreux guides Cisco SBA fournissent des dtails spcifiques sur la
configuration de priphriques rseau Cisco excuts sous Cisco IOS, Cisco
NX-OS ou d'autres systmes d'exploitation que vous configurez dans une
interface de ligne de commande. Cette section porte sur la description des
conventions utilises pour spcifier les commandes saisir.
Les commandes saisir dans l' interface de ligne de commande apparaissent
comme suit :
configure terminal
Les commandes spcifiant une valeur pour une variable apparaissent comme
suit :
ntp server 10.10.48.17
Les commandes contenant des variables dfinir apparaissent comme suit :
class-map [nom de la classe suprieure]
Les commandes figurant dans un exemple interactif (script ou inclusion d'une
invite de commande) apparaissent comme suit :
Router# enable
Les commandes longues avec bouclage automatique sont soulignes.
Saisissez-les sous la forme d'une commande unique :
wrr-queue random-detect max-threshold 1 100 100 100 100 100
100 100 100
Les parties importantes des fichiers de sortie systme ou de configuration de
priphriques apparaissent avec un surlignement, comme suit :
interface Vlan64
ip address 10.5.204.5 255.255.255.0
Questions et commentaires
Pour tout commentaire ou toute question sur un guide, utilisez le forum
rfrenc au bas de l'un des sites suivants :
Accs clients : www.cisco.com/go/sba
Un fil RSS est galement disponible si vous souhaitez tre inform de la
publication de nouveaux commentaires.
Table des matires
Table des matires Srie de fvrier 2012
Contenu du prsent guide SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
propos de SBA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
propos de ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Autre documentation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2
Objectifs de conception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
Prsentation de l'architecture . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Conception WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Qualit de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
Optimisation WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
Dploiement du WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14
Objectifs de conception d'ensemble de l'architecture du WAN . . . . . . . . . . . . 14
Dploiement d'un WAN MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16
Prsentation commerciale . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Prsentation de la technologie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
Le dploiement en dtail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuration du routeur CE MPLS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Configuration des routeurs CE MPLS de site distant . . . . . . . . . . . . . . . . . . . . . . 27
Ajout de liaison secondaire MPLS sur un routeur CE MPLS existant . . . . . . . 35
Configuration de routeur de site distant (Double routeur - Routeur 2). . . . . . 38
Dploiement d'un WAN DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .47
Le dploiement en dtail . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Configuration du routeur concentrateur DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . 53
Configuration du commutateur pare-feu et DMZ . . . . . . . . . . . . . . . . . . . . . . . . . . 61
Activation de la sauvegarde DMVPN sur un routeur CE MPLS existant . . . . 67
Configuration d'un routeur satellite DMVPN de site distant . . . . . . . . . . . . . . . . 73
Dploiement d'une couche de distribution pour un site distant WAN . . . . . . . . 82
Couche de distribution de routeur CE MPLS de site distant . . . . . . . . . . . . . . . 82
Couche de distribution du deuxime routeur de site distant . . . . . . . . . . . . . . . 84
Configuration du commutateur de couche de distribution WAN de site
distant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Table des matires
Table des matires Srie de fvrier 2012
TOUTES LES CONCEPTIONS, SPCIFICATIONS, DCLARATIONS, INFORMATIONS ET RECOMMANDATIONS (APPELES COLLECTIVEMENT CONCEPTIONS ) PRSENTES DANS CE MANUEL LE SONT EN L'TAT ,
AVEC LEURS IMPERFECTIONS. CISCO ET SES FOURNISSEURS EXCLUENT TOUTES LES GARANTIES, Y COMPRIS, MAIS SANS S'Y LIMITER, TOUTE GARANTIE DE QUALIT MARCHANDE, D'ADQUATION UN USAGE
PARTICULIER, D'ABSENCE DE CONTREFAON OU TOUTE AUTRE GARANTIE DCOULANT DE PRATIQUES OU DE RGLES COMMERCIALES. EN AUCUN CAS, CISCO OU SES FOURNISSEURS NE SERONT TENUS
POUR RESPONSABLES DE TOUT DOMMAGE INDIRECT, PARTICULIER, CONSCUTIF OU ACCESSOIRE INCLUANT, SANS S'Y LIMITER, LES PERTES DE PROFITS OU PERTES OU DOMMAGES DE DONNES RSULTANT
DE L'UTILISATION OU DE L'INCAPACIT UTILISER LES CONCEPTIONS, MME SI CISCO OU SES FOURNISSEURS ONT T AVISS DE LA POSSIBILIT DE TELS DOMMAGES. LES CONCEPTIONS PEUVENT
TRE MODIFIES SANS PRAVIS. SEULS LES UTILISATEURS SONT RESPONSABLES DE LEUR APPLICATION DES CONCEPTIONS. LES CONCEPTIONS NE REPRSENTENT PAS DES CONSEILS TECHNIQUES OU
PROFESSIONNELS DISPENSS PAR CISCO, SES FOURNISSEURS OU PARTENAIRES. LES UTILISATEURS DOIVENT CONSULTER LEURS PROPRES CONSEILLERS TECHNIQUES AVANT DE METTRE EN UVRE LEURS
CONCEPTIONS. LES RSULTATS PEUVENT VARIER SELON CERTAINS FACTEURS NON TESTS PAR CISCO.
Les adresses de protocole Internet (IP) utilises dans ce document ne sont pas censes tre des adresses relles. Tous les exemples, rsultats d'affichage de commandes et chiffres auxquels il est fait rfrence dans
ce document sont donns titre indicatif uniquement. L'utilisation de toute adresse IP relle titre d'exemple est non intentionnelle et fortuite.
2012 Cisco Systems, Inc. Tous droits rservs.
Dploiement de la qualit de service WAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Configuration de la qualit de service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
Dploiement de l'optimisation des applications avec le WAAS . . . . . . . . . . . . . . 93
Configuration WAAS/WAE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96
Annexe A : Liste de produits relative au dploiement WAN pour les
entreprises et organisations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113
Annexe B : Supplment - Fonctionnalits techniques . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
FVRF (Front Door vREF) pour DMVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115
Annexe C : Modications. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .117
Contenu du prsent guide
SBA
propos de SBA
Cisco SBA vous aide concevoir et dployer rapidement un rseau d'entreprise
offrant un service intgral. Un dploiement Cisco SBA est normatif, immdiat,
volutif et flexible.
Cisco SBA intgre diverses technologies (LAN, WAN, sans fil, scurit, data center,
optimisation des applications et communications unifies) testes conjointement en
tant que systme global. Cette approche, qui se traduit par une prise en compte des
composants, simplifie l'intgration systme de plusieurs technologies. Autrement
dit, vous avez la possibilit de choisir les solutions aux problmes que rencontre
votre entreprise, sans vous soucier de leur complexit technique.
Pour plus d' informations, consultez le document How to Get Started with Cisco
SBA (Premiers pas avec Cisco SBA) :
www.cisco.com/en/US/docs/solutions/Enterprise/Borderless_Networks/
Smart_Business_Architecture/SBA_Getting_Started.pdf
propos de ce guide
Ce guide de dploiement de base comprend plusieurs sections, chacune
tant organise comme suit :
Prsentation commerciale : le dfi auquel l'entreprise fait face.
Les dcideurs commerciaux peuvent utiliser cette partie pour
comprendre dans quelle mesure la solution propose prsente un
intrt pour le droulement des oprations de l'entreprise.
Prsentation de la technologie : la faon dont Cisco relve le dfi.
Les dcideurs techniques peuvent utiliser cette partie pour comprendre
le fonctionnement de la solution.
Dtails du dploiement : les instructions dtailles de la mise en uvre
de la solution. Les ingnieurs systme peuvent utiliser cette partie pour
obtenir une mise en service rapide et fiable de la solution.
Pour connatre les changements apports ce guide par rapport celui de la
srie prcdente, consultez Annexe C : Modifications.
Pour comprendre le prsent guide, vous devez avoir lu la prsentation de la
conception de base, comme indiqu dans Le chemin vers le succs, ci-dessous.
1
Contenu du prsent guide SBA Srie de fvrier 2012
Le chemin vers le succs
Pour russir la mise en uvre des conceptions dcrites dans le prsent
guide, nous vous invitons parcourir tous les guides qui sont antrieurs
ce guide. La liste se trouve sur la gauche. Les guides postrieurs au prsent
document figurent sur la droite.
Accs clients tous les guides SBA : www.cisco.com/go/sba
Prsentation de la conception Guide de dploiement
WAN
Guides de dploiement
supplmentaires
ENT BN
Vous tes ici Guides connexes Guides pralables
2
Introduction Srie de fvrier 2012
Introduction
Cisco SBA for Enterprise Organizations Rseaux sans frontires offrent
une base rseau solide conue pour apporter aux rseaux comptant entre
2 000 et 10 000 utilisateurs connects la souplesse ncessaire pour prendre
en charge de nouveaux utilisateurs ou services rseau, sans avoir reconcevoir
le rseau. Nous avons rdig un guide de dploiement normatif prt l'emploi
qui s'appuie sur les principes de conception issus des meilleures pratiques,
l'objectif tant de vous apporter flexibilit et volutivit.
La description de cette architecture de base figure dans un guide de
conception, ainsi que dans plusieurs guides de dploiement et de configuration
pour chacune des trois parties concernes : LAN, WAN et Internet Edge.
Sachez que pour certains des lments de cette architecture, vous disposez
galement de trois guides de dploiement des rseaux tendus (WAN) :
Le prsent guide de dploiement des rseaux tendus (WAN) vous offre
des conseils et une mthode de configuration pour le transport MPLS
(Multiprotocol Label Switching, commutation multiprotocole par tiquette),
ainsi que pour le transport haut dbit ou Internet dans le cadre d'une
mission de secours.
Le guide de dploiement des rseaux tendus de couche 2 propose des
conseils et une mthode de configuration pour un transport VPLS (Virtual
Private LAN Service, service LAN priv virtuel) ou Metro Ethernet, ainsi que
pour un transport haut dbit ou Internet dans le cadre d'une mission de
secours.
Le guide de dploiement des sites distants VPN propose des conseils et
une mthode de configuration pour le transport haut dbit ou Internet, dans
le cadre d'une mission principale ou d'une mission de secours.
Autre documentation
Le guide de conception vous oriente vers une conception Cisco SBA gnrale
et explique les exigences prises en compte au moment de slectionner des
produits spcifiques.
Le guide de dploiement des rseaux locaux (LAN) constitue une description
de l'accs au rseau filaire et sans fil avec des fonctionnalits omniprsentes,
tant pour les LAN plus tendus dans les environnements de type campus
que pour les LAN de site distant de taille plus rduite. Rsilience, scurit et
volutivit sont au rendez-vous pour crer un environnement de communication
robuste. Une qualit de service est propose pour veiller ce que l'architecture
de base puisse prendre en charge un nombre important d'applications,
notamment des applications multimdias sensibles aux pertes et faible
latence coexistant avec des applications de donnes sur un rseau unique.
Ce guide offre galement une solution rserve aux invits et partenaires, sans
accs aux informations internes confidentielles, sur la mme infrastructure sans
fil que celle utilise par les employs.
Le guide de dploiement d' Internet Edge se concentre sur les services de
scurit, par exemple les pare-feu et systmes de prvention des intrusions,
qui permettent la protection de l'accs de votre entreprise Internet. Associes
un quilibrage de la charge du serveur, les options de connectivit et de
routage proposes par les fournisseurs de services Internet assurent la
rsilience de la conception. La section de ce guide intitule Scurit e-mail
porte sur la protection contre les courriers malveillants et indsirables.
La section Scurit Web traite des contrle et surveillance d'utilisation
acceptable. Sont offerts, d'autre part, des conseils permettant de grer
l'augmentation des risques associs aux clients qui naviguent sur Internet.
La conception VPN d'accs distance prend en charge les tltravailleurs
et les utilisateurs mobiles avec un accs distance scuris. Nous abordons
l'ensemble de ces lments dans des sections spares mais toutes participent
proposer une solution Internet Edge scurise.
3
Figure 1 - Prsentation des rseaux sans frontires pour les grandes entreprises
VPN matriel et logiciels
Tltravailleur /
Travailleur mobile
Routeur de filiale avec
acclration des applications
Commutateur
accs
client
Point d'accs
sans fil
Site distant
VPN d'accs
distant
Routeurs
de
priphrie
Internet
Commutateurs
de distribution
Commutateurs
principaux
Commutateurs
accs
client
Serveurs
Internet
Contrleur LAN
sans fil
Acclration
des applications
Acclration
des applications
Routeur
rgional
Appliance de
scurit Web
Appliance de
scurit de
messagerie
lectronique
WLAN
invits
Pare-feu
VPN
Commutateurs de cur
de rseau et distribution
regroups
Contrleur LAN
sans fil
Bureau
rgional
Btiment 1 Btiment 2 Btiment 4 Btiment 3
I
I
Agrgation
WAN
Priphrie
Internet
Internet
Edge
ww W
ww W
Centre
de donnes
Internet
WAN
4
Objectifs de conception
Cette architecture s'articule autour des besoins exprims par les clients,
les partenaires et le personnel Cisco de terrain et s'adresse aux entreprises
comptant de 2 000 10 000 utilisateurs connects. Au moment de sa
conception, nous avons pris en compte toutes les informations relatives aux
besoins et aux objectifs de conception suivantes.
Facilit de dploiement, exibilit et volutivit
Les entreprises comptant de 2 000 10 000 utilisateurs se trouvent souvent
disperses d'un point de vue gographique, ce qui fait de la flexibilit et de
l' volutivit du rseau une exigence critique. Cette conception est base sur
plusieurs mthodes pour crer un rseau volutif et en assurer la maintenance :
Grce un nombre limit de conceptions standard pour des parties
communes du rseau, le personnel d'assistance peut plus efficacement
concevoir des services pour le rseau, les mettre en uvre et les prendre
en charge.
Notre approche de conception modulaire renforce l' volutivit. partir
d'un ensemble d' lments constitutifs globaux standard, nous pouvons
assembler un rseau volutif et ainsi rpondre aux exigences dfinies.
La plupart des modules enfichables se ressemblent dans plusieurs
catgories de services. Cet aspect commun offre cohrence et volutivit
en ce sens que des mthodes de prise en charge identiques peuvent aider
assurer la maintenance de plusieurs aspects du rseau. Ces modules
adoptent des modles de conception rseau standard trois couches
(centrale, distribution et accs). Ils utilisent une sparation de ces couches
pour garantir une dfinition correcte des interfaces entre les diffrents
modules enfichables.
Rsilience et scurit
L'un des lments fondamentaux de la maintenance d'un rseau hautement
disponible consiste mettre en place une redondance adapte pour prvenir
les dfaillances du rseau. Notre architecture redondante fait l'objet d'un
quilibrage soign qui tient compte de la complexit inhrente aux systmes
redondants.
De plus, compte tenu du volume important de trafic sensible aux retards et
aux pertes (p. ex. les confrences voix et vido), nous avons galement tout
particulirement insist sur les temps de rcupration. Nous avons ainsi jug
qu' il tait important de privilgier des conceptions qui rduisent le dlai entre la
dtection de la panne et la rcupration pour garantir la disponibilit du rseau,
mme en cas de dfaillance d'un composant mineur.
La scurit du rseau revt galement une importance toute particulire dans
cette architecture. Un grand rseau comporte de nombreux points d'entre
et nous devons les scuriser autant que possible, sans pour autant nuire
l'utilisation du rseau. Scuriser le rseau nous aide non seulement tablir
un rempart contre les attaques mais constitue aussi un lment essentiel de la
rsilience sur l'ensemble du rseau.
Facilit de gestion
Si ce guide se concentre sur le dploiement de la base du rseau, la partie
ddie la conception prend ensuite en compte la gestion et l'exploitation.
Les configurations dcrites dans les guides de dploiement permettent une
gestion des priphriques au moyen de connexions de gestion normales, de
type SSH et HTTPS, mais aussi par le biais de NMS (Network Management
System, systme d'administration rseau). Ce guide ne traite pas de la
configuration du NMS.
Compatibilit assure avec les technologies avances
La flexibilit, l' volutivit, la rsilience et la scurit sont toutes autant de
caractristiques d'un rseau prt pour le dploiement de technologies
avances. De par la conception modulaire de cette architecture, il est possible
d'ajouter des technologies ds lors que l'entreprise est prte les dployer.
Toutefois, le dploiement de technologies avances (p. ex. la collaboration)
s'en trouve facilit. Cette architecture intgre en effet des produits et des
configurations capables de les prendre en charge, ds le premier jour. Par
exemple :
Les commutateurs d'accs proposent la technologie PoE (Power over
Ethernet) pour les dploiements de tlphones, sans source d'alimentation
locale.
L' intgralit du rseau, prconfigure en matire de qualit de service,
prend en charge le trafic vocal de grande qualit.
Le flux multicast est configur sur le rseau pour garantir l'efficacit des
applications vocales et de diffusion vido.
Le rseau sans fil est prconfigur pour les priphriques permettant de
passer des appels vocaux sur le rseau LAN sans fil, assurant ainsi, sur tous
les sites, des fonctionnalits de tlphonie IP bases sur la norme 802.11 ou
la technologie Wi-Fi (un concept aussi appel mobilit).
L' infrastructure Internet Edge est en mesure de proposer des tlphones
logiciels par VPN, ainsi que des tlphones de bureau ou matriels.
5
Prsentation de l'architecture Srie de fvrier 2012
Prsentation de l'architecture
Le guide de dploiement des rseaux tendus (WAN) Cisco SBA for
Enterprise Organizations les solutions Rseaux sans frontires permettent
une conception dans laquelle la connectivit est scurise, optimise et
hautement disponible pour plusieurs rseaux LAN de site distant.
Le WAN est l' infrastructure de mise en rseau qui assure une interconnexion sur
IP de plusieurs sites distants qu'un grand nombre de kilomtres sparent.
Ce document vous montre comment dployer les bases du rseau et les
services correspondants et ainsi assurer :
la connectivit au WAN pour 25 500 sites distants ;
les liaisons principales et secondaires, l'objectif tant de proposer des
options de topologie redondante des fins de rsilience ;
la confidentialit des donnes par le biais du cryptage ;
l'optimisation du WAN et l'acclration des applications ;
l'accs au rseau LAN filaire et sans fil sur l'ensemble des sites distants.
Conception WAN
L'objectif premier de cette conception est de permettre l'utilisation de rseaux
de transport WAN couramment dploys :
VPN de couche 3 s'appuyant sur le protocole MPLS (Multiprotocol Label
Switching) ;
VPN Internet
un niveau lev, le WAN est un rseau IP et l' intgration de ces transports
dans la conception peut s'effectuer sans difficult. L'architecture choisie
dsigne un site d'agrgation WAN principal analogue au site concentrateur
dans une conception traditionnelle de type concentrateur satellite. Ce site
possde des connexions directes avec les deux transports WAN cits et des
connexions grande vitesse avec les fournisseurs de services slectionns.
De plus, le site utilise un quipement rseau adapt des fins de hautes
performances et de redondance. Le site d'agrgation WAN principal coexiste
avec le data center et habituellement aussi, avec l'environnement principal de
type campus ou le LAN.
Transport WAN MPLS
Le protocole MPLS (Multiprotocol Label Switching) du logiciel Cisco IOS
permet aux grandes entreprises et aux fournisseurs de services de btir
des rseaux intelligents de nouvelle gnration, capables d'offrir un large
ventail de services avancs et valeur ajoute sur une infrastructure unique.
Vous pouvez intgrer cette solution conomique en toute transparence sur
une infrastructure existante quelle qu'elle soit, du type IP, Frame Relay, ATM ou
Ethernet.
Les VPN de couche 3 s'appuyant sur MPLS utilisent un modle VPN
homologue homologue qui exploite le protocole BGP (Border Gateway
Protocol, protocole passerelle de limite) afin de distribuer des informations
lies au VPN. Ce modle homologue homologue permet aux abonns des
grandes entreprises d'externaliser les informations du routage auprs des
fournisseurs de services, soit de diminuer de manire importante les cots et
de rduire la complexit oprationnelle.
Les abonns qui ont besoin d'assurer un trafic multicast IP peuvent activer les
VPN multicast (MVPN).
Le WAN exploite le VPN MPLS en tant que transport WAN principal ou
transport WAN de secours (vers un VPN MPLS principal de substitution).
Internet en tant que transport WAN
Internet est essentiellement un rseau WAN public grande chelle qui se
compose de plusieurs fournisseurs de services interconnects. Le rseau
Internet peut fournir une connectivit fiable et hautement performante
entre plusieurs sites, bien qu' il n'offre aucune garantie explicite quant ces
connexions. En dpit de sa nature qui n'offre aucune garantie quant la qualit
du service, Internet constitue un choix judicieux en tant que transport WAN
alternatif ou en tant que transport principal lorsqu'aucune autre option de
transport n'est disponible.
Les connexions Internet font habituellement partie des discussions portant sur
la priphrie Internet, tout particulirement concernant le site principal. Les
routeurs de site distant possdent aussi frquemment des connexions Internet
mais n'assurent pas un ventail aussi tendu de services par l' intermdiaire
d' Internet. Entre autres pour des raisons de scurit, l'accs Internet sur les
sites distants s'effectue souvent par le biais du site principal.
Le WAN fonctionne avec Internet pour des connexions VPN site site, en tant
que transport WAN de secours (vers un VPN MPLS).
VPN multipoint dynamique
Le DMVPN (Dynamic Multipoint VPN, VPN multipoint dynamique) est une solution
qui permet de crer des VPN site site volutifs prenant en charge un large choix
d'applications. Cette solution est largement utilise pour assurer une connectivit
site site crypte sur rseaux IP publics ou privs. Sa mise en uvre est assure
sur tous les routeurs WAN utiliss dans le prsent guide de dploiement.
Le DMVPN a t choisi comme solution de cryptage pour le transport Internet
car il prend en charge une connectivit maillage complet la demande. Il
utilise pour cela une configuration simple de type concentrateur satellite et
un modle de dploiement automatique de concentrateur pour l'ajout de sites
distants. Le DMVPN prend galement en charge les routeurs satellites qui
disposent d'adresses IP affectes de manire dynamique.
6
Le DMVPN fonctionne avec des tunnels mGRE (multipoint generic routing
encapsulation, encapsulation gnrique de routage multipoints) pour interconnecter
le concentrateur tous les routeurs satellites. Dans ce contexte prcis, les tunnels
mGRE sont parfois appels Clouds DMVPN. Cette association de technologies
prend en charge les requtes IP en unicast, multicast et broadcast, notamment la
possibilit d'excuter des protocoles de routage au sein de ces tunnels.
WAN Ethernet
Les deux transports WAN mentionns prcdemment utilisent Ethernet comme
type de support standard. Ethernet devient l'une des alternatives dominantes
sur la plupart des marchs. Aussi est-il pertinent d' inclure Ethernet comme
support principal dans les architectures testes. L'essentiel de la discussion
de ce guide porte galement sur les supports non-Ethernet (p. ex. T1/E1, DS-3,
OC-3, etc.), mais aucun n'est dcrit ici de manire explicite.
Conceptions d'agrgation WAN
Les conceptions d'agrgation WAN (concentrateur) intgrent au moins
deux routeurs de priphrie WAN. Dans le contexte de la connexion un
oprateur ou un fournisseur de services, les routeurs de priphrie WAN
font habituellement rfrence aux routeurs CE (Customer Edge, priphrie
client). Les routeurs de priphrie WAN qui facilitent le trafic VPN sont appels
routeurs concentrateurs VPN. L'ensemble des routeurs de priphrie WAN se
connectent une couche de distribution.
Parmi les options de transport WAN figurent l'accs par VPN MPLS et
l'accs Internet traditionnel. Pour ces deux types de transport, nous utilisons
respectivement un routeur CE ou un routeur concentrateur VPN. L' interfaage
avec chacun de ces transports exige une mthode de connexion et une
configuration diffrentes.
Nous documentons deux conceptions d'agrgation WAN dans le prsent guide
de dploiement : WAN 100 et WAN 500. La principale diffrence entre les
conceptions WAN 100 et WAN 500 est l' chelle d'ensemble de l'architecture
et les fonctionnalits des diffrentes plates-formes choisies pour prendre en
charge la conception.
Dans ces deux conceptions d'agrgation WAN, des tches comme celles
permettant de rsumer les routes IP sont excutes sur la couche de
distribution. Il existe plusieurs autres priphriques prenant en charge les
services de priphrie WAN. Ils peuvent galement intervenir au niveau de la
couche de distribution.
Chaque oprateur de rseau MPLS se raccorde un routeur WAN ddi avec
un objectif principal, celui d' liminer les points de panne uniques. Un routeur
concentrateur VPN unique est utilis dans ces deux conceptions. Consultez
le tableau suivant pour comprendre la diffrence entre ces deux modles de
conception.
Tableau 1 - Conceptions d'agrgation WAN
Modle
Liaisons
WAN
Routeurs
de
priphrie Transport 1 Transport 2 Transport 3
WAN 100 Double Double VPN MPLS A VPN Internet
WAN 500 Multiples Multiples VPN MPLS A VPN MPLS B VPN Internet
Les caractristiques de chaque conception sont les suivantes :
La conception WAN 100
Possde une bande passante agrge allant jusqu' 100 Mbit/s.
Prend en charge jusqu' 100 sites distants.
Possde un seul oprateur VPN MPLS.
Utilise une liaison Internet unique.
Consultez la figure suivante pour une illustration de la conception WAN 100.
Figure 2 - Conception WAN 100
Conception complte WAN 100
Cur de rseau et distribution
regroups : g p
6500 VSS
4 500
Pile 3750
Optimisation WAN:
WAAS
Bl i h i Routeur CE MPLS :
ASR1001
Routeur avec
terminaison VPN :
ASR1001
Blocage priphrie
Internet
2008 Cisco Systems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 1
Internet
MPLS
7
La conception WAN 500
Possde une bande passante agrge allant jusqu' 1 Gbit/s.
Prend en charge jusqu' 500 sites distants.
Possde plusieurs oprateurs VPN MPLS.
Utilise une liaison Internet unique.
Consultez la figure suivante pour une illustration de la conception WAN 500.
Figure 3 - Conception WAN 500
Conceptions de site distant WAN
Ce guide prsente plusieurs conceptions de site distant WAN.
Toutes s'appuient sur diffrentes combinaisons de transport WAN associes
aux exigences spcifiques du site pour rpondre aux niveaux de service et aux
besoins de redondance.
Figure 4 - Conceptions de site distant WAN
Les conceptions de site distant intgrent des routeurs de priphrie WAN
simples ou doubles. Il peut s'agir de routeurs CE ou de routeurs satellite VPN.
Dans certains cas, un routeur de priphrie WAN simple peut remplacer un
routeur CE et un routeur satellite VPN.
La plupart des sites distants sont conus avec une priphrie WAN routeur
simple. Toutefois, certains types de site distant exigent une priphrie WAN
routeur double. Parmi les sites pouvant utiliser un routeur double figurent les
bureaux rgionaux ou les environnements de campus distants o il y a un grand
nombre d'utilisateurs, ou encore les sites ayant des besoins professionnels
critiques qui justifient une redondance supplmentaire pour supprimer les
points de panne uniques.
Conception complte WAN 500
Cur de rseau :
6500
Optimisation WAN:
WAAS
Routeurs MPLS CE :
S 000
Distribution
priphrie WAN:
Pile 3750
Bl i h i ASR1000
R
Blocage priphrie
Internet
Routeur avec
terminaison VPN :
ASR1000
Internet
MPLS A MPLS B
Li i Li i R t t
Conceptions de site distant WAN
Liaisons non
redondantes
Liaisons
redondantes
Routeurs et
liaisons
redondants
MPLS
MPLS WAN
MPLS-A MPLS-B MPLS-A MPLS-B
MPLS + WAN
MPLS Internet MPLS Internet
MPLS + WAN
Internet
8
La mthodologie d'ensemble utilise pour concevoir le WAN s'appuie sur un
site d'agrgation WAN principal qui peut s'adapter tous les types de site
distant correspondant aux diffrentes combinaisons de liaisons nonces dans
le tableau suivant.
Tableau 2 - Options de transport de site distant WAN
Routeurs de
site distant
WAN
Transports
WAN
Transport
principal Transport secondaire
Simple Simple VPN MPLS A -
Simple Double VPN MPLS A VPN MPLS B
Simple Double VPN MPLS A Internet
Simple Double VPN MPLS B Internet
Double Double VPN MPLS A VPN MPLS B
Double Double VPN MPLS A Internet
Double Double VPN MPLS B Internet
La nature modulaire de la conception de ce rseau vous permet de crer des
lments de conception rplicables sur ce mme rseau.
Les deux conceptions d'agrgation WAN et les conceptions de site distant WAN
font partie des lments constitutifs standard de la conception d'ensemble.
La reproduction de chacun de ces lments constitutifs offre un moyen simple
de faire voluer le rseau et une mthode de dploiement cohrente.
Interconnexion WAN/LAN
Le rle principal du WAN est d' interconnecter le site principal et les rseaux
LAN des sites distants. Dans le cadre de ce guide et de la discussion portant
sur le LAN, nous n'aborderons que la faon dont le LAN de site d'agrgation
WAN se connecte aux priphriques d'agrgation WAN et la faon dont les LAN
de sites distants se connectent aux priphriques WAN de sites distants. Vous
trouverez d'autres dtails spcifiques aux composants LAN de la conception
dans le guide de dploiement des rseaux locaux (LAN) Cisco SBA for
Enterprise Organizations Borderless Networks.
Sur les sites distants, la topologie LAN dpend du nombre d'utilisateurs
connects et de la gographie physique du site. De grands sites exigent parfois
l'utilisation d'une couche de distribution pour prendre en charge plusieurs
commutateurs de couche d'accs. Au contraire, d'autres sites ncessitent
seulement un commutateur de couche d'accs qui se connecte directement
aux routeurs de site distant WAN. Consultez le tableau suivant pour connatre
les diffrentes variantes testes et documentes dans ce guide.
Tableau 3 - Options LAN de site distant WAN
Routeurs de site distant
WAN Transports WAN Topologie LAN
Simple Simple Accs uniquement
Distribution/accs
Simple Double Accs uniquement
Distribution/accs
Double Double Accs uniquement
Distribution/accs
Sites distants WAN Topologie LAN
des fins de cohrence et de modularit, tous les sites distants WAN utilisent
le mme schma d'affectation VLAN, prsent dans le tableau suivant. Ce guide
de dploiement utilise une convention adapte tous les sites possdant un
commutateur de couche d'accs unique. Rien n'empche d'adapter ce modle
pour intgrer d'autres armoires d'accs. Il suffit pour cela d'ajouter une couche
de distribution.
Tableau 4 - Sites distants WAN Affectation VLAN
VLAN Utilisation Accs couche 2
Distribution/accs
couche 3
VLAN 100 Donnes
(principale)
Inutilis Oui
VLAN 65 Donnes sans fil Oui Oui
VLAN 70 Voix sans fil Oui Oui
VLAN 64 Donnes 1 Oui Oui
VLAN 69 Voix 1 Oui Oui
Non attribu Donnes 2 Inutilis Oui
Non attribu Voix 2 Inutilis Oui
VLAN99 Transit Oui
(routeur double
uniquement)
Oui
(routeur double
uniquement)
VLAN50 Liaison routeur (1) Inutilis Oui
VLAN54 Liaison routeur (2) Inutilis Oui
(routeur double
uniquement)
9
Accs couche 2
Les sites distants WAN qui n'exigent aucun priphrique supplmentaire
de routage au niveau de la couche de distribution sont considrs comme
plats ou du point de vue du LAN, comme des sites de couche 2 non routs.
Tous les services de couche 3 sont fournis par les routeurs WAN rattachs.
Les commutateurs de la couche d'accs, moyennant l'utilisation de plusieurs
VLAN, peuvent prendre en charge des services voix et donnes (filaires et
sans fil). La conception prsente dans la figure suivante illustre le schma
d'affectation VLAN normalis. Les avantages de cette conception sont
vidents : tous les commutateurs de la couche d'accs peuvent tre configurs
l' identique, quel que soit le nombre de sites de cette configuration.
Aucune description des commutateurs de la couche d'accs et de leur
configuration n'est fournie dans ce guide. Le guide de dploiement des
rseaux locaux (LAN) Cisco SBA for Enterprise Organizations Borderless
Networks fournit des dtails sur la configuration pour les diffrentes plates-
formes de commutation de la couche d'accs.
L'affectation des sous-rseaux IP s'effectue par VLAN. Cette conception affecte
uniquement des sous-rseaux dont le masque rseau est 255. 255. 255.0 pour
la couche d'accs, mme si moins de 254 adresses IP sont requises. (Si besoin,
ce modle peut tre ajust pour utiliser d'autres schmas d'adressage IP.)
La connexion entre le routeur et le commutateur de la couche d'accs doit tre
configure pour que les lignes VLAN 802.1Q avec sous-interfaces sur le routeur
puissent correspondre aux VLAN respectifs sur le commutateur. Les diffrentes
sous-interfaces du routeur font office de passerelles IP par dfaut pour chaque
combinaison sous-rseau IP-VLAN.
Figure 5 - Site distant WAN LAN plat de couche 2 (routeur simple)
Tel que le montre la figure suivante, une conception LAN similaire peut tre
tendue une priphrie routeur double. Nanmoins, ce changement de
conception introduit une complexit supplmentaire. Il convient tout d'abord
d'excuter un protocole de routage. Vous devez configurer le protocole EIGRP
(Enhanced Interior Gateway Routing Protocol, protocole de passerelle intrieure
avance) entre les routeurs. des fins de cohrence avec le LAN du site
principal, utilisez le protocole EIGRP processus 100.
Du fait qu' il existe prsent deux routeurs par sous-rseau, un protocole FHRP
(First Hop Redundancy Protocol, protocole de redondance de premier saut) doit
tre mis en uvre. Pour cette conception, Cisco a choisi le protocole HSRP (Hot
Standby Router Protocol, protocole de routeur en veille changeable chaud)
en remplacement du protocole FHRP. De par sa conception, le protocole HSRP
permet un basculement transparent du routeur IP utilis dans le premier saut.
Le protocole HSRP assure une disponibilit leve du rseau en garantissant
une redondance du routage lors du premier saut pour les htes IP configurs
avec une adresse IP de passerelle par dfaut. Dans un groupe de routeurs,
le protocole HSRP est utilis pour slectionner un routeur actif et un routeur en
veille. Lorsqu'un LAN comporte plusieurs routeurs, le routeur actif est celui qui
assure le routage des paquets. En revanche, le routeur en veille est celui qui
prend le relais lorsque le routeur actif tombe en panne ou lorsque les conditions
prdfinies ne sont pas satisfaites.
Site distant WAN LAN plat de couche 2 (routeur unique)
WAN WAN
Vlan65 Donnes sans fil
Vlan64 - Donnes
Vlan70 Voix sans fil
Vlan69 - Voix
Pas de HSRP
requis
Liaison 802.1q Vlan (64-65, 69-70)
10
Figure 6 - Site distant WAN LAN plat de couche 2 (routeur double)
La fonction EOT (Enhanced Object Tracking, suivi amlior des objets) fournit
une mthodologie cohrente pour les diffrents routeurs et fonctions de
commutation de sorte modifier leur utilisation d'aprs les objets d' informations
disponibles au sein des autres processus, le tout sous conditions. Parmi
les objets dont le suivi est autoris, citons entre autres le protocole de ligne
d' interface, l'accessibilit de la route IP et celle des contrats de niveau de
service.
Le contrat de niveau de service IP (IP SLA) permet aux routeurs de gnrer un
trafic rseau synthtique qu' il est ensuite possible d'envoyer un transpondeur
distant. Ce transpondeur peut tre un terminal IP gnrique qui rpond une
demande d' cho (ping) ICMP (Internet Control Message Protocol, protocole
de message de contrle sur Internet) ou un routeur Cisco qui excute un
processus de transpondeur IP SLA et qui rpond un trafic plus complexe,
par exemple des sondes de gigue. L'utilisation d' IP SLA permet au routeur de
dterminer l'accessibilit de bout en bout d'une destination, ainsi que le retard
des boucles. Des sondes plus complexes peuvent galement permettre de
calculer la perte et la gigue sur le chemin. IP SLA est utilis conjointement
EOT au sein de cette conception.
Pour amliorer les temps de convergence aprs la dfaillance d'un WAN MPLS,
le protocole HSRP est en mesure de surveiller l'accessibilit du voisinage
IP utilis dans le saut suivant, par l' intermdiaire d' EOT et d' IP SLA. Cette
combinaison permet un routeur d'abandonner son rle HSRP actif si son
voisinage en amont cesse de rpondre, ce qui accentue la rsilience du rseau.
Il suffit de configurer le protocole HSRP pour qu' il soit actif sur le routeur qui
possde le transport WAN de plus haute priorit. Le suivi EOT des sondes
IP SLA est mis en uvre conjointement au protocole HSRP. Aussi, en cas de
dfaillance du transport WAN, le routeur HSRP en veille associ au transport
WAN de plus faible priorit (alternatif) devient le routeur HSRP actif. Les sondes
IP SLA sont envoyes du routeur CE MPLS au routeur PE MPLS pour veiller
l'accessibilit du routeur utilis dans le saut suivant, ce qui se rvle bien plus
efficace que de simplement surveiller le statut de l' interface WAN.
Les conceptions routeur double garantissent galement un composant
supplmentaire indispensable au routage dans certains cas. Dans ces
conceptions, un flux de trafic manant d'un hte de site distant peut tre envoy
une destination accessible par le transport WAN alternatif (par exemple,
un site distant MPLS + DMVPN communiquant avec un site distant DMVPN
uniquement). Par l' intermdiaire de la mme interface de donnes, le routeur
de transport WAN principal achemine ensuite ce flux de trafic pour l'envoyer
au routeur de transport WAN alternatif, qui l'envoie la destination souhaite.
C'est ce que l'on appelle un renvoi d'appel en U.
Nanmoins, pour viter d'avoir utiliser la mme interface pour envoyer le flux
de trafic, mieux vaut introduire une liaison supplmentaire entre les routeurs
et considrer cette liaison comme un rseau de transit (Vlan 99). Aucun hte
n'est connect au rseau de transit. Il sert uniquement aux communications
entre routeurs. L'excution du protocole de routage intervient entre les sous-
interfaces de routeur affectes au rseau de transit. Aucune interface de
routeur supplmentaire n'est requise dans cette conception modifie car la
configuration des lignes VLAN 802.1Q peut facilement prendre en charge une
sous-interface supplmentaire.
Couche de distribution et couche d'accs
Les grands sites distants exigent parfois un environnement LAN similaire celui
d'un petit campus, avec une couche de distribution et une couche d'accs.
Cette topologie fonctionne bien, que ce soit dans une priphrie WAN routeur
simple ou dans une priphrie WAN routeur double. Pour mettre en uvre
cette conception, il convient de connecter les routeurs au commutateur de
la couche de distribution par le biais de liaisons EtherChannel. Ces liaisons
EtherChannel sont configures comme des lignes 802.1Q VLAN. L'objectif
est, d'une part, de prendre en charge une liaison point point route pour
permettre le routage EIGRP avec le commutateur de la couche de distribution.
Il est possible, d'autre part, dans la conception routeur double, de proposer un
rseau de transit pour faciliter la communication directe entre les routeurs WAN.
Site distant WAN LAN plat de couche 2 (routeur double)
WAN WAN
Vlan99 - Transit
EIGRP
Vlan64 - Donnes
Vlan69 - Voix
Vlan HSRP
Routeur HSRP actif
Liaison 802.1q Vlan (64-65, 69-70, 99)
11
Figure 7 - Site WAN distant Connexion la couche de distribution
Le commutateur de la couche de distribution gre l'ensemble du routage
de la couche d'accs et les VLAN sont lis aux commutateurs de la couche
d'accs. Aucun protocole HSRP n'est demand lorsque la conception intgre
une couche de distribution. Observez la figure suivante. Elle prsente une
conception complte utilisant une couche de distribution et une couche
d'accs.
Figure 8 - Site distant WAN Couche de distribution et couche
d'accs (routeur double)
Multicast IP
Le multicast IP sert la reproduction d'un flux de donnes IP unique par
l' infrastructure (routeurs et commutateurs). Il est envoy par une source unique
vers plusieurs rcepteurs. Le multicast IP se rvle bien plus efficace que
plusieurs flux individuels unicast ou qu'un flux de diffusion qui se propage
partout. La fonction de tlphonie IP MOH (Music On Hold, musique d'attente) et
le flux de diffusion vido IP sont deux exemples d'applications multicast IP.
Pour recevoir un flux de donnes particulier en multicast IP, les htes
d'extrmit doivent rejoindre un groupe multicast en envoyant un message
IGMP (Internet Group Management Protocol, protocole de gestion de groupe
Internet) au routeur multicast local dont ils dpendent. Dans une conception
multicast IP traditionnelle, le routeur local consulte un autre routeur sur
le rseau, celui-ci servant de point de rendez-vous (RP) pour mapper les
rcepteurs aux sources actives et ainsi fusionner les flux.
Le RP fait office de plan de contrle. Il convient de le placer au cur du rseau
ou proximit des sources multicast IP sur une paire de commutateurs ou de
routeurs de couche 3. Le routage multicast IP dmarre au niveau de la couche
de distribution si la couche d'accs correspond la couche 2. Il assure la
connectivit au point de rendez-vous multicast IP. Dans les conceptions sans
couche centrale, la couche de distribution fait office de point de rendez-vous.
Cette conception est entirement active pour un dploiement du multicast IP
de porte globale. Elle utilise une stratgie de mise en uvre Anycast RP qui
assure partage de la charge et redondance sur les rseaux PIM SM (Protocol
Independent Multicast sparse mode, diffusion groupe indpendante du
protocole - mode pars). Deux RP partagent la charge pour l'enregistrement de
la source et font office de routeurs de secours chaud.
Du point de vue du WAN, cette stratgie prsente un avantage. En effet,
l'ensemble des priphriques de routage IP au sein du WAN utilisent une
configuration identique qui rfrence les RP Anycast. Le mode PIM SM IP
est activ sur toutes les interfaces, notamment sur les boucles, VLAN et
sous-interfaces.
Site distant WAN Connexion la couche de distribution
WAN WAN
Vlan50 Liaison routeur 1 Vlan50 Liaison routeur 1
Liaison 802.1q
(54,99)
Liaison 802.1q
(50,99)
Vlan54 Liaison routeur 2
Vlan99 Transit
Liaison 802.1q (50)
Liaison 802.1q (64, 69) Liaison 802.1q (xx-xx)
Liaison 802.1q (xx-xx)
Site distant WAN Couche de distribution et couche d'accs (routeur double)
WAN
Liaison 802.1q
(54,99)
Liaison 802.1q
(50,99)
Vlan99 Transit
Vlan100 Donnes (principal) Liaison 802.1q (xx-xx) Liaison 802.1q (64, 69)
Vlan64 - Donnes
Vlan69 - Voix
Vlanxx - Donnes
Vlanxx - Voix
Pas de HSRP
requis
Vlanxx Voix
12
Qualit de service
La plupart des utilisateurs peroivent le rseau comme un simple mcanisme
de transport permettant de faire passer des donnes d'un point A un point B,
aussi vite que possible. Nombreux sont ceux pour qui le rseau se rsume
des notions de vitesse et de flux. S' il est vrai que les rseaux IP acheminent
le trafic au mieux par dfaut, ce type de routage ne peut bien fonctionner que
pour les applications qui s'adaptent sans heurts aux variations de latence,
de gigue et de perte. Toutefois, de par leur conception, les rseaux sont
multiservices. Ils prennent en charge la voix et la vido en temps rel, ainsi que
le trafic de donnes. La diffrence rside dans le fait que, pour ces applications
en temps rel, les paquets doivent tre livrs en tenant compte des paramtres
de perte, de retard et de gigue dfinis.
En ralit, le rseau affecte tous les flux de trafic et doit tenir compte des
exigences des utilisateurs finaux et des services proposs. Mme avec une
bande passante illimite, certaines applications dpendantes du temps sont
affectes par les instabilits, les retards et les pertes de paquets. Avec la
qualit de service (QoS), une multitude de services et d'applications utilisateur
coexistent sur le mme rseau.
Au sein de cette architecture, il existe, dans le cadre de la qualit de service
intgre, des options de connectivit filaires et sans fil qui fournissent des
mcanismes avancs de classification, de gestion des priorits, de mise en
file d'attente et de contrle de l'encombrement. Il s'agit, par ce biais, d'assurer
une utilisation optimale des ressources du rseau. Cette fonctionnalit permet
de diffrencier les applications et de veiller ce que chacune se partage
quitablement les ressources du rseau. L' intention est ici de protger
l'exprience utilisateur et de garantir une utilisation cohrente des applications
professionnelles critiques.
La qualit de service est une fonction essentielle des priphriques
d' infrastructure rseau utiliss dans cette architecture. Elle active de nombreux
services et applications utilisateur, notamment la voix en temps rel, la vido
haute qualit et les donnes sensibles aux retards, leur permettant de coexister
sur le mme rseau. Afin que le rseau puisse fournir des services prvisibles,
mesurables et parfois garantis, il doit tre capable de grer les paramtres de
bande passante, de retard, de gigue et de pertes. Mme si vous n'en avez pas
besoin pour vos applications existantes, la qualit de service applique aux
protocoles de gestion et de rseau protge les fonctionnalits et la grabilit du
rseau en conditions de trafic normales et anormales.
L'objectif de cette conception est de fournir suffisamment de classes de
services pour permettre d'ajouter au rseau la voix, la vido interactive, des
applications de donnes sensibles et de trafic de gestion, soit partir du
dploiement initial, soit par la suite, avec un impact minime sur le systme et les
tches de dveloppement.
Nous avons utilis les classifications de qualit de service du tableau suivant
dans cette conception. Ce tableau vous est propos titre de rfrence.
Tableau 5 - Mappage des classes de services concernant la qualit
de service
Classe de
service
Comportement
par saut (PHB)
Priorit DSCP
(Differentiated
Services Code
Point)
Priorit
IP (IPP)
Classe de
service
(CoS)
Couche rseau Couche 3 Couche 3 Couche 3 Couche 2
Contrle du
rseau
CS6 48 6 6
Tlphonie EF 46 5 5
Signalisation CS3 24 3 3
Confrence
multimdia
AF41, 42, 43 34, 36, 38 4 4
Interactivit en
temps rel
CS4 32 4 4
Flux multimdia AF31, 32, 34 26, 28, 30 3 3
Diffusion vido CS5 40 4 4
Donnes faible
latence
AF21, 22, 23 18, 20, 22 2 2
Fonctionnement,
administration et
maintenance
CS2 16 2 2
Donnes de
masse
AF11, 12, 13 10, 12, 14 1 1
Scavenger CS1 8 1 1
Trafic au mieux
par dfaut
DF 0 0 0
13
Optimisation WAN
Cisco Wide Area Application Services (WAAS) est une solution d'optimisation
complte du WAN qui acclre les applications sur le WAN, facilite la
vido dans les bureaux distants et propose un hbergement local des
services informatiques de site distant. Cisco WAAS permet de centraliser
les applications ainsi que d'utiliser le stockage dans le data center tout en
prservant un niveau de performance de type LAN des applications.
WAAS acclre les applications et les donnes sur le WAN, optimise la bande
passante, renforce l' informatique en cloud et assure un hbergement local des
services informatiques de site distant, tout en proposant un niveau d' intgration
du rseau leader du march. Cisco WAAS permet aux services informatiques
de centraliser les applications et le stockage tout en prservant la productivit
des utilisateurs mobiles et des sites distants.
La gestion de WAAS est centralise. Elle ncessite un ou plusieurs
priphriques Cisco WAAS Central Manager qui, d'un point de vue physique,
se situent dans le data center, mais qui restent accessibles par le biais d'une
interface Web.
Pour optimiser le trafic WAN, il convient de dployer des appareils ou des
modules Cisco Wide Area Application Engine (WAE), tant au niveau du site
d'agrgation WAN que des sites distants WAN. Les WAE excutent le logiciel
WAAS qui assure les services d'optimisation du WAN. Cette conception oblige
installer un ou plusieurs priphriques WAE sur chaque emplacement et
plusieurs priphriques sur chaque site des fins de rsilience. La solution
Cisco WAAS fait office de proxy TCP. Elle s' intgre en toute transparence
aux autres services du rseau et offre une relle optimisation du WAN aux
utilisateurs finaux, sans pour autant devoir crer de tunnels d'optimisation sur le
WAN.
Les sites distants faible bande passante peuvent utiliser les fonctionnalits
WAAS Express (WAASx) intgres au logiciel Cisco IOS sur les routeurs Cisco.
WAASx intgre plusieurs des fonctionnalits de base de WAAS, l'exception
des optimiseurs d'applications de types CIFS et HTTP.
La solution d'optimisation du WAN est troitement intgre aux routeurs WAN,
les routeurs contrlant l' interception et la redirection du trafic optimiser avec
WAAS. Cette conception place les appareils WAAS sur les segments rseau
existants, rendant ainsi inutile toute modification importante du rseau.
Pour russir une mise en uvre WAAS, il vous faut :
une mthode d' interception du trafic choisi la fois vers le WAN et depuis
celui-ci ;
la possibilit de diriger le trafic choisi vers les priphriques WAE pour une
optimisation adapte ;
la possibilit pour le WAE de rinjecter le trafic optimis dans le rseau
aprs optimisation.
Le protocole WCCP (Web Cache Communication Protocol, protocole de
communication de mise en cache Web) est utilis sur les routeurs pour
intercepter le trafic transitant par le routeur et provenant du LAN (trafic fourni
par le client ou le data center) ou transitant par le routeur et provenant du WAN
(d'un WAE distant). Dans le cadre de la redirection WCCP, le trafic est envoy
sur un WAE choisi l'aide d'un tunnel GRE (Generic Routing Encapsulation,
encapsulation gnrique de routage).
Plusieurs priphriques WAE sur un emplacement peuvent faire office de
cluster. Les routeurs procdant la redirection WCCP sont responsables du
partage de la charge sur les diffrents priphriques WAE d'un cluster. La haute
disponibilit WAAS utilise ce que l'on appelle un modle N+1. Cela signifie que
si N priphriques quivalents sont ncessaires pour prendre en charge les
performances requises, un priphrique supplmentaire est demand pour
assurer la redondance.
Le trafic rinjecter dans le rseau utilise une mthode de sortie du tunnel
WCCP GRE avec retour ngoci pour retourner au routeur d'origine. C'est la
mthode que nous privilgions car elle permet de situer les appareils WAE un
ou plusieurs sauts de routeur plus loin que le routeur WCCP. Elle prsente de
nombreux avantages que nous aborderons plus en dtail dans les sections
suivantes.
Pour russir une mise en uvre WAAS Express, il vous faut :
un routeur qui rpond la configuration matrielle requise, avec tout
particulirement une mise niveau vers une DRAM maximale ;
une licence WAAS Express adapte.
Le routeur WAAS Express n'exige aucune redirection ou rinjection du trafic de
sorte que WCCP s'avre inutile. Cette fonction ne prend actuellement pas en
charge plusieurs liaisons actives. Elle est donc rserve, dans le cadre de cette
conception, des sites distants avec transport WAN unique.
14
Dploiement du WAN Srie de fvrier 2012
Dploiement du WAN
Objectifs de conception d'ensemble de
l'architecture du WAN
Routage IP
Cette conception vise les objectifs de routage IP suivants :
Assurer une connectivit de routage optimale des sites d'agrgation WAN
principaux tous les emplacements distants.
Isoler les changements de topologie de routage WAN des autres parties du
rseau.
Garantir un routage symtrique actif/veille lorsque plusieurs chemins
existent. Cela facilite le dpannage et empche une surallocation des
limites de CAC (Call Admission Control, contrle d'admission d'appels) en
tlphonie IP.
Fournir un routage distant site site par le biais du site d'agrgation WAN
principal (modle concentrateur et satellite).
Autoriser un routage site site direct optimal lorsque les services de
l'oprateur le permettent (modle satellite satellite).
Prendre en charge le multicast IP provenant du site d'agrgation WAN
principal.
Sur les sites distants WAN, il n'existe aucun accs local Internet pour la
navigation ou les services Cloud. Ce modle est appel modle Internet
centralis. Il convient de noter que les sites avec Internet/DMVPN pour le
transport de secours pourraient ventuellement proposer des fonctionnalits
Internet locales. Toutefois, dans le cadre de cette conception, seul le trafic
crypt vers d'autres sites DMVPN est autoris utiliser la liaison Internet.
Dans le modle Internet centralis, une route par dfaut est indique aux sites
distants WAN en plus des routes internes issues du data center et du campus.
Accs LAN
Tous les sites distants doivent prendre en charge l'accs LAN filaire et sans fil.
Haute disponibilit
Le rseau doit tolrer des conditions de panne uniques, notamment la
dfaillance d'une liaison de transport WAN ou d'un priphrique rseau sur le
site d'agrgation WAN principal.
Les sites distants classs comme tant de type routeur simple-liaison
double doivent pouvoir tolrer la perte de l'un de ces deux transports WAN.
Les sites distants classs comme tant de type routeur double-liaison
double doivent quant eux pouvoir tolrer la perte d'un routeur de
priphrie ou d'un transport WAN.
Prfrences de slection des chemins
Il existe de nombreux flux de trafic potentiels. Ils dpendent des transports
WAN utiliss ou encore du fait qu'un site distant utilise ou non un transport WAN
double.
Les fonctions de routage de transport WAN unique sont les suivantes :
Un site MPLS connect au VPN :
Se connecte un site sur le mme VPN MPLS. La route optimale est directe
au sein du VPN MPLS (le trafic n'est pas envoy vers le site principal).
Se connecte n' importe quel autre site. La route passe par le site principal.
L'utilisation de transports WAN doubles convient tout particulirement au
mode actif/veille. Ce type de configuration fournit un routage symtrique,
le trafic circulant sur le mme chemin, dans les deux sens. L'adoption d'un
routage symtrique simplifie les procdures de dpannage car les flux de trafic
bidirectionnels traversent toujours les mmes liaisons.
Dans cette conception, nous partons du principe que l'un des transports WAN
VPN MPLS est qualifi de transport principal, c'est--dire qu' il correspond au
chemin prfr dans la plupart des conditions.
Un site double connexion VPN MPLS principal + VPN MPLS secondaire :
Un site double connexion VPN MPLS + DMVPN :
Se connecte n' importe quel site DMVPN connexion unique. La route
optimale est directe au sein du DMVPN (seul le trafic initial est envoy
au concentrateur DMVPN, puis il transite par un tunnel de type satellite
satellite).
15
Dploiement du WAN Srie de fvrier 2012
Condentialit des donnes (cryptage)
L'ensemble du trafic des sites distants doit tre crypt lorsqu' il transite sur des
rseaux IP publics tels qu' Internet.
L'utilisation du cryptage ne doit pas amoindrir les performances ni nuire la
disponibilit d'une application de site distant. Tout doit tre transparent pour les
utilisateurs finaux.
Qualit de service (QoS)
Les applications commerciales doivent pouvoir s'excuter sur le WAN mme
lorsque le rseau est encombr. Il est ncessaire de classer le trafic et de
le mettre en file d'attente, ainsi que de concevoir la connexion WAN pour
qu'elle fonctionne dans les limites imposes par la connexion. Imaginons que
pour concevoir le WAN, vous faites appel un fournisseur de services offrant
un niveau de qualit de service. La classification et le traitement QoS la
priphrie du WAN doivent correspondre l'offre de ce fournisseur de services
pour garantir un traitement QoS du trafic cohrent et de bout en bout.
Optimisation des applications
Il est indispensable d'optimiser la majeure partie du trafic des applications
commerciales, du site d'agrgation WAN un site distant, tout comme il est
indispensable d'optimiser un trafic, quel qu' il soit, entre un site distant et un
autre site distant.
Cette optimisation des applications doit tre transparente pour les utilisateurs
finaux. Elle doit intgrer des composants de haute disponibilit qui compltent
d'autres composants du mme type entrant dans la conception du WAN.
Paramtres de conception
Ce guide de dploiement utilise certains paramtres de conception standard et
rfrence diffrents services d' infrastructure rseau qui se trouvent en dehors
du WAN. La liste de ces paramtres figure dans le tableau suivant.
Tableau 6 - Paramtres de conception universels
Service de rseau Adresse IP
Nom de domaine cisco.local
Active Directory, serveur DNS, serveur DHCP 10.4.48.10
ACS (Authentication Control System) 10.4.48.15
Serveur NTP (Network Time Protocol) 10.4.48.17
16
Dploiement d'un WAN MPLS Srie de fvrier 2012
Dploiement d'un WAN
MPLS
Prsentation commerciale
Pour que les utilisateurs des sites distants puissent participer efficacement
au dveloppement de l'activit, les entreprises se doivent de mettre en place
un WAN aux performances et la fiabilit suffisantes. Bien que la plupart des
applications et services que les utilisateurs des sites distants utilisent soient
centraliss, le WAN, par sa conception, doit proposer tous les employs,
o qu' ils se trouvent, un accs commun aux ressources.
Pour contrler les cots oprationnels, le WAN doit prendre en charge
la convergence des flux voix, vido et donnes sur une seule et mme
infrastructure gre de manire centralise. mesure que les entreprises
se dveloppent en dehors de leurs frontires, elles rclament davantage de
flexibilit dans la conception du rseau de manire rpondre aux conditions
d'accs spcifiques aux pays et en contrler le niveau de complexit. Les
rseaux MPLS proposs par les oprateurs sont omniprsents et deviennent
littralement incontournables pour une entreprise en passe de crer un WAN.
Pour rduire les dlais de dploiement de nouvelles technologies susceptibles
de prendre en charge les applications commerciales et les communications
mergentes, l'architecture du WAN doit absolument adopter une conception
flexible. La possibilit d' tendre facilement la bande passante ou encore
d'ajouter de nouveaux sites ou des liaisons rsilientes font de la solution MPLS
un transport WAN efficace pour les entreprises en pleine croissance.
Prsentation de la technologie
Conception WAN 500
La conception WAN 500 peut prendre en charge jusqu' 500 sites distants
avec une bande passante WAN combine agrge capable d'atteindre
1,0 Gbit/s. Les priphriques les plus importants la concernant sont les
routeurs WAN qui sont responsables de la fiabilit des transferts IP et de
la qualit de service. Cette conception utilise le routeur Cisco ASR 1002
(Aggregation Services Router) configur avec un processeur ESP 5
(Embedded Service Processor 5) comme routeur CE MPLS.
La conception WAN 500 utilise deux oprateurs de rseau MPLS et deux
routeurs CE MPLS.
Les routeurs Cisco de la gamme ASR 1000 entrent dans la composition de
la plate-forme de routage Cisco de nouvelle gnration, une plate-forme
modulaire services intgrs. Tout spcialement conus pour l'agrgation
WAN, ils sont suffisamment flexibles pour prendre en charge des capacits de
transfert de paquets trs tendues entre 3 et 16 mpps, des performances de
bande passante entre 2, 5 et 40 Gbit/s et une mise l' chelle.
La gamme Cisco ASR 1000 est entirement modulaire, tant du point de vue
matriel que logiciel, et les routeurs disposent de tous les lments que l'on
s'attend trouver dans un produit de routage de classe oprateur adapt la
fois aux rseaux des grandes entreprises et ceux des fournisseurs de services.
Figure 9 - Conception WAN 500 Connexions MPLS
Conception WAN 500 Connexions MPLS
Couche centrale
Routeurs MPLS CE :
S 000
Couche de distribution
ASR1000
MPLS A MPLS B
17
Conception WAN 100
La conception WAN 100 peut prendre en charge jusqu' 100 sites distants avec
une bande passante WAN combine agrge capable d'atteindre 100 Mbit/s.
Il ne s'agit ni plus ni moins que d'une version plus limite de la conception
WAN 500. Elle fournit des possibilits de mise l' chelle rduites. Pour tre
en mesure d'accrotre la bande passante ou d'augmenter le nombre de sites
ultrieurement, mieux vaut s'orienter vers la conception WAN 500. Vous
viterez ainsi les interruptions inutiles provoques par la mise niveau des
priphriques. Cette conception utilise le routeur Cisco ASR 1001 comme
routeur CE MPLS. La conception WAN 100 utilise un seul oprateur de
rseau MPLS et un seul routeur CE MPLS.
Figure 10 - Conception WAN 100 Connexions MPLS
Sites distants Slection de routeur CE MPLS
Les plates-formes de routage de site distant WAN restent non spcifies. En effet,
la spcification est troitement lie la bande passante requise par un site et
aux besoins ventuels de logements de modules de service. La possibilit de
mettre en uvre cette solution et de slectionner le routeur parmi un grand choix
disponible constitue l'un des avantages de l'approche modulaire.
Au moment de slectionner les routeurs de site distant WAN, de nombreux
facteurs entrent en ligne de compte. L'un d'entre eux, qui est d'ailleurs
essentiel au dploiement initial, est la possibilit de traiter le volume et le type
souhaits de trafic. Vous devez galement vous assurer que vous disposez
de suffisamment d' interfaces et de logements de modules ainsi que de
l' image logicielle Cisco IOS sous licence qui convient pour prendre en charge
l'ensemble des fonctions requises par la topologie. Cisco a test, en tant que
routeurs CE MPLS, cinq modles de routeur services intgrs et a consign
leurs performances dans le tableau suivant.
Tableau 7 - Options des routeurs services intgrs pour site distant
WAN
Option 1941
1
2911 2921 3925 3945
WAN Ethernet
avec services
2

25 Mbit/s 35 Mbit/s 50 Mbit/s 100 Mbit/s 150 Mbit/s
Ports GE
embarqus
2 3 3 3 3
Logements de
modules de
services
3

0 1 1 2 4
Option
d'alimentation
redondante
Non Non Non Oui Oui
Remarques :
1. Nous recommandons l'utilisation du modle 1941 sur les sites distants de
type routeur unique-liaison unique.
2. Les performances signales sont celles habituellement constates lorsque
le routeur achemine un trafic IMIX comportant des services lourds avec un
taux d'utilisation du processeur infrieur 75 %.
3. Certains modules de services ont une largeur double.
Les routeurs CE MPLS sur les sites distants WAN se connectent de la mme
manire que leurs homologues sur un site d'agrgation WAN. Le site distant
WAN MPLS liaison unique est l' lment constitutif fondamental de tous les
emplacements distants. Cette conception peut tre utilise tout en connectant
directement le routeur CE la couche d'accs. Elle peut aussi prendre en
charge une topologie LAN plus complexe en connectant directement le routeur
CE la couche de distribution.
Conception WAN 100 Connexion MPLS
Routeur CE MPLS :
ASR1001
MPLS
18
Le routage IP est trs simple. Des routes statiques au niveau du site
d'agrgation WAN et de routes statiques par dfaut au niveau du site distant
suffisent. Toutefois, vous avez tout gagner utiliser un routage dynamique
pour la configuration de ce type de site.
Un routage dynamique facilite l'ajout ou la modification des rseaux IP sur les
sites distants car les changements sont immdiatement propags au reste du
rseau. Les sites MPLS connects au VPN ncessitent la gestion par l'oprateur
du routage statique et toute modification doit faire l'objet d'une demande
auprs de ce mme oprateur.
Figure 11 - Site distant WAN MPLS (routeur unique, liaison unique)
Vous pouvez renforcer la conception de base liaison unique en ajoutant un
transport WAN alternatif qui utilise un oprateur de rseau MPLS secondaire
ou un DMVPN sur Internet et qui se connecte au mme routeur ou un
routeur supplmentaire. En ajoutant une liaison supplmentaire, vous assurez
au site distant le premier niveau de haute disponibilit. Le routeur peut
automatiquement dtecter les dfaillances de la liaison principale et ainsi
rerouter le trafic sur le chemin secondaire. N'oubliez pas que vous devez
absolument utiliser un routage dynamique si vous disposez de plusieurs
chemins. Un ajustement des protocoles de routage est ncessaire pour garantir
les flux de trafic souhaits.
Figure 12 - Site distant WAN MPLS double oprateur (options liaison
double)
La conception de type routeur double-liaison double amliore encore le niveau
de haute disponibilit du site. Elle peut tolrer la perte du routeur principal car
le routeur secondaire reroute le trafic par l'autre chemin.
Figure 13 - Site distant WAN MPLS + DMVPN (options liaison double)
Dtails de la conception
Tous les routeurs CE MPLS d'agrgation WAN se connectent au mme
priphrique de commutation rsilient, sur la couche de distribution. Tous les
priphriques utilisent des connexions EtherChannel qui comprennent deux
ports embarqus. Cette conception offre la fois rsilience et performances de
transfert supplmentaires. Pour accrotre encore davantage les performances
de transfert, augmentez le nombre de liaisons physiques au sein de chaque
EtherChannel.
Site distant WAN MPLS (liaison unique, routeur unique)
VPN MPLS
Site distant WAN MPLS + DMVPN (options liaison double)
VPN MPLS
DMVPN
I t t
DMVPN
Internet
Internet VPN MPLS
VPN MPLS (connexions PE-CE)
CE CE
CE
CE
PE PE
Contigits directes uniquement
entre les routeurs CE et PE
19
Le transport WAN par Ethernet est le seul type de support que nous avons
test et que nous proposons dans la section de configuration. D'autres types
de support sont couramment utiliss (p. ex. T1/E1). Ces technologies sont
fiables, ainsi que bien comprises. Du fait de la multitude de choix possibles en
matire de transport, de type de support et d' interface, nous avons dcid de
nous limiter dans le cadre de ce guide de dploiement. Nous vous invitons
consulter les autres guides pour vous documenter sur les variantes disponibles.
Les VPN MPLS ncessitent une liaison entre un routeur PE (Provider
Edge, priphrie fournisseur) et un routeur CE. Les routeurs PE et CE sont
considrs comme ayant le mme voisinage IP sur cette liaison. Les routeurs
CE ne peuvent communiquer avec les autres routeurs CE du WAN que par
l' intermdiaire des routeurs PE.
Figure 14 - VPN MPLS (connexions PE-CE)
Il est indispensable d' installer des routeurs PE et CE pour dtenir des
informations de routage suffisantes et ainsi assurer une accessibilit de bout en
bout. La prservation de ces informations exige habituellement la mise en place
d'un protocole de routage. BGP est le plus couramment utilis dans ce domaine.
Les diffrents routeurs CE indiquent leurs routes aux routeurs PE, qui propagent
les informations de routage sur le rseau de l'oprateur et indiquent en
retour les routes aux autres routeurs CE. Cette propagation des informations
de routage est connue sous le nom de routage PE-CE dynamique. Elle est
essentielle lorsqu'un site dispose de plusieurs transports WAN (conception
double rsidence ou rsidences multiples).

Les protocoles EIGRP et OSPF sont aussi efficaces que les
protocoles de routage PE-CE, mais ils peuvent ne pas tre
universellement disponibles sur tous les oprateurs VPN MPLS.
Conseil l'intention des techniciens
Les sites proposant un transport WAN unique (site une seule rsidence)
n'ont pas besoin de routage PE-CE dynamique. Ils peuvent utiliser un routage
statique car un seul chemin mne destination. Cette conception intgre
uniquement un routage PE-CE dynamique pour assurer la cohrence des
configurations tant sur les sites rsidence unique que sur les sites double
rsidence. Cela permet galement une transition simple entre une conception
de site distant un rsidence unique et une conception de site distant double
rsidence, puisqu' il suffit d'ajouter une liaison supplmentaire un site distant
existant.
Cisco n'a pas test les routeurs PE et leurs configurations ne sont ainsi pas
proposes dans le prsent guide.
Pour un dploiement WAN VPN MPLS, vous devez installer et configurer des
routeurs CE MPLS sur chaque emplacement, notamment sur le site d'agrgation
WAN, et sur chaque site distant MPLS connect au WAN.
Sur le site d'agrgation WAN, un routeur CE MPLS doit tre connect
la couche de distribution ainsi qu' son oprateur MPLS ddi. Plusieurs
protocoles de routage (EIGRP et BGP) servent aux changes d' informations de
routage. Leurs configurations par dfaut sont ajustes pour parvenir des flux
de trafic en accord avec ce que vous recherchez. Consultez la figure suivante.
Elle fournit des dtails relatifs au routage IP pour une topologie d'agrgation
WAN un et deux oprateurs de rseau MPLS.
Figure 15 - Conceptions WAN 500/WAN 100 Dtails relatifs au
routage CE MPLS
Conceptions WAN 500/100 Dtail du routage CE MPLS
Di t ib ti WAN
Distribution WAN
Routeurs MPLS CE
Distribution WAN
Routeurs MPLS CE
iBGP
eBGP eBGP
eBGP
VPN MPLS A VPN MPLS B
VPN MPLS A
VPN MPLS (connexions PE-CE)
CE CE
CE
CE
PE PE
20
EIGRP
Cisco a choisi EIGRP comme protocole de routage principal car il est simple
configurer, ne ncessite aucune planification importante, possde des options de
rsum et de filtrage souples et peut voluer pour prendre en charge de grands
rseaux. mesure que le rseau se dveloppe, le nombre de prfixes ou de
routes IP dans les tables de routage augmente lui aussi. Nous vous conseillons de
programmer un rsum IP sur les liaisons sur lesquelles des frontires logiques
existent, par exemple sur les liaisons de la couche de distribution avec le rseau
tendu ou avec le cur du rseau. Par le biais de ce rsum IP, vous rduisez les
besoins en bande passante, le nombre de processeurs et la quantit de mmoire
ncessaires au transport de grandes tables de routage, de mme que vous limitez
les temps de convergence associs une dfaillance de liaison.
Dans cette conception, EIGRP processus 100 est le processus EIGRP principal.
Il est dsign sous la forme EIGRP-100.
EIGRP-100 vous aide vous connecter la couche de distribution du LAN du
site principal au niveau d'un site d'agrgation WAN. Il est galement utilis au
niveau des sites distants WAN avec routeurs WAN doubles ou avec topologies
LAN couche de distribution.
BGP
Cisco a choisi BGP comme protocole de routage pour connecter les routeurs
PE et CE aux VPN MPLS car il est pris en charge par quasiment tous les
oprateurs de rseau MPLS. Dans ce type de conception, BGP est trs
simple configurer et n'exige quasiment pas de maintenance, voire aucune.
BGP s'adapte bien et vous pouvez l'utiliser pour favoriser l'agrgation des
adresses IP concernant les sites distants.
Pour utiliser BGP, vous devez slectionner un ASN (Autonomous System
Number, numro de systme autonome). Dans cette conception, nous utilisons
un ASN priv (65511) tel que dfini par l' IANA (Internet Assigned Numbers
Authority, autorit d'affectation de numros sur Internet). La plage des ASN
privs s' tend de 64512 65534.
Une conception MPLS double oprateur passe par une connexion iBGP entre
les routeurs CE de sorte prserver les informations de routage destines aux
sites distants.
Le dploiement en dtail
Les procdures dcrites dans cette section sont pour nous l'occasion de vous
fournir des exemples de paramtrage. Les paramtres et les valeurs que vous
utilisez proviennent de votre configuration rseau actuelle.
Tableau 8 - Services rseau communs utiliss dans les exemples de
dploiement
Service Adresse
Nom d' hte : CE-ASR1002-1
Adresse IP de bouclage (routeur) : 10.4. 32. 241/32
Adresse IP Port Channel (routeur) : 10.4. 32. 2/30

Configuration du routeur CE MPLS
1. Configuration du commutateur de la couche de distribution
2. Configuration de la plate-forme d'agrgation WAN
3. Configuration de la connectivit du LAN
4. Connexion au routeur PE MPLS
5. Configuration du routage EIGRP
6. Configuration du routage BGP
Procdure

Procdure 1 Conguration du commutateur de la couche
de distribution

La procdure suppose que le commutateur de distribution a dj t
configur selon les conseils contenus dans le guide de dploiement
des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations
Borderless Networks. Seules les procdures ncessaires la prise
en charge de l' intgration du routeur d'agrgation WAN dans le
dploiement sont incluses dans ce guide.
Conseil l'intention du lecteur
Le commutateur LAN de la couche de distribution correspond au chemin
menant au campus principal et au data center de l'entreprise. Une interface Port
Channel de couche 3 se connecte au commutateur de la couche de distribution
et au routeur d'agrgation WAN. C'est cette interface que s'adresse le
protocole de routage interne.
21

La meilleure pratique consiste, si possible, utiliser la mme
numrotation de canal aux deux extrmits de la liaison.
tape 1 : Configurez l' interface Port Channel de couche 3 et affectez
l'adresse IP.
interface Port Channel1
description CE-ASR1002-1
no switchport
ip address 10.4.32.1 255.255.255.252
ip pim sparse-mode
logging event link-status
carrier-delay msec 0
no shutdown
tape 2 : Configurez les interfaces des membres EtherChannel.
Configurez les interfaces physiques et reliez-les aux interfaces Port Channel
logiques l'aide de la commande channel-group. Le nombre d' interfaces Port
Channel et de commandes channel-group doit correspondre.
De mme, utilisez la macro egress QoS dfinie dans la procdure de
configuration de la plate-forme pour dfinir de manire correcte les priorits du
trafic.
interface GigabitEthernet1/0/1
description CE-ASR1002-1 Gig0/0/0
!
description CE-ASR1002-1 Gig0/0/1
!
interface range GigabitEthernet1/0/1, GigabitEthernet2/0/1
no switchport
macro apply EgressQoS
channel-protocol lacp
channel-group 1 mode active
logging event trunk-status
logging event bundle-status
no shutdown
tape 3 : Configurez les interfaces connectes la partie centrale du LAN
pour rsumer la plage du rseau WAN.
interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1
ip summary-address eigrp 100 10.4.32.0 255.255.248.0
tape 4 : Autorisez le protocole de routage former des relations de voisinage
sur l' interface Port Channel.
router eigrp 100
no passive-interface Port Channel1

Procdure 2 Conguration de la plate-forme d'agrgation
WAN
Dans cette conception, il existe des fonctionnalits et des services communs
l'ensemble des routeurs d'agrgation WAN. Il s'agit de paramtres systme qui
simplifient et scurisent la gestion de la solution.
tape 1 : Configurez le nom d' hte du priphrique.
Configurez le nom d' hte du priphrique pour en faciliter l' identification.
hostname CE-ASR1002-1
tape 2 : Configurez les protocoles de gestion des priphriques.
HTTPS (Secure HTTP, HTTP scuris) et SSH (Secure Shell, shell scuris)
sont des protocoles scuriss utiliss en remplacement des protocoles HTTP
et Telnet. Ils utilisent SSL (Secure Sockets Layer, couche de sockets scurise)
et TLS (Transport Layer Security, scurit de la couche transport) pour
l'authentification du priphrique et le cryptage des donnes.
22
Activez la gestion scurise du priphrique LAN au moyen des protocoles
SSH et HTTPS. Ces deux protocoles sont crypts des fins de confidentialit
tandis que les protocoles non scuriss Telnet et HTTP sont dsactivs.
ip domain-name cisco.local
ip ssh version 2
no ip http server
ip http secure-server
line vty 0 15
transport input ssh
Activez le protocole SNMP (Simple Network Management Protocol, protocole
simple de gestion de rseau) pour permettre la gestion des priphriques
de l' infrastructure rseau par un systme d'administration rseau (NMS).
SNMPv2c est configur pour la chane de communaut en lecture seule et en
lecture-criture.
snmp-server community cisco RO
snmp-server community cisco123 RW
tape 3 : Configurez l'authentification de l'utilisateur scurise.
Activez le protocole AAA (authentication, authorization and accounting,
authentification, autorisation et traabilit) pour le contrle d'accs. AAA
contrle tous les accs de gestion aux priphriques d' infrastructure rseau
(SSH et HTTPS).

Le serveur AAA utilis dans cette architecture est le serveur Cisco
ACS. Pour plus d' information sur la configuration ACS, consultez
le guide Cisco SBA for Enterprise OrganizationsBorderless
Networks Network Device Authentication and Authorization
Deployment Guide.
TACACS+ est le principal protocole utilis pour authentifier les connexions de
gestion au serveur AAA sur les priphriques d' infrastructure. Une base de
donnes utilisateur AAA locale est galement dfinie sur chaque priphrique
de l' infrastructure rseau de manire fournir une source d'authentification de
secours au cas o le serveur TACACS+ centralis ne serait pas disponible.
enable secret c1sco123
service password-encryption
!
username admin password c1sco123
aaa new-model
!
tacacs server TACACS-SERVER-1
address ipv4 10.4.48.15
key SecretKey
!
aaa group server tacacs+ TACACS-SERVERS
server name TACACS-SERVER-1
!
aaa authentication login default group TACACS-SERVERS local
aaa authorization exec default group TACACS-SERVERS local
aaa authorization console
ip http authentication aaa
tape 4 : Configurez une horloge synchronise.
Le protocole NTP (Network Time Protocol, protocole d' heure rseau) sert
synchroniser un rseau de priphriques. L' heure d'un rseau NTP provient
habituellement d'une source faisant autorit, par exemple une horloge radio-
pilote ou une horloge atomique rattache un serveur temporel. Le protocole
NTP distribue ensuite cette heure l'ensemble du rseau de l'organisation.
23
Vous devez programmer les priphriques rseau pour qu' ils se synchronisent
avec un serveur NTP local sur le rseau. Ce serveur NTP local utilise
habituellement une heure plus prcise fournie par une source externe.
Vous pouvez configurer l' inclusion d'un horodatage lors de la gnration des
messages de console, des journaux et des rsultats de dbogage afin de
pouvoir recouper les vnements du rseau.
!
clock timezone PST -8
clock summer-time PDT recurring
!
service timestamps debug datetime msec localtime
service timestamps log datetime msec localtime
Lorsque la journalisation synchrone des rsultats de dbogage ou des
messages non sollicits est active, les messages de journalisation de la
console s'affichent sur cette dernire aprs l'affichage ou l' impression des
rsultats de l' interface de ligne de commande (CLI) interactive. Au moyen
de cette commande, vous pouvez poursuivre la saisie sur la console du
priphrique lorsque le dbogage est activ.
line con 0
logging synchronous
tape 5 : Configurez une interface de gestion intrabande.
L' interface de bouclage est une interface logique. Elle est accessible tant que
le priphrique est sous tension et qu'une interface IP est accessible sur le
rseau. Grce cette fonctionnalit, l'adresse de bouclage assure ainsi de
manire idale la gestion intrabande du commutateur. Le processus et les
fonctionnalits de couche 3 sont galement lis l' interface de bouclage pour
garantir la rsilience du processus.
L'adresse de bouclage est habituellement une adresse hte possdant un masque
d'adresse 32 bits. Affectez au reste du rseau l'adresse de bouclage issue du bloc
d'adresses IP rsum par le commutateur de la couche de distribution.
interface loopback 0
ip address 10.4.32.241 255.255.255.255
ip pim sparse-mode
Nous expliquerons au cours de l' tape 3 la commande ip pim sparse-mode.
Liez les processus SNMP et SSH l'adresse d' interface de bouclage pour une
rsilience optimale :
snmp-server trap-source Loopback0
ip ssh source-interface Loopback0
ip pim register-source Loopback0
ip tacacs source-interface Loopback0
ntp source Loopback0
tape 6 : Configurez le routage IP unicast.
Configurez le protocole EIGRP face la couche de distribution ou la
couche centrale du LAN. Dans cette conception, l' interface Port Channel et
la boucle doivent tre des interfaces EIGRP. La boucle doit rester quant
elle une interface passive. La plage rseau doit inclure les deux adresses IP
de l' interface, sous la forme d'une seule ou de plusieurs instructions rseau.
Cette conception suit les meilleures pratiques dfinies concernant l'affectation
de l' ID du routeur une adresse de bouclage.
router eigrp 100
network 10.4.0.0 0.1.255.255
no auto-summary
passive-interface default
eigrp router-id 10.4.32.241
tape 7 : Configurez le routage IP multicast.
partout. La fonction de tlphonie IP MOH et le flux de diffusion vido IP sont
deux exemples d'applications multicast IP.
IGMP au routeur multicast local dont ils dpendent. Dans une conception
Dans cette conception, qui s'appuie sur une opration multicast de type
mode sparse, la fonction Auto RP est utilise. Elle aide de manire simple
mais cependant volutive mettre en place un environnement RP hautement
rsilient.
Activez le routage multicast IP sur les plates-formes en mode de configuration
globale.
ip multicast-routing distributed
Tous les commutateurs et routeurs de couche 3 doivent tre configurs de
sorte dtecter le point de rendez-vous multicast IP avec autorp. Utilisez
la commande ip pim autorp listener pour autoriser la reconnaissance
dans les liens du mode sparse. Cette configuration permet de faire voluer
l'environnement en multicast IP et de le contrler. Elle peut changer en fonction
des besoins et de la conception du rseau.
ip pim autorp listener
Toutes les interfaces de couche 3 du rseau doivent tre actives pour
l'opration de multicast en mode sparse.
ip pim sparse-mode
24

Procdure 3 Conguration de la connectivit du LAN
Les liaisons vers des couches de distribution adjacentes doivent tre des
liaisons ou des EtherChannels de couche 3.
tape 1 : Configurez l' interface de couche 3.
ip address 10.4.32.2 255.255.255.252
ip pim sparse-mode
no shutdown
description WAN-D3750X Gig1/0/1
!
!
no ip address
no shutdown
tape 3 : Configurez l interface EIGRP.
Permettez EIGRP de former des liens de voisinage sur l'ensemble de
l' interface afin d' tablir des appairages adjacents et des tables de routage
d' change.
router eigrp 100

Procdure 4 Connexion au routeur PE MPLS
tape 1 : Attribuez la bande passante de l' interface.
La valeur de la bande passante doit correspondre la vitesse relle de
l' interface. Dans le cas d'un service de type sous-dbit, utilisez le dbit contrl
de l'oprateur.
L'exemple ci-dessous prsente une interface Gigabit (1 000 Mbit/s) avec un
sous-dbit de 300 Mbit/s.
bandwidth 300000

Rfrence relative aux commandes :
bandwidth Kbit/s
(300 Mbit/s = 300 000 Kbit/s)
tape 2 : Attribuez le masque rseau et l'adresse IP de l' interface WAN.
Vous devez ngocier l'adressage IP utilis entre des routeurs CE et PE avec
votre oprateur MPLS. On utilise gnralement un masque rseau point point
de 255. 255. 255. 252.
ip address 192.168.3.1 255.255.255.252
tape 3 : Activez l' interface et dsactivez le protocole CDP administrativement.
Nous ne recommandons pas l'utilisation du protocole CDP sur des interfaces
externes.
no cdp enable
no shutdown
25

Procdure 5 Conguration du routage EIGRP
tape 1 : Redistribuez le routage BGP vers EIGRP.
Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut.
Par dfaut, seules les valeurs de bande passante et de dlai sont utilises pour
le calcul de cette mesure.
router eigrp [numro de systme autonome]
default-metric [bande passante] [dlai] 255 1 1500
redistribute bgp [ASN BGP]

default-metric mtu de chargement de fiabilit du dlai de bande
passante
bandwidth : bande passante minimum de la route en kilobits par
seconde
delay : dlai de la route en diximes de microseconde
tape 2 : Configurez la carte de routage et la liste de distribution entrante pour
EIGRP.
Cette conception utilise une redistribution des routes mutuelle ; les routes BGP
sont distribues vers EIGRP et les routes EIGRP vers BGP (point trait dans la
Procdure 5). L'utilisation de cette configuration requiert le contrle prcis du
partage des informations de routage entre les diffrents protocoles de routage.
Un battement de route risque de se produire sinon, savoir que certaines
routes sont installes puis retires des tables de routage des priphriques de
manire rpte. Un contrle adquat des routes garantit la stabilit de la table
de routage.
Dans le cas d'une liste de distribution entrante, vous utilisez une carte de
routage afin de spcifier les routes pouvant tre installes dans la table
de routage. Les routeurs CE MPLS d'agrgation WAN sont configurs de
sorte accepter uniquement les routes ne provenant pas des sources WAN
DMVPN ou MPLS. Pour ce faire, vous devez crer une carte de routage qui
corresponde toutes les routes provenant du WAN indiqu par un marqueur
de route spcifique. Cette mthode permet l' identification dynamique des
diverses routes WAN. Les routes BGP acquises sont implicitement marques
par leur systme autonome (AS) d'origine respectif et les autres routes WAN
sont explicitement marques par leur routeur d'agrgation WAN (point trait
dans une autre procdure). Les marquages de routes spcifiques utiliss sont
indiqus ci-dessous.
Tableau 9 - Informations de marquage de route pour les routeurs CE
MPLS d'agrgation WAN
Marquage Origine de la route
Mthode de
marquage action
65401 VPN MPLS A implicite bloquer
65402 VPN MPLS B implicite bloquer
300 WAN de couche 2 explicite accepter
65512 Routeurs concentrateurs
DMVPN
explicite bloquer
Cet exemple inclut toutes les origines de routes WAN de la conception de
rfrence. Vous devrez peut-tre bloquer d'autres marquages, selon la
conception spcifique de votre rseau.
Lorsque vous crez la carte de routage, il est important d' inclure la fin de
celle-ci une instruction de type permit de sorte autoriser l' installation de
routes dont les marquages ne correspondent pas.

Si vous configurez la redistribution mutuelle des routes sans
correspondance, sans marquage et sans filtrage corrects, un
battement des routes peut se produire, et ainsi provoquer une
instabilit.
route-map BLOCK-TAGGED-ROUTES deny 10
match tag 65401 65402 65512
!
route-map BLOCK-TAGGED-ROUTES permit 20
!
router eigrp 100
distribute-list route-map BLOCK-TAGGED-ROUTES in
default-metric 100000 100 255 1 1500
redistribute bgp 65511
26

Procdure 6 Conguration du routage BGP
tape 1 : Activez le routage BGP.
Cette tape requiert l'utilisation d'un ASN BGP. Vous pouvez consulter votre
oprateur MPLS pour connatre les exigences spcifiques l'ASN, mais il est
possible que vous soyez autoris utiliser un ASN priv tel que dsign par
l' IANA. La plage des ASN privs s' tend de 64512 65534.
Le routeur CE communique uniquement les routes rseau au PE par
l' intermdiaire du protocole BGP lorsque :
La route est spcifie dans les instructions rseau et figure dans la table de
routage locale.
La route est redistribue vers BGP.
router bgp 65511
no synchronization
bgp router-id 10.4.32.241
bgp log-neighbor-changes
no auto-summary
tape 2 : Configurez le routage eBGP.
Vous devez configurer le routage BGP avec le priphrique PE de l'oprateur
MPLS. Ce dernier doit fournir son ASN (l'ASN dont il est fait mention l' tape 1
est celui identifiant votre site). Le routeur PE de l'oprateur utilisant un ASN
diffrent, cette configuration est considre comme une connexion BGP
externe (eBGP).
Il est souhaitable d' indiquer une route pour la liaison PE-CE ; incluez donc ce
rseau dans une instruction rseau. Vous pouvez utiliser cette indication pour
dterminer l'accessibilit du routeur des fins de dpannage.
router bgp 65511
network 192.168.3.0 mask 255.255.255.252
neighbor 192.168.3.2 remote-as 65401
tape 3 : Redistribuez le routage EIGRP vers BGP.
Toutes les routes EIGRP acquises par le routeur CE doivent tre indiques au
sein du WAN, y compris celles provenant du cur du rseau et celles destines
d'autres sites WAN. Dans un souci d'efficacit accrue, rsumez ces routes
avant leur communication au routeur CE.
Le protocole BGP ne propageant aucune route par dfaut dans le cadre de la
redistribution, vous devez indiquer explicitement 0.0.0.0 dans une instruction
rseau.
router bgp 65511
network 0.0.0.0
redistribute eigrp 100
tape 4 : Configurez le routage iBGP (Facultatif).
Dans le cas de deux oprateurs MPLS, une liaison BGP est configure entre les
routeurs CE.
Ces derniers utilisant le mme ASN, cette configuration est considre comme
une connexion BGP interne (iBGP). Cette conception fait appel un appairage
iBGP utilisant des adresses de bouclage de priphrique, ncessitant ainsi les
options de configuration update-source et next-hop-self.
router bgp 65511
neighbor 10.4.32.242 update-source Loopback0
neighbor 10.4.32.242 next-hop-self
27

Configuration des routeurs CE MPLS de site distant
1. Configuration du routeur WAN distant
4. Configuration du routage de couche d'accs
5. Configuration du routeur HSRP de couche d'accs
6. Configuration du rseau de transit
7. Configuration du routage EIGRP (ct LAN)
8. Activation du suivi d'objets avanc
Procdure
Utilisez ce processus pour la configuration dans l'un des cas de figure suivants :
Routeur CE MPLS d'un site distant WAN MPLS (routeur unique, liaison
unique).
Site distant WAN MPLS avec deux oprateurs. Utilisez ces procdures
lors de la configuration initiale d'un routeur CE MPLS double connexion
dans le cadre de la conception base sur un routeur unique et une liaison
double ou lors de la configuration du premier routeur dans le cadre de la
conception de type routeur double et liaison double.
Site distant WAN MPLS + DMVPN. Utilisez ces procdures lors de la
configuration initiale d'un routeur satellite double rle CE MPLS et DMVPN
dans le cadre de la conception base sur un routeur unique et une liaison
double.
Premier routeur dans le cadre de la conception de type routeur double et
liaison double.
L'organigramme suivant prsente de manire dtaille le processus de
configuration du routeur CE MPLS d'un site distant.
Figure 16 - Organigramme de la configuration du routeur CE MPLS
d'un site distant

Procdure 1 Conguration du routeur WAN distant
Cette conception comprend plusieurs fonctionnalits et services communs
tous les routeurs WAN de site distant. Il s'agit de paramtres systme qui
tape 1 : Configurez le nom d' hte du priphrique pour en faciliter
l' identification.
hostname [nom d'hte]
Routeur CE MPLS de site distant
Routeur unique, liaison unique
Routeur unique, liaison double
Routeur double, liaison double (1
er
routeur)
1. Fin de la configuration universelle des routeurs WAN
3 Configuration du routage BGP
Procdures de configuration
NON Couche de distribution
Conception ?
Routeur double
1. Connexion d'un routeur CS MPLS
OUI
OUI
NON
NON
Procdures de la couche de distribution
Routeur double
Conception ?
Routeur double
Conception ?
OUI
OUI NON
NON
4. Configuration du routage de
couche d'accs
5. Configuration du routeur HSRP de couche
d'accs
8. Activation du suivi d'objets avanc
2009, Cisco Systems, Inc. Tous droits rservs. Document interne de Cisco 1
Configuration du 2
e
routeur de site distant
Configuration du 2
e
routeur de site distant
Routeur CE MPLS
Configuration termine
Routeur CE MPLS
28
ip ssh version 2
no ip http server
line vty 0 15
transport input ssh
lecture-criture.
(SSH et HTTPS).

Deployment Guide.
!
aaa new-model
!
key SecretKey
!
!
habituellement une heure plus prcise fournie par une source externe. Vous
pouvez configurer l' inclusion d'un horodatage lors de la gnration des
ntp update-calendar
!
!
29
line con 0
logging synchronous
L'adresse de bouclage est habituellement une adresse hte possdant un
masque d'adresse 32 bits. Affectez l'adresse IP en boucle du routeur de site
distant depuis une plage rseau unique ne faisant pas partie d'une autre plage
de rsum rseau interne.
interface Loopback0
ip address [adresse IP] 255.255.255.255
ip pim sparse-mode
La commande ip pim sparse-mode est explique plus loin dans le processus.
snmp-server trap-source Loopback 0
ip ssh source-interface Loopback 0
rsilient.
globale.
ip multicast-routing
ip pim sparse-mode

l' interface. Dans le cas d'un service de type sous-dbit, utilisez toutefois le dbit
contrl de l'oprateur.
interface [type d'interface] [numro]
bandwidth [bande passante (Kbit/s)]
30

bandwidth Kbit/s
(10 Mbit/s = 10 000 Kbit/s)
de 255. 255. 255. 252.
ip address [adresse IP] [masque rseau]
tape 3 : Activez l' interface et dsactivez le protocole CDP administrativement.
Nous ne recommandons pas l'utilisation du protocole CDP sur des interfaces
externes.
no cdp enable
no shutdown
Exemple
interface GigabitEthernet0/0
bandwidth 10000
ip address 192.168.3.9 255.255.255.252
no cdp enable
no shutdown

Cette tape requiert un ASN BGP. Il est possible que vous puissiez rutiliser
la valeur dfinie sur le routeur CE MPLS VPN depuis le site d'agrgation WAN.
Consultez votre oprateur MPLS pour connatre les exigences spcifiques
l'ASN.
l' intermdiaire du protocole BGP dans les cas suivants :
routage locale.
La route est redistribue vers BGP (non applicable dans le cas d'un site
distant).
router bgp 65511
no synchronization
bgp router-id [adresse IP de la boucle0]
no auto-summary
est celui identifiant votre site). tant donn que le routeur PE de l'oprateur
utilisera un ASN diffrent, cette configuration est considre comme une
connexion BGP externe (eBGP).
Vous devez communiquer les rseaux LAN de sites distants. L'affectation
d'adresses IP pour les sites distants a t conue de sorte que tous les
rseaux en cours d'utilisation peuvent tre rsums en une seule route globale.
L'adresse globale telle que configure ci-dessous supprime les routes plus
spcifiques. Si un rseau LAN quelconque figure dans la table de routage,
l'adresse globale est communique au routeur PE MPLS, ce qui offre une
certaine rsilience. Si vous ne pouvez pas rsumer les divers rseaux LAN,
vous devez alors les rpertorier individuellement.
router bgp 65511
network [rseau liaison PE-CE] mask [masque rseau liaison
PE-CE]
network [rseau de DONNES] mask [masque rseau]
network [rseau VOCAL] mask [masque rseau]
network [rseau de DONNES WLAN] mask [masque rseau]
network [rseau VOCAL WLAN] mask [masque rseau]
aggregate-address [adresse IP rsume] [masque rseau rsum]
summary-only
neighbor [adresse IP de PE] remote-as [ASN de l'oprateur]
31
Exemple
router bgp 65511
no synchronization
network 192.168.3.8 mask 255.255.255.252
network 10.5.10.0 mask 255.255.255.0
network 10.5.11.0 mask 255.255.255.0
network 10.5.12.0 mask 255.255.255.0
network 10.5.13.0 mask 255.255.255.0
aggregate-address 10.5.8.0 255.255.248.0 summary-only
no auto-summary

Procdure 4 Conguration du routage de couche d'accs
Dans le cadre de la conception de couche d'accs, les sites distants utilisent le
routage regroup, avec des interfaces de liaison 802.1Q vers la couche d'accs
LAN. La numrotation des VLAN n'a de signification qu'au niveau local. Les
commutateurs d'accs sont de couche 2 uniquement.
tape 1 : Activez l' interface physique.
interface GigabitEthernet [numro]
no ip address
no shutdown
tape 2 : Crez des sous-interfaces et affectez des marquages VLAN.
Une fois l' interface physique active, vous pouvez alors mapper les sous-
interfaces donnes et voix pertinentes vers les VLAN du commutateur
LAN. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au
marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de
simplifier l'ensemble de la configuration. Rptez la partie de la configuration
portant sur la sous-interface pour chaque VLAN donnes ou voix.
interface GigabitEthernet [numro].[numro de sous-interface]
encapsulation dot1Q [Marquage VLAN dot1q]
tape 3 : Configurez les paramtres IP de chaque sous-interface.
Cette conception utilise une convention d'adressage IP selon laquelle le routeur
passerelle par dfaut se voit affecter la combinaison d'adresse et de masque IP
N.N.N.1 255. 255. 255.0, o N. N. N reprsente le rseau IP et 1 l' hte IP.
Toutes les interfaces LAN de routeur utilisant le protocole DHCP pour
l'affectation d'adresses IP aux stations dextrmit doivent faire appel une
application d'assistance IP pour accder un serveur DHCP centralis dans la
prsente conception.
Si le routeur de site distant est le premier routeur d'une conception de type
routeur double, HSRP est alors configur au niveau de la couche d'accs.
Ceci requiert la modification de la configuration IP sur chaque sous-interface.
ip address [rseau LAN 1] [masque rseau LAN 1]
ip helper-address 10.4.48.10
ip pim sparse-mode
Exemple
no ip address
no shutdown
!
interface GigabitEthernet0/2.64
description Data
encapsulation dot1Q 64
ip address 10.5.12.1 255.255.255.0
ip pim sparse-mode
!
description WirelessData
ip address 10.5.10.1 255.255.255.0
ip pim sparse-mode
!
description Voice
ip address 10.5.13.1 255.255.255.0
ip pim sparse-mode
!
32
description WirelessVoice
ip address 10.5.11.1 255.255.255.0
ip pim sparse-mode
tape 4 : Configurez la liaison sur le commutateur LAN.
Utilisez une liaison 802.1Q pour la connexion vers ce priphrique en amont, ce
qui permet celui-ci de fournir les services de couche 3 tous les VLAN dfinis
sur le commutateur de couche d'accs. Les VLAN autoriss sur la liaison sont
limits aux VLAN actifs sur le commutateur d'accs. La surveillance DHCP et
l' inspection ARP (Address Resolution Protocol) sont dfinies sur la confiance.
interface GigabitEthernet [numro]
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 64,65,69,70
switchport mode trunk
ip arp inspection trust
ip dhcp snooping trust
no shutdown
Les commutateurs Catalyst 2960-S et 4500 ne ncessitent pas la commande
switchport trunk encapsulation dot1q.
Les procdures suivantes (11 14) concernent uniquement la conception de
type routeur double.

Procdure 5 Conguration du routeur HSRP de couche
d'accs
Applicable uniquement la conception de type routeur double
Vous devez configurer le protocole HSRP afin de permettre l'utilisation d'une
adresse IP virtuelle (VIP) comme passerelle par dfaut partage par deux
routeurs. Le routeur HSRP actif est le routeur CE MPLS connect l'oprateur
MPLS principal et le routeur HSRP en veille celui connect l'oprateur MPLS
secondaire ou la liaison de secours. Configurez le routeur HSRP actif avec
une priorit de veille suprieure celle du routeur HSRP en veille.
Le routeur ayant la valeur de priorit de veille la plus leve est lu routeur
HSRP actif. L'option d'anticipation (preempt) permet un routeur dont la priorit
est suprieure de devenir le routeur HSRP actif, sans attendre un cas de figure
o aucun des routeurs HSRP ne serait l' tat actif. Les paramtres HSRP
appropris pour la configuration du routeur sont indiqus dans le tableau
suivant.
Tableau 10 - Paramtres HSRP de site distant WAN (routeur double)
Routeur Rle HSRP
Adresse IP
virtuelle (VIP)
Adresse
IP relle
Priorit
HSRP
Priorit
DR PIM
CE MPLS
(principal)
Actif .1 . 2 110 110
CE MPLS
(secondaire)
ou satellite
DMVPN
En veille .1 . 3 105 105
Les adresses IP affectes remplacent celles configures dans la procdure
prcdente ; l'adresse IP de la passerelle par dfaut reste donc cohrente sur
les diffrents sites utilisant un routeur unique ou double.
La conception de couche d'accs routeur double requiert l'apport d'une
modification afin de permettre un multicast fiable. Le routeur dsign (DR) PIM
doit se trouver sur le routeur HSRP actif. Le DR est normalement lu en fonction
de l'adresse IP la plus leve et n'a pas connaissance de la configuration HSRP.
Dans cette conception, le routeur HSRP actif a une adresse IP relle infrieure
celle du routeur HSRP en veille, d'o la ncessit de modifier la configuration
PIM. Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la
priorit DR sur les sous-interfaces orientes LAN pour les routeurs.

Comme il est indiqu dans le tableau prcdent, les priorits HSRP
et DR PIM ont la mme valeur. Cependant, il n'est pas obligatoire
d'utiliser des valeurs identiques.
33
Vous devez rpter cette procdure pour toutes les interfaces donnes ou voix.
ip address [adresse rseau LAN 1] [masque rseau LAN 1]
ip pim sparse-mode
ip pim dr-priority 110
standby 1 ip [adresse de la passerelle rseau LAN 1]
standby 1 priority 110
standby 1 preempt
Exemple
no ip address
no shutdown
!
description Data
ip address 10.5.12.2 255.255.255.0
ip pim sparse-mode
standby 1 ip 10.5.12.1
standby 1 preempt
!
ip address 10.5.10.2 255.255.255.0
ip pim sparse-mode
standby 1 preempt
!
description Voice
ip address 10.5.13.2 255.255.255.0
ip pim sparse-mode
standby 1 preempt
!
ip address 10.5.11.2 255.255.255.0
ip pim sparse-mode
standby 1 preempt

Procdure 6 Conguration du rseau de transit
Vous configurez le rseau de transit entre deux routeurs. Ce rseau est utilis
pour la communication de routeur routeur et pour viter le renvoi d'appel.
Le rseau de transit doit utiliser une sous-interface supplmentaire sur
l' interface de routeur dj en cours d'utilisation pour les donnes ou la voix.
Aucune station d'extrmit n' tant connecte ce rseau, les protocoles HSRP
et DHCP ne sont donc pas requis.
interface GigabitEthernet0/2 [numro].[numro de sous-interface]
ip address [adresse rseau de transit] [masque rseau de
transit]
ip pim sparse-mode
34
Exemple : routeur CE MPLS (principal)
description Transit Net
ip address 10.5.8.1 255.255.255.252
ip pim sparse-mode

Procdure 7 Conguration du routage EIGRP (ct LAN)
Vous devez configurer un protocole de routage entre les deux routeurs.
Ceci permet de garantir que le routeur HSRP actif dispose d' informations
d'accessibilit compltes pour tous les sites distants WAN.
tape 1 : Activez le routeur EIGRP-100.
Configurez le routeur EIGRP-100 orient vers la couche d'accs. Dans cette
conception, toutes les interfaces orientes LAN et la boucle doivent tre des
interfaces EIGRP. Toutes les interfaces doivent rester passives, l'exception
de la sous-interface du rseau de transit. La plage rseau doit inclure toutes
les adresses IP des interfaces, sous la forme d'une seule ou de plusieurs
instructions rseau. Cette conception suit les meilleures pratiques dfinies
concernant l'affectation de l' ID du routeur une adresse de bouclage. N' incluez
pas l' interface WAN (interface de liaison PE-CE MPLS) comme interface EIGRP.
router eigrp 100
network [rseau] [masque inverse]
no passive-interface [interface de transit]
eigrp router-id [adresse IP de Loopback0]
no auto-summary
tape 2 : Redistribuez le routage BGP vers EIGRP-100.
Les routes BGP sont redistribues vers EIGRP selon une mesure par dfaut. Par
dfaut, seules les valeurs de bande passante et de dlai sont utilises pour le
calcul de cette mesure.
router eigrp 100

passante
seconde
Exemple
router eigrp 100
default-metric 100000 100 255 1 1500
network 10.4.0.0 0.1.255.255
no passive-interface GigabitEthernet0/2.99
no auto-summary

Procdure 8 Activation du suivi d'objets avanc
Le routeur HSRP actif demeure le routeur actif tant qu' il n'est pas recharg ou
ne tombe pas en panne. Ceci peut donner lieu un comportement non dsir.
Si une dfaillance venait survenir au niveau du transport VPN MPLS principal,
le routeur HSRP actif apprendrait alors un autre chemin travers le rseau de
transit jusqu'au routeur HSRP en veille et commencerait transfrer le trafic le
long de ce chemin. Ce routage n'est pas optimal et vous pouvez y remdier
l'aide de la fonction EOT.
Le routeur HSRP actif (CE MPLS principal) peut utiliser la fonction IP SLA pour
envoyer des sondes d' cho son routeur PE MPLS. Si le routeur PE devient
inaccessible, le routeur peut alors rduire sa priorit HSRP de sorte que le
routeur HSRP en veille puisse prendre le devant et devenir le routeur HSRP
actif.
35
Cette procdure est uniquement valide sur le routeur connect au transport
principal (VPN MPLS).
tape 1 : Activez la sonde IP SLA.
Utilisez des sondes d' cho (ping) ICMP standard et envoyez-les intervalles
de 15 secondes. Vous devez recevoir des rponses avant l'expiration du dlai
d'attente de 1 000 ms. Si vous utilisez le routeur PE MPLS comme destination
de la sonde, l'adresse de destination est identique celle du voisin BGP
configure dans la Procdure 3.
ip sla 100
icmp-echo [adresse IP de destination de la sonde] source-
interface [interface WAN]
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-time now
tape 2 : Configurez EOT.
Un objet suivi est cr en fonction de la sonde IP SLA. L'objet en cours de suivi
correspond la russite ou l' chec d'accs de la sonde. Si la sonde parvient
y accder, l' tat de l'objet suivi est Up (marche) ; dans le cas contraire, l' tat de
l'objet est Down (panne).
track 50 ip sla 100 reachability
tape 3 : Liez le routage HSRP l'objet suivi.
Toutes les sous-interfaces donnes ou voix doivent activer le suivi HSRP.
Le routage HSRP peut surveiller l' tat de l'objet suivi. Si l' tat est Down,
la priorit HSRP est dcrmente par la priorit configure. Si la rduction est
suffisamment importante, le routeur HSRP en veille prend le devant.
interface [type d'interface] [numro].[numro de sous-interface]
standby 1 track 50 decrement 10
Exemple
interface range GigabitEthernet0/2.64, GigabitEthernet0/2.65,
GigabitEthernet0/2.69, GigabitEthernet0/2.70
standby 1 track 50 decrement 10
!
track 50 ip sla 100 reachability
!
ip sla 100
icmp-echo 192.168.3.10 source-interface GigabitEthernet0/0
timeout 1000
threshold 1000
frequency 15
ip sla schedule 100 life forever start-time now

Ajout de liaison secondaire MPLS sur un routeur CE MPLS existant
2. Configuration du routage BGP pour une liaison double
Procdure
Cet ensemble de procdures inclut les tapes supplmentaires requises pour
effectuer la configuration d'un routeur CE MPLS pour un site distant WAN MPLS
deux oprateurs (routeur unique, liaison double).
Les procdures suivantes partent du principe que la configuration d'un routeur
CE MPLS pour un site distant WAN MPLS (routeur unique, liaison unique) a
dj t effectue. Seules les procdures supplmentaires requises pour
ajouter une autre liaison MPLS au routeur CE MPLS en cours d'excution sont
indiques ici.
L'organigramme suivant prsente de manire dtaille l'ajout d'une deuxime
liaison MPLS de secours sur un routeur CE MPLS d'un site distant existant.
36
Figure 17 - Organigramme de l'ajout d'une liaison MPLS de secours

Cette procdure s'applique l' interface utilise pour connecter l'oprateur
MPLS secondaire ou supplmentaire.
de l'oprateur.

bandwidth Kbit/s
(10 Mbit/s = 10 000 Kbit/s)
de 255. 255. 255. 252.
tape 3 : Activez l' interface et dsactivez le protocole Cisco Discovery
Protocol administrativement.
Cisco dconseille l'utilisation du protocole Cisco Discovery Protocol sur des
interfaces externes.
no cdp enable
no shutdown
Exemple
bandwidth 10000
ip address 192.168.4.13 255.255.255.252
ip pim sparse-mode
no cdp enable
no shutdown
Routeur CE MPLS
Ajout d'une MPLS
OUI
Ajout dune MPLS
Liaison secondaire ?
NON
li i d bl
Procdures d'ajout d'une 2
e
liaison MPLS
sur une configuration du routeur CE MPLS
existante
OUI
Ajout d'une DMVPN
Sauvegarde ?
Procdures d'activation de la sauvegarde
DMVPN sur une configuration du routeur
CE MPLS existante
pour une liaison double
1. Configuration de VRF Lite
2. Connexion
3. Configuration d'ISAKMP et d'IPSec
4. Configuration du tunnel mGRE
5 Configuration du routage EIGRP
NON
6. Configuration du routage IP multicast
Site termin
37

Procdure 2 Conguration du routage BGP pour une
liaison double
tape 1 : Configurez le routage eBGP pour ajouter un voisin eBGP et
communiquer la liaison PE-CE.
MPLS. Ce dernier doit fournir son ASN (l'ASN mentionn dans cette tape est
celui identifiant votre site). tant donn que le routeur PE de l'oprateur utilisera
un ASN diffrent, cette configuration est considre comme une connexion
BGP externe (eBGP).
rseau dans une instruction rseau. Vous pouvez l'utiliser pour dterminer
l'accessibilit du routeur des fins de dpannage.
Les rseaux LAN de site distant sont dj communiqus selon la configuration
effectue lors des procdures relatives la configuration du routeur CE MPLS
d'un site distant.
router bgp 65511
network [rseau liaison PE-CE 2] mask [masque rseau liaison
PE-CE 2]
neighbor [adresse IP de PE 2] remote-as [ASN de l'oprateur]
tape 2 : Configurez le routage BGP pour empcher le site distant de devenir un
systme autonome (AS) de transit.
Par dfaut, le routage BGP communique nouveau toutes les routes BGP
acquises. Dans la conception deux oprateurs MPLS, cela signifie que les
routes de l'oprateur MPLS-A sont communiques l'oprateur MPLS-B et
inversement. Dans certains cas, lors de l' chec d'une liaison un concentrateur
MPLS, les sites distants se prsentent alors eux-mmes en tant que systme
autonome de transit fournissant un accs entre les deux oprateurs. Il est
recommand en tant que meilleure pratique d'empcher le site distant de
devenir un site de transit, sauf s' il a t spcialement conu pour ce type de
comportement de routage, avec une connexion haut dbit. Utilisez pour ce faire
une carte de routage et un filtre as-path access-list. Appliquez cette carte de
routage en sortie aux voisins pour les deux oprateurs MPLS.
router bgp 65511
neighbor [adresse IP de PE] route-map NO-TRANSIT-AS out
neighbor [adresse IP de PE 2] route-map NO-TRANSIT-AS out
L'expression rgulire ^$ correspond des routes en provenance du site
distant. Ce type de filtre permet uniquement aux routes d'origine locale d' tre
communiques.
ip as-path access-list 10 permit ^$
!
route-map NO-TRANSIT-AS permit 10
match as-path 10
tape 3 : Rglez le routage BGP de sorte donner la prfrence l'oprateur
MPLS principal.
Le routage BGP utilise un ensemble de rgles bien connu pour dterminer
le meilleur chemin lorsque le mme prfixe de route IP est accessible par
deux chemins diffrents. La conception deux oprateurs MPLS fournit dans
de nombreux cas deux chemins de cot gal et il est probable que le premier
chemin slectionn restera le chemin actif moins que le protocole de routage
dtecte une dfaillance. L'objectif de la conception, savoir le comportement
de routage dterministe et le routage principal/secondaire, requiert le rglage
du routage BGP. Utilisez pour ce faire une carte de routage et un filtre as-path
access-list.
router bgp 65511
neighbor [adresse IP de PE] route-map PREFER-MPLS-A in
L'expression rgulire 65401$ correspond des routes en provenance de
l'AS 65401 (MPLS-A). Ceci permet au routage BGP de modifier de manire
slective les informations de routage relatives aux routes originaires de cet AS.
Dans cet exemple, la prfrence BGP locale est 200 pour l'oprateur MPLS
principal. Les routes provenant de l'oprateur MPLS secondaire continuent
d'utiliser leur prfrence locale par dfaut de 100. Appliquez cette carte de
routage en entre au voisin pour l'oprateur MPLS principal uniquement.
ip as-path access-list 1 permit _65401$
!
route-map PREFER-MPLS-A permit 10
match as-path 1
set local-preference 200
!
38
Exemple
router bgp 65511
network 192.168.4.12 mask 255.255.255.252
neighbor 192.168.3.14 route-map PREFER-MPLS-A in
neighbor 192.168.3.14 route-map NO-TRANSIT-AS out
!
ip as-path access-list 1 permit _65401$
!
match as-path 10
!
match as-path 1
set local-preference 200
!

Configuration de routeur de site distant (Double routeur - Routeur 2)
8. Configuration de la rsilience de bouclage
Procdure
Utilisez cet ensemble de procdures lorsque vous configurez un site distant
WAN MPLS deux oprateurs. Utilisez galement ces procdures lors de la
configuration du deuxime routeur CE MPLS de la conception de type routeur
double et liaison double.
L'organigramme suivant prsente de manire dtaille la configuration du
routeur CE MPLS d'un site distant.
Figure 18 - Organigramme de la configuration du routeur CE MPLS 2
d'un site distant

Procdure 1 Fin de la conguration universelle des
routeurs WAN
l' identification.
e
routeur)
Routeur CE MPLS de site distant 2
Conception ?
OUI NON
R t CE MPLS d it di t t 2
7 Configuration du routage EIGRP (ct LAN)
1. Connexion au routeur CE MPLS
Procdures de la couche d'accs
Site termin
Site termin
39
ip ssh version 2
no ip http server
line vty 0 15
transport input ssh
lecture-criture.
tape 3 : Configurez l'authentification utilisateur scurise.
(SSH et HTTPS).

Deployment Guide.
!
aaa new-model
!
key SecretKey
!
!
ntp update-calendar
!
!
40
line con 0
logging synchronous
interface Loopback0
ip pim sparse-mode
La commande ip pim sparse-mode est explique plus loin dans le processus.
snmp-server trap-source Loopback 0
ip ssh source-interface Loopback 0
mode sparse, Cisco utilise la fonction Auto RP. Elle aide de manire simple
rsilient.
globale.
Vous devez activer toutes les interfaces de couche 3 du rseau pour l'opration
de multicast en mode sparse.
ip pim sparse-mode

de l'oprateur.
41

bandwidth Kbit/s
(10 Mbit/s = 10 000 Kbit/s)
de 255. 255. 255. 252.
tape 3 : Activez l' interface et dsactivez le protocole Cisco Discovery
Protocol administrativement.
Cisco dconseille l'utilisation du protocole Cisco Discovery Protocol sur des
interfaces externes.
no cdp enable
no shutdown
Exemple
bandwidth 25000
ip address 192.168.4.9 255.255.255.252
no cdp enable
no shutdown

Cette tape requiert l'utilisation d'un ASN BGP. Il est possible que vous
puissiez rutiliser la valeur dfinie sur le routeur CE MPLS VPN depuis le
site d'agrgation WAN. Consultez votre oprateur MPLS pour connatre les
exigences spcifiques l'ASN.
l' intermdiaire du protocole BGP dans les cas suivants :
routage locale.
La route est redistribue vers BGP (non applicable dans le cas d'un site
distant).
router bgp 65511
no synchronization
bgp router-id [adresse IP de la boucle0]
no auto-summary
est celui identifiant votre site). tant donn que le routeur PE de l'oprateur
utilisera un ASN diffrent, cette configuration est considre comme une
connexion BGP externe (eBGP).
L'adresse globale telle que configure ci-dessous supprime les routes plus
spcifiques. Si un rseau LAN quelconque figure dans la table de routage,
l'adresse globale est communique au routeur PE MPLS, ce qui offre une
certaine rsilience. Si vous ne pouvez pas rsumer les divers rseaux LAN,
vous devez alors les rpertorier individuellement.
router bgp 65511
network [rseau liaison PE-CE] mask [masque rseau liaison
PE-CE]
network [rseau de DONNES] mask [masque rseau]
network [rseau VOCAL] mask [masque rseau]
network [rseau de DONNES WLAN] mask [masque rseau]
network [rseau VOCAL WLAN] mask [masque rseau]
aggregate-address [adresse IP rsume] [masque rseau rsum]
summary-only
neighbor [adresse IP de PE] remote-as [ASN de l'oprateur]
42
tape 3 : Configurez le routage iBGP entre les routeurs CE MPLS de site
distant.
La conception deux oprateurs MPLS requiert la configuration d'une
liaison BGP entre les routeurs CE. Ces derniers utilisant le mme ASN,
cette configuration est considre comme une connexion BGP interne (iBGP).
Cette conception fait appel un appairage iBGP utilisant des adresses de
bouclage de priphrique, ncessitant ainsi les options de configuration
update-source et next-hop-self.
Vous devez effectuer cette tape sur les deux routeurs CE MPLS de site distant.
Notez que la session iBGP sera uniquement tablie lorsque vous aurez termin
les tapes relatives au rseau de transit et EIGRP (ct LAN).
router bgp 65511
neighbor [boucle0 voisin iBGP] remote-as 65511
neighbor [boucle0 voisin iBGP] update-source Loopback0
neighbor [boucle0 voisin iBGP] next-hop-self
tape 4 : Configurez le routage BGP pour empcher le site distant de devenir
un systme autonome (AS) de transit.
Par dfaut, le routage BGP communique nouveau toutes les routes BGP
acquises. Dans la conception deux oprateurs MPLS, cela signifie que les
routes de l'oprateur MPLS-A seront communiques l'oprateur MPLS-B et
inversement. Dans certains cas, lors de l' chec d'une liaison un concentrateur
MPLS, les sites distants se prsentent alors eux-mmes en tant que systme
autonome de transit fournissant un accs entre les deux oprateurs. Il est
recommand en tant que meilleure pratique d'empcher le site distant de
devenir un site de transit, sauf s' il a t spcialement conu pour ce type de
comportement de routage, avec une connexion haut dbit. Vous devez utiliser
une carte de routage et un filtre as-path access-list. Appliquez cette carte de
routage aux deux routeurs CE MPLS de site distant. Ceux-ci l'appliqueront alors
en sortie au voisin pour leur oprateur MPLS respectif.
router bgp 65511
neighbor [adresse IP de PE 2] route-map NO-TRANSIT-AS out
L'expression rgulire ^$ correspond des routes en provenance du site
distant. Ce type de filtre permet uniquement aux routes d'origine locale d' tre
communiques.
!
match as-path 10
Exemple : routeur CE MPLS (secondaire)
router bgp 65511
no synchronization
network 192.168.4.8 mask 255.255.255.252
network 10.5.10.0 mask 255.255.255.0
network 10.5.11.0 mask 255.255.255.0
network 10.5.12.0 mask 255.255.255.0
network 10.5.13.0 mask 255.255.255.0
aggregate-address 10.5.8.0 255.255.248.0 summary-only
no auto-summary
!
!
match as-path 10
Exemple : routeur CE MPLS (principal)
router bgp 65511
!
!
match as-path 10
43

Procdure 4 Conguration du routage de couche d'accs
Dans le cadre de la conception de couche d'accs, les sites distants utilisent
le routage regroup, avec des interfaces de liaison 802.1Q vers la couche
d'accs LAN. La numrotation des VLAN n'a de signification qu'au niveau local.
Les commutateurs d'accs sont de couche 2 uniquement.
tape 1 : Activez l' interface physique.
no ip address
no shutdown
tape 2 : Crez des sous-interfaces et affectez des marquages VLAN.
Une fois que vous avez activ l' interface physique, vous pouvez mapper les
sous-interfaces donnes et voix pertinentes vers les VLAN du commutateur
LAN. Les numros des sous-interfaces n'ont pas besoin d' tre gaux au
marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de
simplifier l'ensemble de la configuration. Rptez la partie de la configuration
portant sur la sous-interface pour chaque VLAN donnes ou voix.
tape 3 : Configurez les paramtres IP de chaque sous-interface.
Cette conception utilise une convention d'adressage IP selon laquelle le routeur
passerelle par dfaut se voit affecter la combinaison d'adresse et de masque IP
N.N.N.1 255. 255. 255.0, o N. N. N reprsente le rseau IP et 1 l' hte IP.
Toutes les interfaces LAN de routeur utilisant le protocole DHCP pour
l'affectation d'adresses IP aux stations dextrmit doivent faire appel une
application d'assistance IP pour accder un serveur DHCP centralis dans la
prsente conception.
Ce routeur CE MPLS de site distant est le deuxime routeur d'une conception
de type routeur double et HSRP est configur au niveau de la couche d'accs.
L'affectation d'adresses IP des interfaces sera configure dans le cadre de la
procdure suivante.
ip helper-address [adresse IP du serveur DHCP]
Exemple
no ip address
no shutdown
!
!
description Data
ip pim sparse-mode
!
ip pim sparse-mode
!
description Voice
ip pim sparse-mode
!
ip pim sparse-mode
44

d'accs
Configurez le protocole HSRP de sorte utiliser une adresse IP virtuelle (VIP)
comme passerelle par dfaut partage par deux routeurs. Le routeur HSRP
actif est le routeur CE MPLS connect l'oprateur MPLS principal et le routeur
HSRP en veille celui connect l'oprateur MPLS secondaire ou la liaison de
secours. Configurez le routeur HSRP actif avec une priorit de veille suprieure
celle du routeur HSRP en veille.
suivant.
Routeur
Rle
HSRP
Adresse IP
virtuelle (VIP)
Adresse
IP relle
Priorit
HSRP
Priorit
DR PIM
CE MPLS
(principal)
Actif .1 . 2 110 110
CE MPLS
(secondaire)
ou satellite
DMVPN
En veille .1 . 3 105 105
modification afin de permettre un multicast fiable. Le routeur dsign (DR) PIM
doit se trouver sur le routeur HSRP actif. Le DR est normalement lu en fonction
de l'adresse IP la plus leve et n'a pas connaissance de la configuration HSRP.
Dans cette conception, le routeur HSRP actif a une adresse IP relle infrieure
celle du routeur HSRP en veille, d'o la ncessit de modifier la configuration
PIM. Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la

Rptez cette procdure pour toutes les sous-interfaces donnes ou voix.
ip pim sparse-mode
standby 1 preempt
no ip address
no shutdown
!
description Data
ip address 10.5.12.3 255.255.255.0
ip pim sparse-mode
standby 1 preempt
!
ip address 10.5.10.3 255.255.255.0
45
ip pim sparse-mode
standby 1 preempt
!
description Voice
ip address 10.5.13.3 255.255.255.0
ip pim sparse-mode
standby 1 preempt
!
ip address 10.5.11.3 255.255.255.0
ip pim sparse-mode
standby 1 preempt

Configurez le rseau de transit entre deux routeurs. Vous utilisez ce rseau
l' interface de routeur dj en cours d'utilisation pour les donnes ou la voix.
transit]
ip address 10.5.8.2 255.255.255.252

Vous devez configurer un protocole de routage entre les deux routeurs.
Ceci permet de garantir que le routeur HSRP actif dispose d' informations
Configurez le routeur EIGRP-100 orient vers la couche d'accs. Dans cette
conception, toutes les interfaces orientes LAN et la boucle doivent tre des
interfaces EIGRP. Toutes les interfaces doivent rester passives, l'exception
de la sous-interface du rseau de transit. La plage rseau doit inclure toutes
concernant l'affectation de l' ID du routeur une adresse de bouclage. N' incluez
pas l' interface WAN (interface de liaison PE-CE MPLS) comme interface EIGRP.
router eigrp 100
no passive-interface [interface de transit]
no auto-summary
46
router eigrp 100

passante
seconde
Exemple
router eigrp 100
default-metric 100000 100 255 1 1500
network 10.4.0.0 0.1.255.255
no auto-summary

Procdure 8 Conguration de la rsilience de bouclage
La gestion intrabande des routeurs de site distant est configure par le biais de
l' interface de bouclage. Pour assurer l'accessibilit de l' interface de bouclage
dans une conception de type routeur double, redistribuez la boucle du routeur
adjacent dans le protocole de routage WAN.
Si le protocole WAN est EIGRP
tape 1 : Configurez une liste d'accs afin de limiter la redistribution
l'adresse IP de bouclage du routeur adjacent.
ip access-list standard R[numro]-LOOPBACK
permit [adresse IP de bouclage du routeur adjacent]
!
route-map LOOPBACK-ONLY permit 10
match ip address R[numro]-LOOPBACK
tape 2 : Configurez le protocole EIGRP de sorte redistribuer l'adresse IP de
bouclage du routeur adjacent. Vous devez rgler le routage souche EIGRP afin
d'autoriser les routes redistribues.
router eigrp [systme autonome]
redistribute eigrp 100 route-map LOOPBACK-ONLY
eigrp stub connected summary redistributed
Si le protocole WAN est BGP
tape 3 : Configurez le protocole BGP de sorte communiquer le rseau de
bouclage du routeur adjacent.
router bgp 65511
network 10.5.12.0 mask 255.255.255.0
network 10.5.13.0 mask 255.255.255.0
47
Dploiement d'un WAN DMVPN Srie de fvrier 2012
Dploiement d'un WAN
DMVPN
Il est essentiel pour les organisations que le WAN offre des performances
et une fiabilit suffisantes afin que les utilisateurs de sites distants puissent
participer de manire efficace aux activits de l'entreprise. Bien que la
plupart des applications et services que les utilisateurs des sites distants
utilisent soient centraliss, le WAN, par sa conception, doit proposer tous les
employs, o qu' ils se trouvent, un accs commun aux ressources.
Le service MPLS par le biais d'un oprateur n'est pas toujours disponible et ne
constitue pas une solution de transport WAN toujours conomique pour la prise
en charge de la connectivit de sites distants. Les VPN IP bass sur Internet
proposent un transport facultatif que vous pouvez utiliser comme solution
de secours rsiliente pour le transport du rseau MPLS principal ou peuvent
tre mme de prendre en charge le transport du rseau principal d'un site
distant. Une architecture rseau souple doit inclure le rseau VPN Internet
comme option de transport sans pour autant accrotre de faon significative la
complexit de la conception globale.
Bien que les rseaux VPN IP bass sur Internet constituent une solution
attrayante de connectivit WAN efficace, une organisation fait face au risque
de voir ses donnes compromises lors de leur envoi par le biais d'un rseau
public. La perte ou la corruption de donnes peut entraner une infraction la
rglementation en vigueur et peut nuire la rputation de l'entreprise, ces cas
de figure ayant tous deux un impact financier potentiel considrable pour une
organisation. Le transport scuris de donnes sur des rseaux publics tels
qu' Internet ncessite l'utilisation d'un cryptage appropri afin de protger les
informations d'entreprise.
Conception WAN 500
une bande passante WAN combine agrge capable d'atteindre 1,0 Gbit/s.
Les priphriques les plus importants la concernant sont les routeurs WAN qui
sont responsables de la fiabilit des transferts IP et de la qualit de service.
Cette conception utilise le routeur de services d'agrgation Cisco ASR1002
(Aggregation Services Router) configur avec un ESP5 pour le routeur
concentrateur DMVPN (Dynamic Multipoint Virtual Private Network).
La conception WAN 500 fait appel un seul fournisseur d'accs Internet et
un routeur concentrateur DMVPN unique.
Le routeur VPN DMVPN se connecte indirectement Internet par le biais d'une
interface de zone dmilitarise (DMZ) de pare-feu situe dans la priphrie
Internet. De plus amples informations sur la connexion Internet du site principal
sont fournies dans le guide de dploiement de priphrie Internet Cisco SBA.
Le routeur concentrateur VPN est connect l' interface DMZ de pare-feu, et
non directement un routeur du fournisseur d'accs Internet.
Figure 19 - Connexion DMVPN de la conception WAN 500
Les routeurs Cisco de la gamme ASR 1000 entrent dans la composition de
la plate-forme de routage Cisco de nouvelle gnration, une plate-forme
modulaire services intgrs. Tout spcialement conus pour l'agrgation
WAN, ils sont suffisamment flexibles pour prendre en charge des capacits de
transfert de paquets trs tendues entre 3 et 16 mpps, des performances de
bande passante entre 2, 5 et 40 Gbit/s et une mise l' chelle.
La gamme Cisco ASR 1000 est entirement modulaire, tant du point de vue
matriel que logiciel, et les routeurs prsentent toutes les caractristiques
d' un vritable produit de routage de classe oprateur destin aux rseaux
d'entreprise et de fournisseur de services.
Conception WAN 500 - Connexion DMVPN
Couche centrale
P i h i I
R DMVPN
Priphrie Internet
Routeur concentrateur DMVPN :
ASR1000
Internet
48
Conception WAN 100
une bande passante WAN combine agrge capable d'atteindre 100 Mbit/s.
Il ne s'agit ni plus ni moins que d'une version plus limite de la conception
WAN 500. Elle fournit des possibilits de mise l' chelle rduites. Si vous
prvoyez une croissance des besoins en matire de bande passante ou une
augmentation du nombre de sites, utilisez la conception WAN 500. Vous
viterez ainsi les interruptions inutiles provoques par la mise niveau des
priphriques. Cette conception utilise le routeur de services d'agrgation
Cisco ASR1001 ou le routeur services intgrs Cisco 3945E pour le routeur
concentrateur DMVPN. La conception WAN 100 fait appel un seul fournisseur
d'accs Internet et un routeur concentrateur DMVPN unique.
Figure 20 - Connexion DMVPN de la conception WAN 100
Slection de routeurs satellite DMVPN pour les sites distants
Les plates-formes de routage de site distant WAN restent non spcifies.
En effet, la spcification est troitement lie la bande passante requise par
un site et aux besoins ventuels de logements de modules de service. La
possibilit de mettre en uvre cette solution et de slectionner le routeur
parmi un grand choix disponible constitue l'un des avantages de l'approche
modulaire.
Au moment de slectionner les routeurs de site distant WAN, de nombreux
facteurs entrent en ligne de compte. L'un d'entre eux, qui est d'ailleurs
essentiel au dploiement initial, est la possibilit de traiter le volume et le type
souhaits de trafic. Vous devez galement vous assurer que vous disposez
de suffisamment d' interfaces et de logements de modules ainsi que de
l' image logicielle Cisco IOS sous licence qui convient pour prendre en charge
l'ensemble des fonctions requises par la topologie. Cisco a test quatre
modles de routeur services intgrs en tant que routeurs satellite DMVPN.
Les performances attendues sont indiques dans le tableau suivant.
Tableau 12 - Options de routeurs pour les sites distants WAN
Option 2911 2921 3925 3945
WAN Ethernet avec
services
1

35 Mbit/s 50 Mbit/s 100 Mbit/s 150 Mbit/s
Ports GE embarqus 3 3 3 3
Logements pour modules
de service
2

1 1 2 4
Option du bloc
dalimentation redondant
Non Non Oui Oui
Remarques :
1. Les performances signales sont celles habituellement constates lorsque
le routeur achemine un trafic IMIX comportant des services lourds avec un
taux d'utilisation du processeur infrieur 75 %.
2. Certains modules de services ont une largeur double.
Les routeurs satellite DMVPN des sites distants WAN se connectent
directement Internet par le biais d'une interface de routeur. La configuration
de la scurit des routeurs des sites distants connects Internet est aborde
plus en dtails plus loin dans ce guide. Le site distant DMVPN liaison unique
est l' lment constitutif fondamental de tous les emplacements distants. Cette
conception peut tre utilise tout en connectant directement le routeur CE
la couche d'accs. Elle peut aussi prendre en charge une topologie LAN plus
complexe en connectant directement le routeur CE la couche de distribution.
Conception WAN 500 - Connexion DMVPN
Couche centrale
P i h i I
R DMVPN
Priphrie Internet
Routeur concentrateur DMVPN :
ASR1000
Internet
49
Le routage IP est simple et peut tre entirement trait de manire statique,
l'aide de routes statiques au niveau du site d'agrgation WAN et de routes
statiques par dfaut sur le site distant. Toutefois, vous avez tout gagner
utiliser un routage dynamique pour la configuration de ce type de site.
Le routage dynamique facilite en effet l'ajout ou la modification de rseaux IP
au niveau du site distant puisque tout changement est immdiatement propag
vers le reste du rseau.
Figure 21 - Site distant DMVPN (liaison unique, routeur unique)
La connexion DMVPN peut tre le principal transport WAN, mais peut
galement tre la liaison secondaire pour un transport WAN MPLS. Vous
pouvez ajouter la conception liaison unique DMVPN une conception WAN
MPLS existante afin de fournir une rsilience supplmentaire en effectuant
la connexion sur le mme routeur ou sur un autre. L'ajout d'une liaison fournit
le premier niveau de haute disponibilit pour le site distant. Le routeur peut
automatiquement dtecter une dfaillance survenue au niveau de la liaison
principale et racheminer le trafic vers le chemin secondaire. N'oubliez pas
que vous devez absolument utiliser un routage dynamique si vous disposez de
plusieurs chemins. Un ajustement des protocoles de routage est ncessaire
pour garantir les flux de trafic souhaits.
La conception de type routeur double-liaison double amliore encore le
niveau de haute disponibilit du site. Elle peut tolrer la perte du routeur
principal car le routeur secondaire reroute le trafic par l'autre chemin.
Figure 22 - Site distant WAN MPLS + DMVPN (options liaison double)
VRF (Virtual Route Forwarding) et FVRF (Front Door Virtual Route
Forwarding)
VRF (Virtual Route Forwarding) est une technologie utilise dans les rseaux
informatiques qui permet plusieurs instances d'une table de routage de coexister
au sein du mme routeur. Les instances de routage tant indpendantes, vous
pouvez utiliser des adresses IP identiques ou se chevauchant sans qu'il y ait de
conflit entre celles-ci. La technologie VRF est galement souvent dfinie dans un
contexte MPLS en tant que routage et transfert VPN.
Vous pouvez mettre la technologie VRF en uvre sur un priphrique rseau
en utilisant des tables de routage distinctes, galement appeles bases FIB
(Forwarding Information Base), raison d'une par instance VRF. Un priphrique
rseau peut galement tre mme de configurer diffrents routeurs virtuels,
chacun disposant de sa propre base FIB inaccessible aux autres instances de
routage virtuel sur le mme priphrique.
La mise en uvre VRF la plus simple est VRF Lite. Dans le cadre de cette mise
en uvre, chaque routeur du rseau participe l'environnement de routage
virtuel sur une base homologue homologue. Les configurations VRF Lite n'ont
de signification qu'au niveau local.
La stratgie de routage IP utilise dans cette conception pour les sites distants
WAN n'autorise pas l'accs direct Internet pour la navigation Web ou toute
autre utilisation. Les htes de sites distants accdant Internet doivent le faire
par le biais de la priphrie Internet du site principal. Les htes d'extrmit
requirent une route par dfaut pour l'ensemble des destinations Internet.
Celle-ci doit toutefois forcer le trafic transiter par les liaisons WAN principale
et secondaire (tunnel DMVPN ou VPN MPLS). Cette condition est en conflit avec
l'exigence plus gnrale relative au routeur satellite VPN voulant qu'une route
par dfaut oriente Internet invoque le tunnel VPN.
Site distant DMVPN (liaison unique, routeur unique)
DMVPN
I t t Internet
Site distant WAN MPLS + DMVPN (options liaison double)
VPN MPLS
DMVPN
I t t
DMVPN
Internet
Internet VPN MPLS
50
L'utilisation d' instances VRF sur le routeur permet de rsoudre le problme
li aux routes par dfaut multiples. Un routeur peut disposer de plusieurs
tables de routage spares de manire logique sur le priphrique. Cette
sparation est similaire un routeur virtuel du point de vue du plan de transfert.
Le VRF global correspond la table de routage classique et les instances VRF
supplmentaires se voient attribuer des noms et des descripteurs de route.
Certaines fonctionnalits du routeur sont compatibles avec la technologie VRF,
y compris les protocoles de routage et de routage statique, le transfert par
interface et la tunnellisation IPSec. Cet ensemble de fonctionnalits est utilis
en conjonction avec la technologie DMVPN afin de permettre l'utilisation de
routes par dfaut multiples pour les routeurs concentrateurs DMVPN et les
routeurs satellite DMVPN. Cette combinaison de fonctionnalits est appele
FVRF (Front Door Virtual Route Forwarding) tant donn que le VRF est orient
vers Internet et que les interfaces de routeur internes et le tunnel mGRE
demeurent tous dans le VRF global. Pour plus d' informations techniques sur
la technologie FVRF, reportez-vous l'annexe Supplment - Fonctionnalits
techniques.
Figure 23 - FVRF (Front-door vREF)
Dtails de la conception
Le routeur concentrateur DMVPN se connecte un priphrique de
commutation fiable dans la couche de distribution et la DMZ. Le routeur
DMVPN utilise des connexions EtherChannel constitues de deux ensembles
de ports. Cette conception offre la fois rsilience et performances de
transfert supplmentaires. Pour accrotre encore davantage les performances
de transfert, augmentez le nombre de liaisons physiques au sein de chaque
EtherChannel.
Les routeurs concentrateurs DMVPN doivent disposer d' informations de
routage IP suffisantes pour fournir une accessibilit de bout en bout. La
maintenance de ces informations de routage ncessite gnralement un
protocole de routage et EIGRP est donc utilis cette fin. Deux processus
EIGRP distincts sont utiliss, l'un pour le routage interne sur le LAN (EIGRP-
100) et l'autre pour le DMVPN (EIGRP-200). Ceci a principalement pour
but de simplifier la slection de la route au niveau du site d'agrgation
WAN lors de l'utilisation d'un chemin principal WAN MPLS et d'un chemin
secondaire DMVPN. Cette mthode permet de garantir que les routes MPLS
et DMVPN acquises apparaissent en tant que routes EIGRP externes aprs
leur redistribution dans le processus EIGRP-100 utilis sur le rseau local de
campus.
Au niveau du site d'agrgation WAN, vous devez connecter le routeur DMVPN
la couche de distribution et la DMZ-VPN qui fournit la connectivit Internet.
Les routeurs concentrateurs DMVPN utilisent la technologie FVRF et ont une
route par dfaut statique avec l' instance VRF INET-PUBLIC pointant vers
l' interface DMZ de pare-feu.
Figure 24 - Conceptions WAN 500/100 - Dtails du routage DMVPN
Distribution WAN
FVRF (Front Door VRF)
Priphrie
Internet
Par dfaut
INTRIEUR vrf global vrf INET-PUBLIC
Distribution WAN
VPN-DMZ
Internet
Par dfaut
Routeur concentrateur
DMVPN
Par dfaut
EXTRIEUR Par dfaut
Routage par dfaut
Routage par dfaut (vrf INET-PUBLIC)
Internet
P df t Par dfaut
vrf global
vrf INET-PUBLIC
Routeur satellite DMVPN
2008CiscoSystems, Inc. Tous droits rservs. Informations confidentielles de Cisco Presentation_ID 19
Conceptions WAN 500/100 Dtail du routage DMVPN
Route vrf INET-PUBLIC Route vrf INET-PUBLIC
Distribution WAN Distribution WAN
DMVPN
P i h i I
DMVPN
P i h i I t t Priphrie Internet
Par dfaut
Priphrie Internet
Par dfaut
EIGRP
(200)
EIGRP
(200)
Internet
DMVPN 1
Internet
DMVPN 1
51
EIGRP
Cisco utilise EIGRP comme protocole de routage principal car il est simple
configurer, ne ncessite aucune planification importante, possde des options
de rsum et de filtrage souples et peut voluer pour prendre en charge de
grands rseaux. mesure que le rseau se dveloppe, le nombre de prfixes
ou de routes IP dans les tables de routage augmente lui aussi. Nous vous
conseillons de programmer un rsum IP sur les liaisons sur lesquelles des
frontires logiques existent, par exemple sur les liaisons de la couche de
distribution avec le rseau tendu ou avec le cur du rseau. Par le biais de
ce rsum IP, vous rduisez les besoins en bande passante, le nombre de
processeurs et la quantit de mmoire ncessaires au transport de grandes
tables de routage, de mme que vous limitez les temps de convergence
associs une dfaillance de liaison.
Dans cette conception, EIGRP processus 100 est le processus EIGRP principal.
Il est dsign sous la forme EIGRP-100.
Utilisez EIGRP-100 pour vous connecter la couche de distribution du LAN du
site principal au niveau d'un site d'agrgation WAN. Il est galement utilis au
niveau des sites distants WAN avec routeurs WAN doubles ou avec topologies
LAN couche de distribution. Utilisez EIGRP-200 pour les tunnels DMVPN.
Vous devez configurer EIGRP-200 pour le routage souche sur tous les routeurs
de sites distants afin d'amliorer la stabilit du rseau et rduire l'utilisation des
ressources.
Cryptage
L'objectif principal du cryptage est d'assurer la confidentialit, l' intgrit et
l'authenticit des donnes en cryptant les paquets IP au fur et mesure que les
donnes traversent un rseau.
Les charges utiles cryptes sont alors encapsules avec un nouvel en-tte
(ou plusieurs) et transmises travers le rseau. Les en-ttes supplmentaires
ajoutent une certaine surcharge la longueur globale des paquets. Le tableau
suivant indique la surcharge de paquet associe au cryptage en fonction des
en-ttes supplmentaires requis pour les diverses combinaisons IPsec et GRE.
Tableau 13 - Surcharge associe IPsec et GRE
Encapsulation Surcharge
GRE seulement 24 octets
IPsec (mode Transport) 36 octets
IPsec (mode Tunnel) 52 octets
IPsec (mode Transport) + GRE 60 octets
IPsec (mode Tunnel) + GRE 76 octets
Il existe un paramtre MTU (Maximum Transmission Unit, taille maximum de
l'unit de transfert) pour chaque liaison d'un rseau IP et cette valeur MTU
est gnralement de 1 500 octets. Les paquets IP suprieurs 1 500 octets
doivent tre fragments lors de leur transfert par le biais de ces liaisons.
Cette fragmentation n'est pas souhaitable et peut avoir un impact ngatif sur
les performances rseau. Pour viter ceci, la taille de paquet d'origine et la
surcharge combines doivent tre gales ou infrieures 1 500 octets, ce
qui signifie que l'expditeur doit rduire la taille du paquet d'origine. Afin de
prendre en compte toute autre surcharge potentielle, Cisco vous recommande
de configurer les interfaces de tunnel avec une valeur MTU de 1 400 octets.
Il existe des mthodes dynamiques permettant aux clients du rseau de
dcouvrir la valeur MTU du chemin, ce qui permet aux clients de rduire la taille
des paquets qu' ils transmettent. Ces mthodes sont toutefois infructueuses
dans de nombreux cas, gnralement parce que les priphriques de scurit
filtrent le trafic de dcouverte ncessaire. Cette incapacit dcouvrir la valeur
MTU du chemin met en vidence la ncessit d'utiliser une mthode mme de
communiquer avec fiabilit la taille de paquet adquate aux clients du rseau.
Vous devez, pour ce faire, mettre en uvre la commande ip tcp adjust mss
[taille] sur les routeurs WAN, ce qui influence la valeur MSS (Maximum Segment
Size, taille de segment maximum) TCP signale par les htes d'extrmit.
La valeur MSS dfinit le volume de donnes maximum qu'un hte est prt
accepter dans un seul datagramme TCP/IP. Cette valeur est envoye en tant
qu'option d'en-tte TCP dans les segments TCP SYN uniquement. Chacune des
deux extrmits d'une connexion TCP signale sa valeur MSS l'autre. L' hte
expditeur doit limiter la taille des donnes d'un segment TCP unique une
valeur infrieure ou gale la valeur MSS signale par l' hte destinataire.
Les en-ttes IP et TCP combins reprsentant une surcharge de 40 octets,
la valeur MSS typique signale par les clients du rseau sera donc de
1 460 octets. Cette conception inclut des tunnels crypts avec une valeur MTU
de 1 400 octets. Les htes d'extrmit doivent donc configurer la valeur MSS
sur 1 360 octets afin de minimiser tout impact de fragmentation. Dans ce cas,
vous devez donc mettre en uvre la commande ip tcp adjust mss 1360 sur
toutes les interfaces de routeur orientes WAN.
DMVPN
Cette solution fait appel Internet pour le transport WAN. Dans un souci de
scurit et de confidentialit des donnes, tout trafic de site site traversant
Internet doit tre crypt. Bien que plusieurs technologies offrent une
fonctionnalit de cryptage, la mthode DMVPN offre la meilleure combinaison
en termes de performances, d' volutivit, de prise en charge des applications
et de facilit de dploiement.
La plupart des cas de figure prsents dans ce guide de conception utilisent
Internet/DMVPN en tant que transport WAN secondaire ncessitant une
conception DMVPN de type Cloud unique, concentrateur unique. Les routeurs
52
DMVPN utilisent des interfaces de tunnel qui prennent en charge le trafic
unicast et multicast IP ainsi que le trafic de diffusion, y compris l'utilisation de
protocoles de routage dynamique. Une fois le tunnel satellite concentrateur
initial actif, vous pouvez crer des tunnels satellite satellite dynamiques
lorsque requis par les flux de trafic IP de site site.
Les informations requises par un satellite pour configurer des tunnels satellite
satellite dynamiques et rsoudre correctement d'autres satellites sont fournies
par le biais du protocole NHRP (Next Hop Resolution Protocol). Les tunnels
satellite satellite permettent un routage optimal du trafic d'un site un autre
sans transfert indirect par le biais du concentrateur. Les tunnels satellite
satellite inactifs expirent aprs une priode d' inactivit dfinie.
L' insertion d'un pare-feu entre le routeur concentrateur DMVPN et Internet
est courante. Dans de nombreux cas, ce pare-feu peut fournir la traduction
d'adresses de rseau (NAT) depuis une adresse IP RFC-1918 interne (telle
que 10.4.128. 33) vers une adresse IP routable sur Internet. La solution DMVPN
fonctionne bien avec la NAT mais requiert l'utilisation du mode de transport
IPsec pour la prise en charge d'un concentrateur DMVPN situ derrire la NAT
statique.
DMVPN ncessite d'utiliser des intervalles de conservation de connexion
active ISAKMP (Internet Security Association and Key Management Protocol)
pour la dtection DPD (Dead Peer Detection), ce qui est essentiel pour faciliter
une convergence rapide et pour que l' inscription de satellite fonctionne
correctement en cas de rechargement d'un concentrateur DMVPN. Cette
conception permet un satellite de dtecter qu'un homologue de cryptage
a fait l'objet d'une dfaillance et que la session ISAKMP avec cet homologue
est prime, ce qui permet alors d'en crer une nouvelle. Sans la dtection
DPD, l'association de scurit IPsec doit expirer (le dlai par dfaut est de
60 minutes) ; lorsque le routeur ne peut pas rengocier une nouvelle association
de scurit, une nouvelle session ISAKMP est alors initialise. Le temps
d'attente maximum est d'environ 60 minutes.
L'un des principaux avantages de la solution DMVPN est que les routeurs
satellite peuvent utiliser des adresses affectes de manire dynamique,
souvent l'aide de DHCP depuis un fournisseur d'accs Internet. Les routeurs
satellite peuvent utiliser une route Internet par dfaut pour l'accessibilit aux
routeurs concentrateurs ainsi que d'autres adresses de satellites.
Figure 25 - DMVPN de type Cloud unique
Le routeur concentrateur DMVPN dispose d'une adresse IP statique affecte
son interface oriente public. Cette configuration est essentielle au bon
fonctionnement puisque cette adresse IP est intgre dans la configuration de
chaque routeur satellite.
DMVPN de type Cloud unique
Tte de rseau DMVPN
Concentrateur
Cloud DMVPN 1
Concentrateur
cloud 1 Tunnel Spoke-Spoke
Internet
Satellite DMVPN
Satellite DMVPN
Satellite DMVPN
53
Le dploiement en dtail
Les procdures dcrites dans cette section sont pour nous l'occasion de vous
fournir des exemples de paramtrage. Les paramtres et les valeurs que vous
utilisez proviennent de votre configuration rseau actuelle.
Tableau 14 - Services rseau communs utiliss dans les exemples de
dploiement
Service Adresse
Nom d' hte : VPN-ASR1002-1
Adresse IP de bouclage (routeur) : 10.4. 32. 243/32
Adresse IP Port Channel (routeur) : 10.4. 32.18/30

Configuration du routeur concentrateur DMVPN
1. Configuration du commutateur de la couche de distribution
2. Configuration de la plate-forme d'agrgation WAN
3. Configuration de la connectivit du LAN
5. Connexion la DMZ d' Internet
6. Configuration d' ISAKMP et d' IPsec
Procdure

Procdure 1 Conguration du commutateur de la couche
de distribution

La procdure suppose que le commutateur de distribution a dj t
configur selon les conseils contenus dans le guide de dploiement
des rseaux locaux (LAN) Cisco SBA for Enterprise Organizations
en charge de l' intgration du routeur d'agrgation WAN dans le
dploiement sont incluses dans ce guide.
Le commutateur LAN de la couche de distribution correspond au chemin
menant au campus principal et au data center de l'entreprise. Une interface Port
Channel de couche 3 se connecte au commutateur de la couche de distribution
et au routeur d'agrgation WAN. C'est cette interface que s'adresse le
protocole de routage interne.

La meilleure pratique consiste, si possible, utiliser la mme
numrotation de canal aux deux extrmits de la liaison.
tape 1 : Configurez l' interface Port Channel de couche 3 et affectez
l'adresse IP.
description VPN-ASR1002-1
no switchport
ip address 10.4.32.17 255.255.255.252
ip pim sparse-mode
no shutdown
54
De mme, utilisez la macro egress QoS dfinie dans la procdure de
configuration de la plate-forme pour dfinir de manire correcte les priorits du
trafic.
description VPN-ASR1002-1 Gig0/0/0
!
description VPN-ASR1002-1 Gig0/0/1
!
no switchport
channel-protocol lacp
logging event bundle-status
no shutdown
tape 3 : Configurez les interfaces connectes la partie centrale du LAN
pour rsumer la plage du rseau WAN.
interface range TenGigabitEthernet1/1/1, TenGigabitEthernet2/1/1
tape 4 : Autorisez le protocole de routage former des relations de voisinage
sur l' interface Port Channel.
router eigrp 100

Procdure 2 Conguration de la plate-forme d'agrgation
WAN
Dans cette conception, il existe des fonctionnalits et des services communs
l'ensemble des routeurs d'agrgation WAN. Il s'agit de paramtres systme qui
tape 1 : Configurez le nom d' hte du priphrique.
hostname VPN-ASR1002-1
cdp run
ip ssh version 2
no ip http server
line vty 0 15
transport input ssh
lecture-criture.
authentification, autorisation et traabilit) pour le contrle d'accs.
AAA contrle tous les accs de gestion aux priphriques d' infrastructure
rseau (SSH et HTTPS).
55

Dans cette architecture, le serveur AAA est Cisco ACS. Pour plus
d' information sur la configuration ACS, consultez le guide Cisco
SBA for Enterprise OrganizationsBorderless Networks Network
Device Authentication and Authorization Deployment Guide.
!
aaa new-model
!
key SecretKey
!
!
!
!
messages non sollicits est active, les messages de journalisation de
la console s'affichent sur cette dernire aprs l'affichage ou l' impression
des rsultats de l' interface de ligne de commande (CLI) interactive. Cette
commande vous permet galement de poursuivre la saisie sur la console du
line con 0
logging synchronous
masque d'adresse 32 bits. Affectez au reste du rseau l'adresse de bouclage
issue du bloc d'adresses IP rsum par le commutateur de la couche de
distribution.
interface Loopback 0
ip address 10.4.32.243 255.255.255.255
ip pim sparse-mode
La commande ip pim sparse-mode est explique plus loin dans cette
procdure.
56
tape 6 : Configurez le routage IP unicast
Configurez le protocole EIGRP face la couche de distribution ou la
couche centrale du LAN. Dans cette conception, l' interface Port Channel et
la boucle doivent tre des interfaces EIGRP. La boucle doit rester quant elle
une interface passive. La plage rseau doit inclure les deux adresses IP de
l' interface, sous la forme d'une seule ou de plusieurs instructions rseau. Cette
conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID
du routeur une adresse de bouclage.
router eigrp 100
network 10.4.0.0 0.1.255.255
no auto-summary
rsilient.
globale.
ip multicast-routing distributed
ip pim sparse-mode

Procdure 3 Conguration de la connectivit du LAN
Les liaisons vers des couches de distribution adjacentes doivent tre des
liaisons ou des EtherChannels de couche 3.
tape 1 : Configurez l' interface de couche 3.
ip address 10.4.32.18 255.255.255.252
ip pim sparse-mode
no shutdown
!
!
no ip address
cdp enable
no shutdown
57
tape 3 : Configurez l interface EIGRP.
Permettez EIGRP de former des liens de voisinage sur l'ensemble de
l' interface afin d' tablir des appairages adjacents et des tables de routage
d' change.
router eigrp 100

Procdure 4 Conguration de VRF Lite
Un VRF Internet est cr pour prendre en charge FVRF pour DMVPN. Le nom
VRF est arbitraire mais s'avre utile pour choisir un nom de description pour le
VRF. Un descripteur de routage (RD) associ doit galement tre configur pour
que le VRF soit fonctionnel. La configuration du RD cre galement le routage
et les tables de renvoi et associe le RD l' instance VRF.
Cette conception utilise VRF Lite afin que la valeur du RD puisse tre choisie de
faon arbitraire. Il s'agit d'une meilleure pratique qui consiste utiliser la mme
combinaison VRF/RD sur plusieurs priphriques lors de l'utilisation des VRF
de faon identique. Toutefois, cette convention n'est pas strictement obligatoire.
ip vrf INET-PUBLIC
rd 65512:1

Un RD est soit li l'ASN (c'est--dire, compos d'un ASN et d'un
numro arbitraire), soit li l'adresse IP (c'est--dire, compos d'une
adresse IP et d'un numro arbitraire).
Vous pouvez saisir un RD dans chacun de ces formats :
Numro de systme autonome 16 bits:votre numro 32 bits
Par exemple, saisissez 65512:1.
Adresse IP 32 bits:votre numro 16 bits
Par exemple, 192.168 122.15:1.

Procdure 5 Connexion la DMZ d'Internet
Le concentrateur DMVPN requiert une connexion Internet, et dans cette
conception, la connexion du concentrateur DMVPN s'effectue via un appareil de
scurit adaptable Cisco ASA5500 utilisant une interface DMZ spcifiquement
cre et configure pour un routeur avec terminaison VPN.
tape 1 : Activez l' interface, slectionnez le VRF et attribuez l'adresse IP.
L'adresse IP que vous utilisez pour l' interface Internet du routeur
concentrateur DMVPN doit tre une adresse routable sur Internet. Il existe deux
mthodes possibles pour excuter cette tche :
Attribuer une adresse IP routable directement au routeur.
Attribuer une adresse RFC-1918 non routable directement au routeur et
utiliser une NAT statique sur le Cisco ASA5500 pour traduire l'adresse IP du
routeur en adresse IP routable.
Cette conception suppose que le Cisco ASA5500 est configur pour les NAT
statiques pour le routeur concentrateur DMVPN.
La conception DMVPN utilise FVRF. Par consquent, cette interface doit tre
place dans le VRF configur la procdure prcdente.
ip vrf forwarding INET-PUBLIC
ip address 192.168.18.10 255.255.255.0
no shutdown
tape 2 : Configurez le routage par dfaut spcifique au VRF.
Le VRF cr pour FVRF doit possder son propre routage par dfaut
sur Internet. Ce routage par dfaut permet d'accder l'adresse IP de
l' interface DMZ ASA5500.
ip route vrf INET-PUBLIC 0.0.0.0 0.0.0.0 192.168.18.1
58
Figure 26 - Vues physique et logique de la connexion la DMZ

Procdure 6 Conguration d'ISAKMP et d'IPsec
tape 1 : Configurez le porte-cl cryptographique.
Le porte-cl cryptographique dfinit une cl prpartage (Pre-Shared Key
ou PSK), ou un mot de passe, valide pour les sources IP accessibles dans un
VRF spcifique. Cette cl est une cl partage avec caractre de substitution
si elle s'applique n' importe quelle source IP. La configuration d'une cl
avec caractre de substitution s'effectue l'aide de la combinaison rseau/
masque 0.0.0.0 0.0.0.0.
crypto keyring DMVPN-KEYRING vrf INET-PUBLIC
pre-shared-key address 0.0.0.0 0.0.0.0 key cisco123
tape 2 : Configurez la stratgie de scurit ISAKMP.
La stratgie de scurit ISAKMP de DMVPN utilise les lments suivants :
Advanced Encryption Standard (AES) avec cl 256 bits ;
Secure Hash Standard (SHA) ;
authentification par cl prpartage (PSK) ;
Diffie-Hellman group: 2.
crypto isakmp policy 10
encr aes 256
hash sha
authentication pre-share
group 2
tape 3 : Crez le profil ISAKMP.
Le profil ISAKMP cre une association entre une adresse d' identit, un VRF et
un porte-cl cryptographique. L'adresse de substitution d'un VRF est dsigne
par 0.0.0.0.
crypto isakmp profile FVRF-ISAKMP-INET-PUBLIC
keyring DMVPN-KEYRING
match identity address 0.0.0.0 INET-PUBLIC
tape 4 : Dfinissez l'ensemble de transformation IPsec.
Un ensemble de transformation est une combinaison acceptable de protocoles
de scurit, d'algorithmes et d'autres paramtres pouvant tre appliqus au
trafic protg par IPsec. Les homologues ont convenu d'utiliser un ensemble de
transformation spcifique pour protger un flux de donnes particulier.
L'ensemble de transformation IPsec de DMVPN utilise les lments suivants :
ESP avec l'algorithme de cryptage AES 256 bits ;
ESP avec l'algorithme d'authentification SHA (variante HMAC).
Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT,
la transformation IPsec doit tre configure pour le mode de transport.
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-
sha-hmac
mode transport
tape 5 : Crez le profil IPSec.
Le profil IPsec cre une association entre un profil ISAKMP et un ensemble de
transformation IPsec.
crypto ipsec profile DMVPN-PROFILE
set transform-set AES256/SHA/TRANSPORT
set isakmp-profile FVRF-ISAKMP-INET-PUBLIC
Caractristiques
physiques
Topologie
Routeur
concentrateur
Routeur
concentrateur concentrateur
DMVPN
gig0/0/3
(.10)
concentrateur
DMVPN
Priphrie Internet Priphrie Internet
Commutateur
DMZ
192.168.18.0/24
(.1)
dmz-vpn
vrf : INET-PUBLIC
VLAN : 1118
Internet Internet
59

Procdure 7 Conguration du tunnel mGRE
tape 1 : Configurez les paramtres de l' interface de base.
La cration des interfaces de tunnel s'effectue en mme temps que leur
configuration. Le nombre de tunnels est arbitraire, mais il est prfrable
de commencer la numrotation des tunnels 10 minimum, car les autres
fonctionnalits dployes dans cette conception peuvent galement ncessiter
des tunnels et slectionner des numros infrieurs par dfaut.
Le paramtre de la bande passante doit tre configur pour correspondre la
bande passante Internet de l'oprateur principal ou secondaire correspondant.
Configurez la valeur IP MTU sur 1400 et ip tcp adjust-mss sur 1360. Vous
constaterez un cart de 40 octets, qui correspond la longueur d'en-tte IP et
TCP combine.
interface Tunnel10
bandwidth 10000
ip address 10.4.34.1 255.255.254.0
no ip redirects
ip mtu 1400
ip tcp adjust-mss 1360
tape 2 : Configurez le tunnel.
DMVPN utilise les tunnels multipoint GRE (mGRE). Ce type de tunnel requiert
uniquement une interface source. L' interface source correspond l' interface
connecte Internet. Configurez la commande tunnel vrf sur le VRF dfini
prcdemment pour FVRF.
L'activation du cryptage sur cette interface requiert l'application du profil IPsec
configur la prcdente procdure.
interface Tunnel10
tunnel source GigabitEthernet0/0/3
tunnel mode gre multipoint
tunnel vrf INET-PUBLIC
tunnel protection ipsec profile DMVPN-PROFILE
tape 3 : Configurez le protocole NHRP.
Le routeur concentrateur DMVPN joue le rle du serveur NHRP pour tous
les satellites. Le protocole NHRP est utilis par les routeurs distants pour
dterminer les destinations du tunnel pour les homologues associs au
tunnel mGRE.
Le protocole NHRP ncessite que tous les priphriques d'un Cloud DMVPN
utilisent le mme ID rseau et la mme cl d'authentification. Le temps d'attente
de la mmoire cache du protocole NHRP doit tre configur sur 600 secondes.
L' EIGRP (configur dans la procdure suivante) se base sur un transport en
multicast et requiert que le protocole NHRP ajoute automatiquement des
routeurs aux mappages NHRP en multicast.
La commande ip nhrp redirect permet au concentrateur DMVPN d' informer
les routeurs satellite qu'un chemin vers un rseau de destination plus adapt
existe et peut s'avrer requis pour les communications directes de satellite
satellite DMVPN.
interface Tunnel10
ip nhrp authentication cisco123
ip nhrp map multicast dynamic
ip nhrp network-id 101
ip nhrp holdtime 600
ip nhrp redirect
tape 4 : Activez le mode multiaccs sans diffusion (NBMA, non-broadcast
multiple access) PIM pour le tunnel DMVPN.
Les rseaux DMVPN de satellite satellite constituent un dfi unique car les
satellites ne peuvent pas changer directement d' informations les uns avec
les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette incapacit
changer directement des informations peut galement entraner des
problmes lors de l'excution d'un multicast IP.
Pour rsoudre ce problme, il est ncessaire d'appliquer une mthode o
le suivi des messages d' inscription de chaque voisin PIM distant s'effectue
sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM distant
comme s' il tait connect au routeur par le biais d'une liaison point point.

N'activez pas le PIM sur l' interface DMZ Internet. En effet, vous ne
devez pas demander de trafic multicast partir de cette interface.
interface Tunnel10
ip pim sparse-mode
ip pim nbma-mode
60
tape 5 : Configurez le protocole EIGRP.
La configuration du protocole EIGRP s'effectue en suivant la procdure 8
suivante, mais certaines caractristiques spcifiques de l'interface du
tunnel mGRE ncessitent d' tre configures au pralable.
les autres, bien qu' ils se trouvent sur le mme rseau logique. Cette restriction
exige que le routeur concentrateur DMVPN indique les routages provenant
des autres satellites du mme rseau. L' indication de ces routages pourrait
normalement tre vite ave Split Horizon et remplace par la commande no ip
split-horizon eigrp.
L' intervalle d'accueil du protocole EIGRP est augment de 20 secondes, et son
temps d'attente, de 60 secondes pour accueillir jusqu' 500 sites distants sur un
Cloud DMVPN unique.
interface Tunnel10
ip hello-interval eigrp 200 20
ip hold-time eigrp 200 60
no ip split-horizon eigrp 200

Vous devez utiliser deux processus EIGRP sur les routeurs
concentrateurs DMVPN. La principale raison de ce processus supplmentaire
est de s'assurer que les routes acquises des WAN distants apparaissent comme
des routes externes EIGRP sur le commutateur de distribution WAN. Si vous
n'avez utilis qu'un seul processus, les routes des sites distants apparaissent
sous forme de routes internes EIGRP sur le commutateur de distribution WAN
qui seraient prfrables aux routes MPLS et DMVPN acquises.
tape 1 : Activez un processus EIGRP-200 supplmentaire pour DMVPN.
Configurez l' EIGRP-200 pour l' interface mGRE DMVPN. Les routes issues de
l'autre processus EIGRP sont redistribues. Le protocole de routage tant
identique, aucune mesure par dfaut ne s'avre requise.
L' interface du tunnel est l'unique interface EIGRP et vous devrez lister
explicitement l' tendue de son rseau.
router eigrp 200
network 10.4.34.0 0.0.1.255
no passive-interface Tunnel10
no auto-summary
tape 2 : Marquez et redistribuez les routes.
Cette conception utilise la redistribution mutuelle des routes. Les
routes DMVPN issues du processus EIGRP-200 sont redistribues dans
EIGRP-100 et les autres routes acquises issues du processus EIGRP-100 sont
redistribues dans EIGRP-200. Le protocole de routage tant identique, aucune
mesure par dfaut ne s'avre requise.
L'utilisation de cette configuration requiert le contrle prcis du partage des
informations de routage entre les diffrents protocoles de routage. Un battement
de route risque de se produire sinon, savoir que certaines routes sont installes
puis retires des tables de routage des priphriques de manire rpte.
Un contrle adquat des routes garantit la stabilit de la table de routage.
Une liste de distribution entrante est utilise sur les routeurs CE MPLS
d'agrgation WAN pour restreindre les routes qui seront acceptes pour
l' installation dans la table de routage. Ces routeurs sont configurs pour
n'accepter que les routes qui ne proviennent pas des sources WAN MPLS
et DMVPN. Pour accomplir cette tche, les routes WAN acquises du DMVPN
doivent tre explicitement marques par leur routeur concentrateur DMVPN
au cours du processus de redistribution des routes. Les marquages de routes
spcifiques utiliss sont indiqus ci-dessous.
Tableau 15 - Informations sur les marquages des routes du routeur
concentrateur DMVPN
Marquage Origine de la route
Mthode de
marquage Action
65401 MPLS A implicite accepter
65402 MPLS B implicite accepter
300 WAN de couche 2 explicite accepter
65512 Routeurs concentrateurs
DMVPN
explicite marquage
Cet exemple inclut toutes les origines de routes WAN de la conception de
rfrence. Selon la conception de votre rseau, il est possible que l'utilisation
de marquages supplmentaires s'avre ncessaire.
router eigrp 100
redistribute eigrp 200 route-map SET-ROUTE-TAG-DMVPN
!
router eigrp 200
!
route-map SET-ROUTE-TAG-DMVPN permit 10
match interface Tunnel10
set tag 65512
61

Configuration du commutateur pare-feu et DMZ
1. Configuration du commutateur DMZ
2. Configuration de l interface de la zone dmilitarise
3. Configuration de la traduction d'adresses de rseau
4. Configuration de la stratgie de scurit
Procdure

Procdure 1 Conguration du commutateur DMZ

La procdure suppose que le commutateur a dj t configur
selon les conseils contenus dans le guide de dploiement des
rseaux locaux (LAN) Cisco SBA for Enterprise Organizations
en charge de l' intgration du pare-feu dans le dploiement sont
incluses dans ce guide.
tape 1 : Configurez le commutateur DMZ pour qu' il se situe la racine de
Spanning Tree pour le VLAN contenant le routeur d'agrgation DMVPN.
vlan 1118
spanning-tree vlan 1118 root primary
tape 2 : Configurez les interfaces connectes aux appareils sous forme de
liaison.
description IE-ASA5540a Gig0/1
!
description IE-ASA5540b Gig0/1
!
switchport trunk allowed vlan add 1118
no shutdown
tape 3 : Configurez les interfaces connectes au routeur
d'agrgation DMVPN.
description VPN-ASR1002-1
switchport access vlan 1118
switchport host
no shutdown

Procdure 2 Conguration de linterface de la zone
dmilitarise
La zone dmilitarise (DMZ) du pare-feu dsigne une partie du rseau
o le trafic depuis et vers les autres parties du rseau sont gnralement
rigoureusement restreintes. Les entreprises placent les services rseau dans
une DMZ afin de les prsenter sur Internet. Ces serveurs ne sont gnralement
pas autoriss tablir des connexions vers le rseau interne , except dans
des circonstances particulires.
Le rseau DMZ est connect aux appareils sur l' interface GigabitEthernet
de ces derniers par le biais d'une ligne VLAN pour offrir la plus grande
flexibilit possible si de nouveaux VLAN ncessitent d' tre ajouts en vue de
connecter d'autres zones dmilitarises. Cette liaison connecte les appareils
une pile de commutateurs d'accs 3750x pour garantir la rsilience. Les
interfaces VLAN DMZ de Cisco ASA se voient chacune attribuer une adresse IP
qui servira de passerelle par dfaut pour chacun des sous-rseaux VLAN.
Le commutateur DMZ offre uniquement une fonctionnalit de commutation
de couche 2, les interfaces VLAN du commutateur DMZ ne possdent pas
d'adresse IP, except pour une interface VLAN dote d'une adresse IP et
ddie la gestion du commutateur.
62
Figure 27 - Topologie et services de VLAN DMZ

Vous obtenez une plus grande souplesse en configurant la
connectivit DMZ en tant que ligne VLAN.
tape 1 : Dans Configuration > Device Setup (Configuration de
priphrique) > Interfaces, cliquez sur l' interface connecte au
commutateur DMZ. (Exemple : GigabitEthernet0/1)
tape 2 : Cliquez sur Edit (Modifier).
tape 3 : Slectionnez Enable Interface (Activer l' interface), puis cliquez sur
OK.
tape 4 : Dans le volet Interface, cliquez sur Add (Ajouter) > Interface.
tape 5 : Dans la liste Hardware Port (Port du matriel), choisissez l' interface
configure l' tape 1. (Exemple : GigabitEthernet0/1)
tape 6 : Dans la case VLAN ID (ID VLAN), saisissez le numro VLAN du
VLAN DMZ. (Exemple : 1118)
tape 7 : Dans la case Subinterface ID (ID de la sous-interface), saisissez le
numro VLAN du VLAN DMZ. (Exemple : 1118)
tape 8 : Entrez un nom pour l' interface dans Interface Name (Nom de
l' interface). (Exemple : dmz-dmvpn)
tape 9 : Dans la case Security Level (Niveau de scurit), saisissez la valeur 75.
tape 10 : Saisissez l'adresse IP de l' interface dans la case IP Address
(Adresse IP). (Exemple : 192.168.18.1)
tape 11 : Saisissez le masque de sous-rseau de l'interface dans la case Subnet
Mask (Masque de sous-rseau), puis cliquez sur OK. (Exemple : 255.255.255.0)
Internet
Cisco ESA
Commutateur
Liaison
Serveurs
Internet
DMZ
Liaison
VLAN
Cisco ASA
ACE
DM-VPN WC 5508
Web Invit Informations VLAN DMZ
Invit
VPN E-mail
63
tape 12 : Cliquez sur Apply (Appliquer).
tape 13 : Dans Configuration > Device Management (Gestion des
priphriques) > High Availability (Haute disponibilit) > cliquez sur Failover
(Basculement).
tape 14 : Dans l'onglet Interfaces, pour l' interface que vous avez cre
l' tape 4, dans la colonne Standby IP address (Adresse IP de veille), saisissez
l'adresse IP de l'unit de veille. (Exemple : 192.168.18. 2)
tape 15 : Slectionnez Monitored (Contrl).
64

Procdure 3 Conguration de la traduction d'adresses de
rseau
Le rseau DMZ utilise un adressage de rseau priv (RFC 1918) qui n'est pas
routable par Internet. Par consquent, le pare-feu doit traduire l'adresse DMZ
du routeur d'agrgation DMVPN en une adresse publique externe.
L'adresse DMZ du mappage d'adresses IP indique titre d'exemple est
illustre dans le tableau suivant.
Adresse DMZ
du routeur
d'agrgation DMVPN
Adresse publique du routeur
d'agrgation DMVPN (routable en externe aprs
la traduction d'adresses de rseau ou NAT)
192.168.18.10 172.16.130.1 (ISP-A)
tape 1 : Dans Configuration > Firewall (Pare-feu) > Objects (Objets) >,
cliquez sur Network Objects/Groups (Objets/groupes de rseau).
Tout d'abord, ajoutez un objet de rseau pour l'adresse publique du routeur
d'agrgation DMVPN sur la connexion Internet principale.
tape 2 : Cliquez sur Add (Ajouter) > Network Object (Objet de rseau).
tape 3 : Dans la bote de dialogue Add Network Object (Ajouter un objet de
rseau), dans la case Name (Nom), saisissez une description pour l'adresse IP
publique du routeur d'agrgation DMVPN. (Exemple : outside-dmvpn-ISPa)
tape 4 : Dans la liste Type, slectionnez Host (Hte).
tape 5 : Dans la zone IP Address (Adresse IP), saisissez l'adresse IP publique
du routeur d'agrgation DMVPN, puis cliquez sur OK. (Exemple : 172.16.130.1)
Vous devez ensuite ajouter un objet de rseau pour l'adresse DMZ prive du
routeur d'agrgation DMVPN.
tape 7 : Cliquez sur Add (Ajouter) > Network Object (Objet de rseau).
tape 8 : Dans la bote de dialogue Add Network Object (Ajouter un objet de
rseau), dans la case Name (Nom), saisissez une description pour l'adresse IP
prive du routeur d'agrgation DMVPN. (Exemple : dmz-dmvpn-1)
tape 9 : Dans la liste Type, slectionnez Host (Hte).
tape 10 : Dans la zone IP Address (Adresse IP), saisissez l'adresse IP DMZ
prive du routeur. (Exemple : 192.168.18.10)
tape 11 : Cliquez sur les deux flches descendantes. Le volet NAT se
dveloppe.
tape 12 : Slectionnez Add Automatic Address Translation Rules (Ajouter
des rgles de traduction d'adresses automatique).
65
tape 13 : Dans la liste Translated Addr (Adr. traduite), choisissez l'objet de
rseau cr dans Step 2.
tape 14 : Cliquez sur Advanced (Avanc).
tape 15 : Dans la liste Destination Interface (Interface de destination),
choisissez le nom d' interface de la connexion Internet principale, puis cliquez
sur OK. (Exemple : outside-16)
tape 16 : Cliquez sur OK.
66

Procdure 4 Conguration de la stratgie de scurit
La zone dmilitarise DMVPN offre une couche de protection supplmentaire
pour rduire le risque de configurations errones des routeurs DMVPN
exposant le rseau de l'entreprise sur Internet. Un filtre permet uniquement au
trafic DMVPN d'atteindre les routeurs d'agrgation DMVPN.
Tableau 16 - Protocoles DMVPN requis (routeur d'agrgation)
Nom Protocole Utilisation
non500-isakmp UDP 4500 IPsec via NAT-T
isakmp UDP 500 ISAKMP
esp IP 50 IPsec
Tableau 17 - Protocoles disponibles en option : routeur
d'agrgation DMVPN
icmp echo ICMP Type 0, Code 0 Autoriser les pings distants
icmp echo-reply ICMP Type 8, Code 0 Autoriser les rponses ping
( partir de nos requtes)
icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses
Traceroute
icmp
port-unreachable
ICMP Type 3, Code 3 Autoriser les rponses
Traceroute
UDP high ports UDP > 1023 Autoriser le Traceroute
distant
tape 1 : Dans Configuration > Firewall (Pare-feu) cliquez sur Access Rules
(Rgles d'accs).
tape 2 : Cliquez sur la rgle qui refuse le trafic provenant de la DMZ vers
d'autres rseaux.
Ensuite, vous devez insrer une nouvelle rgle au-dessus de la rgle
slectionne.
tape 3 : Cliquez sur Add (Ajouter) > Insert (Insrer).
Activez les routeurs distants DMVPN pour pouvoir communiquer avec les
routeurs d'agrgation DMVPN de la DMZ.
tape 4 : Dans la liste Translated Addr (Adr. traduite), choisissez l'objet de
rseau cr dans Procedure 2 Step 16. (Exemple : dmz-dmvpn-network/24)
tape 5 : Dans la zone Service, saisissez esp, udp/4500, udp/isakmp, puis
cliquez sur OK.
Vous devez ensuite insrer une nouvelle rgle pour autoriser le trafic de
diagnostic sur les routeurs d'agrgation DMVPN.
tape 6 : Cliquez sur Add (Ajouter) > Insert (Insrer).
Activez les routeurs distants DMVPN pour pouvoir communiquer avec les
routeurs d'agrgation DMVPN de la DMZ.
tape 7 : Dans la liste Destination, choisissez l'objet de rseau cr
automatiquement pour la DMZ de DMVPN. (Exemple : dmz-dmvpn-network/24)
67
tape 8 : Dans la zone Service, saisissez icmp/echo, icmp/echo-reply, puis
cliquez sur OK.

Activation de la sauvegarde DMVPN sur un routeur CE MPLS existant
2. Connexion Internet
Procdure
Cet ensemble de procdures inclut les tapes complmentaires requises pour
configurer un routeur CE MPLS double rle et un routeur satellite DMVPN
pour un site distant WAN MPLS + DMVPN (routeur unique, liaison double.
Les procdures suivantes partent du principe que la configuration d'un routeur
CE MPLS pour un site distant WAN MPLS (routeur unique, liaison unique) a dj
t effectue. Seules les procdures supplmentaires permettant d'ajouter la
sauvegarde DMVPN au routeur CE MPLS en cours d'excution figurent ici.
L'organigramme suivant prsente de manire dtaille l'ajout d'une liaison
DMVPN de secours sur un routeur CE MPLS d'un site distant existant.
Figure 28 - Organigramme de l'ajout d'une liaison DMVPN de secours

VRF est arbitraire mais s'avre utile pour choisir un nom de description pour le
VRF. Un descripteur de routage (RD) associ doit galement tre configur pour
que le VRF soit fonctionnel. La configuration du RD cre galement le routage
et les tables de renvoi et associe le RD l' instance VRF.
Routeur CE MPLS
Ajout d'une MPLS
OUI
Ajout dune MPLS
Liaison secondaire ?
NON
li i d bl
Procdures d'ajout d'une 2
e
liaison MPLS
sur une configuration du routeur CE MPLS
existante
OUI
Ajout d'une DMVPN
Sauvegarde ?
Procdures d'activation de la sauvegarde
DMVPN sur une configuration du routeur
CE MPLS existante
pour une liaison double
2. Connexion
3. Configuration d'ISAKMP et d'IPSec
5 Configuration du routage EIGRP
NON
Site termin
68
ip vrf INET-PUBLIC
rd 65512:1

Par exemple, 192.168 122.15:1.

Procdure 2 Connexion Internet
Les sites distants qui utilisent DMVPN peuvent utiliser des adresses IP
attribues de manire statique ou dynamique. Cisco a test la conception avec
une adresse externe attribue par DHCP, qui fournit galement un routage par
dfaut configur de faon dynamique.
Le routeur satellite DMVPN se connecte directement Internet sans pare-feu
distinct. Cette connexion est scurise de deux manires. L' interface Internet
se trouvant dans un VRF distinct, aucun trafic ne peut accder au VRF global,
except le trafic fourni par le tunnel DMVPN. Cette conception fournit une
scurit implicite. En outre, une liste d'accs IP autorise uniquement le
trafic requis pour un tunnel crypt, ainsi que le protocole DHCP et divers
protocoles ICMP en vue du dpannage.
tape 1 : Activez l' interface, slectionnez VRF, puis activez le protocole DHCP.
interface GigabitEthernet 0/1
ip address dhcp
no shutdown
tape 2 : Configurez et appliquez la liste d'accs.
La liste d'accs IP doit autoriser les protocoles indiqus dans le tableau suivant.
Cette liste d'accs s'applique de faon entrante sur l' interface WAN, afin que le
filtrage s'effectue sur le trafic destin au routeur.
Tableau 18 - Protocoles DMVPN requis
esp IP 50 IPsec
bootpc UDP 68 DHCP
Exemple de liste d'accs :
ip access-group ACL-INET-PUBLIC in
ip access-list extended ACL-INET-PUBLIC
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit udp any any eq bootpc
69
Les protocoles supplmentaires mentionns dans le tableau suivant peuvent
aider au dpannage, mais ne s'avrent pas explicitement requis pour permettre
au DMVPN de fonctionner correctement.
Tableau 19 - Protocoles disponibles en option pour le routeur
satellite DMVPN
icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses Traceroute
icmp
port-unreachable
ICMP Type 3, Code 3 Autoriser les rponses Traceroute
UDP high ports UDP > 1023, TTL=1 Autoriser le Traceroute distant
Les entres facultatives supplmentaires d'une liste d'accs pour prendre en
charge le ping sont les suivantes :
permit icmp any any echo
permit icmp any any echo-reply
charge Traceroute sont les suivantes :
permit icmp any any ttl-exceeded ! for traceroute
(sourced)
permit icmp any any port-unreachable ! for traceroute
(sourced)
permit udp any any gt 1023 ttl eq 1 ! for traceroute
(destination)

masque 0.0.0.0 0.0.0.0.
tape 2 : Configurez la stratgie ISAKMP et la dtection DPD (Dead peer
detection).
DPD est activ avec l'envoi d' intervalles de conservation d'activit des
intervalles de 30 secondes avec un intervalle de 5 secondes entre chaque
tentative, qui est considr comme un paramtre raisonnable destin dtecter
un concentrateur dfaillant.
encr aes 256
hash sha
group 2
!
crypto isakmp keepalive 30 5
par 0.0.0.0.
70
Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT,
la transformation IPsec doit tre configure pour le mode de transport.
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256
esp-sha-hmac
mode transport
tape 5 : Crez le profil IPsec.

La cration des interfaces de tunnel s'effectue en mme temps que leur
configuration. Le nombre de tunnels est arbitraire, mais il est prfrable
de commencer la numrotation des tunnels 10 minimum, car les autres
fonctionnalits dployes dans cette conception peuvent galement ncessiter
des tunnels et slectionner des numros infrieurs par dfaut.
Le paramtre de bande passante doit tre configur pour correspondre la
bande passante Internet.
Configurez la valeur IP MTU sur 1400 et ip tcp adjust-mss sur 1360. Vous
TCP combine.
interface Tunnel10
no ip redirects
ip mtu 1400
uniquement une interface source. L' interface source doit tre la mme que
celle utilise pour se connecter Internet. La commande tunnel vrf doit tre
configure sur le VRF prcdemment dfini pour FVRF.
L'activation du cryptage sur cette interface requiert l'application du profil IPsec
configur la prcdente procdure.
interface Tunnel10
tunnel source GigabitEthernet 0/1
tunnel mGRE.
Le routeur satellite requiert plusieurs noncs de configuration
supplmentaires pour dfinir les noncs du serveur NHRP (NHS)
et de la carte NHRP pour l'adresse IP du tunnel mGRE du routeur
concentrateur DMVPN. EIGRP (configur dans la procdure 5 suivante) se
base sur un transport multicast. Les routeurs satellite requirent le mappage
multicast statique NHRP.
La valeur que vous utilisez pour le NHS correspond l'adresse du tunnel mGRE
du routeur concentrateur DMVPN. Les entres de la carte doivent tre
configures sur la valeur NAT externe du concentrateur DMVPN, telles qu'elles
sont configures sur le Cisco ASA5500. Cette conception utilise les valeurs
affiches dans le tableau suivant.
Tableau 20 - Informations sur l'adresse IP du concentrateur DMVPN
Adresse de la DMZ du
concentrateur DMVPN
Adresse externe du
concentrateur DMVPN
NHS (adresse du
tunnel mGRE du
concentrateur DMVPN)
192.168.18.10 172.16.130.1 10.4. 34.1
utilisent le mme ID rseau et la mme cl d'authentification. Le temps d'attente
de la mmoire cache du protocole NHRP doit tre configur sur 600 secondes.
Cette conception prend en charge les routeurs satellite DMVPN qui reoivent
leurs adresses IP externes via le protocole DHCP. Il est possible pour ces
routeurs d'acqurir diffrentes adresses IP aprs un rechargement. Lorsque le
routeur tente de s'enregistrer avec le serveur NHRP, il peut apparatre comme la
duplication d'une entre se trouvant dj dans la mmoire cache et tre rejet.
L'option registration no-unique vous permet d' craser les entres existantes
dans la mmoire cache. Cette fonctionnalit s'avre uniquement requise sur les
clients NHRP (routeurs satellite DMVPN).
71
La commande ip nhrp redirect permet au concentrateur DMVPN d' informer
satellite DMVPN. Les routeurs satellite DMVPN utilisent galement une
commutation de raccourcis lors de la cration des tunnels de satellite satellite.
interface Tunnel10
ip nhrp map 10.4.34.1 172.16.130.1
ip nhrp map multicast 172.16.130.1
ip nhrp nhs 10.4.34.1
ip nhrp registration no-unique
ip nhrp shortcut
ip nhrp redirect
Vous devez configurer l' EIGRP dans la Procedure 5 suivante, mais vous
devez d'abord configurer certaines fonctions spcifiques pour l' interface du
tunnel mGRE.
L' intervalle d'accueil du protocole EIGRP est augment de 20 secondes, et son
temps d'attente, de 60 secondes pour accueillir jusqu' 500 sites distants sur un
Cloud DMVPN unique.
interface Tunnel10
L'adresse de rsum, telle qu'elle est configure ci-dessous, supprime les
routes les plus spcifiques. Si un rseau du rsum est prsent dans la table
de routage, ce rsum est indiqu au concentrateur DMVPN qui fournit une
mesure de la rsilience. Si les diffrents rseaux LAN ne peuvent pas tre
rsums, l' EIGRP continuera alors d' indiquer les routes spcifiques.
interface Tunnel10
ip summary-address eigrp 200 [rseau du rsum] [masque du
rsum]

L'excution d'un processus EIGRP-200 unique s'effectue sur le routeur
satellite DMVPN. Toutes les interfaces du routeur sont des interfaces EIGRP,
mais seule l' interface des tunnels DMVPN est non passive. La plage rseau
doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule
ou de plusieurs instructions rseau. Cette conception suit les meilleures
pratiques dfinies concernant l'affectation de l' ID du routeur une adresse
de bouclage. Tous les routeurs satellite DMVPN doivent excuter le routage
souche de l' EIGRP pour amliorer la stabilit du rseau et rduire l'utilisation
des ressources.
router eigrp 200
network 10.4.34.0 0.0.1.255
network 10.5.0.0 0.0.255.255
eigrp stub connected summary
no auto-summary

Procdure 6 Conguration du routage IP multicast
Cette procdure comprend des tapes supplmentaires permettant de raliser
la configuration du routage IP multicast lorsque vous ajoutez une fonctionnalit
de sauvegarde DMVPN un routeur lorsque le routage IP multicast est dj
activ.
tape 1 : Configurez PIM sur l' interface des tunnels DMVPN.
Utilisez le mode sparse comme mode de fonctionnement des interfaces de
multicast IP et pour l'activer sur toutes les interfaces de couche 3, et notamment
les interfaces de tunnel DMVPN.

interface Tunnel10
ip pim sparse-mode
72
tape 2 : Activez le mode NBMA PIM pour le tunnel DMVPN.
Pour rsoudre le problme du NBMA, vous devez mettre en uvre une
mthode o le suivi des messages d' inscription de chaque voisin PIM distant
s'effectue sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM
distant comme s' il tait connect au routeur par le biais d'une liaison point
point.
interface Tunnel10
ip pim nbma-mode
tape 3 : Configurez la priorit DR pour le routeur satellite DMVPN.
Le fonctionnement du routage multicast au sein d'un Cloud DMVPN exige que
le routeur concentrateur assume le rle du routeur dsign par PIM (Designated
Router ou DR). Les routeurs satellite ne doivent jamais devenir le DR. Il vous est
possible d' viter cela en paramtrant la priorit DR sur 0 pour les satellites.
interface Tunnel10
73

Configuration d'un routeur satellite DMVPN de site distant
3. Connexion Internet
Procdure
Utilisez cet ensemble de procdures lorsque vous configurez un site
distant WAN MPLS + DMVPN. Utilisez galement ces procdures lors de la
configuration du deuxime routeur de la conception de type routeur double et
liaison double.
L'organigramme suivant prsente de manire dtaille la configuration du
routeur satellite DMVPN d'un site distant.
Figure 29 - Organigramme de la configuration du routeur
satellite DMVPN d'un site distant

Procdure 1 Fin de la conguration universelle des
routeurs WAN
l' identification.
e
routeur)
Conception ?
OUI NON
R t CE MPLS d it di t t 2
7 Configuration du routage EIGRP (ct LAN)
1. Connexion au routeur CE MPLS
Procdures de la couche d'accs
Site termin
Site termin
74
Vous devez activer la gestion scurise du priphrique LAN par le biais de
l'utilisation des protocoles SSH et HTTPS. Ces deux protocoles sont crypts
des fins de confidentialit tandis que les protocoles non scuriss Telnet et
HTTP sont dsactivs.
ip ssh version 2
no ip http server
line vty 0 15
transport input ssh
lecture-criture.
(SSH et HTTPS).

Deployment Guide.
!
aaa new-model
!
key SecretKey
!
!
habituellement une heure plus prcise fournie par une source externe. Vous
pouvez configurer l' inclusion d'un horodatage lors de la gnration des
ntp update-calendar
!
!
line con 0
logging synchronous
75
interface Loopback0
ip pim sparse-mode
La commande ip pim sparse-mode est explique plus loin dans cette
procdure.
IGMP (Internet Group Management Protocol, protocole de gestion de groupe
Internet) au routeur multicast local dont ils dpendent. Dans une conception
mode sparse, Cisco utilise la fonction Auto RP. Elle aide de manire simple
rsilient.
globale.
Vous devez activer toutes les interfaces de couche 3 du rseau pour l'opration
de multicast en mode sparse.
ip pim sparse-mode

VRF est arbitraire mais s'avre utile pour choisir un nom de description pour
le VRF. Vous devez galement configurer un RD associ pour rendre le VRF
oprationnel. La configuration du RD cre le routage et les tables de renvoi et
associe le RD l' instance VRF.
ip vrf INET-PUBLIC
rd 65512:1
76

Par exemple, 192.168 122.15:1.

Procdure 3 Connexion Internet
Les sites distants qui utilisent DMVPN peuvent utiliser des adresses IP
attribues de manire statique ou dynamique. Nous avons test la conception
avec une adresse externe attribue par DHCP, qui fournit galement un routage
par dfaut configur de faon dynamique.
Le routeur satellite DMVPN se connecte directement Internet sans pare-feu
distinct. Cette connexion est scurise de deux manires. L' interface Internet
se trouvant dans un VRF distinct, aucun trafic ne peut accder au VRF global,
except le trafic fourni par le tunnel DMVPN. Cette conception fournit une
scurit implicite. En outre, une liste d'accs IP autorise uniquement le
trafic requis pour un tunnel crypt, ainsi que le protocole DHCP et divers
protocoles ICMP en vue du dpannage.
tape 1 : Activez l' interface, slectionnez VRF, puis activez le protocole DHCP.
ip address dhcp
no shutdown
tape 2 : Configurez et appliquez la liste d'accs.
La liste d'accs IP doit autoriser les protocoles indiqus dans le tableau suivant.
Cette liste d'accs s'applique de faon entrante sur l' interface WAN, afin que le
filtrage s'effectue sur le trafic destin au routeur.
Tableau 21 - Protocoles DMVPN requis
esp IP 50 IPsec
bootpc UDP 68 DHCP
Exemple de liste d'accs :
ip access-group ACL-INET-PUBLIC in
ip access-list extended ACL-INET-PUBLIC
permit udp any any eq non500-isakmp
permit udp any any eq isakmp
permit esp any any
permit udp any any eq bootpc
Les protocoles supplmentaires mentionns dans le tableau suivant peuvent
aider au dpannage, mais ne s'avrent pas explicitement requis pour permettre
au DMVPN de fonctionner correctement.
Tableau 22 - Protocoles disponibles en option pour le routeur
satellite DMVPN
icmp ttl-exceeded ICMP Type 11, Code 0 Autoriser les rponses
Traceroute ( partir de nos
requtes)
icmp port-unreachable ICMP Type 3, Code 3 Autoriser les rponses
Traceroute ( partir de nos
requtes)
UDP high ports UDP > 1023, TTL=1 Autoriser le Traceroute
distant
77
charge le ping sont les suivantes :
permit icmp any any echo
permit icmp any any echo-reply
charge Traceroute sont les suivantes :
permit icmp any any ttl-exceeded ! for traceroute
(sourced)
permit icmp any any port-unreachable ! for traceroute
(sourced)
permit udp any any gt 1023 ttl eq 1 ! for traceroute
(destination)

masque 0.0.0.0 0.0.0.0.
tape 2 : Configurez la stratgie ISAKMP et la dtection DPD (Dead peer
detection).
DPD est activ avec l'envoi d' intervalles de conservation d'activit des
intervalles de 30 secondes avec un intervalle de 5 secondes entre chaque
tentative, qui est considr comme un paramtre raisonnable destin dtecter
un concentrateur dfaillant.
encr aes 256
hash sha
group 2
!
crypto isakmp keepalive 30 5
par 0.0.0.0.
Le routeur concentrateur DMVPN tant situ derrire un priphrique NAT, la
transformation IPsec doit tre configure pour le mode de transport.
crypto ipsec transform-set AES256/SHA/TRANSPORT esp-aes 256 esp-
sha-hmac
mode transport
tape 5 : Crez le profil IPsec.
78

Vous crez des interfaces de tunnel au moment o vous les configurez.
Le nombre de tunnels est arbitraire, mais il est prfrable de commencer
la numrotation des tunnels 10 minimum, car les autres fonctionnalits
dployes dans cette conception peuvent galement ncessiter des tunnels et
slectionner des numros infrieurs par dfaut.
Le paramtre de bande passante doit tre configur pour correspondre la
bande passante Internet.
Configurez la valeur MTU IP sur 1400 et ip tcp adjust-mss sur 1360. Vous
TCP combine.
interface Tunnel10
no ip redirects
ip mtu 1400
uniquement une interface source. L' interface source doit tre la mme que celle
utilise pour se connecter Internet. Configurez la commande tunnel vrf sur le
VRF dfini prcdemment pour FVRF.
Pour activer le cryptage sur cette interface, vous devez appliquer le profil IPsec
que vous avez configur la prcdente procdure.
interface Tunnel10
tunnel source GigabitEthernet0/1
tunnel mGRE.
Le routeur satellite requiert plusieurs noncs de configuration supplmentaires
pour dfinir les noncs du serveur NHRP (NHS) et de la carte NHRP pour
l'adresse IP du tunnel mGRE du routeur concentrateur DMVPN. EIGRP (configur
dans la procdure 5 suivante) se base sur un transport multicast. Les routeurs
satellite requirent le mappage multicast statique NHRP.
Pour la valeur NHS, utilisez l'adresse de tunnel mGRE du routeur
concentrateur DMVPN. Les entres de la carte doivent tre configures sur la
valeur NAT externe du concentrateur DMVPN, telles qu'elles sont configures
sur le Cisco ASA5500. Cette conception utilise les valeurs affiches dans le
tableau suivant.
Tableau 23 - Informations sur l'adresse IP du concentrateur DMVPN
Adresse de la DMZ du
concentrateur DMVPN
Adresse externe du
concentrateur DMVPN
NHS (adresse du
tunnel mGRE du
concentrateur DMVPN)
192.168.18.10 172.16.130.1 10.4. 34.1
utilisent le mme ID rseau et la mme cl d'authentification. Vous devez configurer
le temps d'attente de la mmoire cache du protocole NHRP sur 600 secondes.
Cette conception prend en charge les routeurs satellite DMVPN qui reoivent
leurs adresses IP externes via le protocole DHCP. Il est possible pour ces
routeurs d'acqurir diffrentes adresses IP aprs un rechargement. Lorsque le
routeur tente de s'enregistrer avec le serveur NHRP, il peut apparatre comme la
duplication d'une entre se trouvant dj dans la mmoire cache et tre rejet.
L'option registration no-unique vous permet d' craser les entres existantes
dans la mmoire cache. Cette fonctionnalit s'avre uniquement requise sur les
clients NHRP (routeurs satellite DMVPN).
La commande ip nhrp redirect permet au concentrateur DMVPN d'informer
satellite DMVPN. Les routeurs satellite DMVPN utilisent galement une
commutation de raccourcis lors de la cration des tunnels de satellite satellite.
interface Tunnel10
ip nhrp map 10.4.34.1 172.16.130.1
ip nhrp map multicast 172.16.130.1
ip nhrp nhs 10.4.34.1
ip nhrp registration no-unique
ip nhrp shortcut
ip nhrp redirect
79
Vous devez configurer l' EIGRP dans la Procedure 6 suivante, mais vous
devez d'abord configurer certaines fonctions spcifiques pour l' interface du
tunnel mGRE.
Augmentez l' intervalle d'accueil du protocole EIGRP 20 secondes, et son
temps d'attente, 60 secondes pour accueillir jusqu' 500 sites distants sur un
Cloud DMVPN unique.
interface Tunnel10
L'adresse de rsum, telle qu'elle est configure ci-dessous, supprime les
routes les plus spcifiques. Si un rseau du rsum est prsent dans la table
de routage, ce rsum est indiqu au concentrateur DMVPN qui fournit une
mesure de la rsilience. Si les diffrents rseaux LAN ne peuvent pas tre
rsums, l' EIGRP continuera alors d' indiquer les routes spcifiques.
interface Tunnel10
ip summary-address eigrp 200 [rseau du rsum] [masque du
rsum]

L'excution d'un processus EIGRP-200 unique s'effectue sur le routeur
satellite DMVPN. Toutes les interfaces du routeur sont des interfaces EIGRP,
mais seule l' interface des tunnels DMVPN est non passive. La plage rseau
doit inclure toutes les adresses IP des interfaces, sous la forme d'une seule
ou de plusieurs instructions rseau. Cette conception suit les meilleures
pratiques dfinies concernant l'affectation de l' ID du routeur une adresse
de bouclage. Tous les routeurs satellite DMVPN doivent excuter le routage
souche de l' EIGRP pour amliorer la stabilit du rseau et rduire l'utilisation
des ressources.
router eigrp 200
network 10.4.34.0 0.0.1.255
network 10.5.0.0 0.0.255.255
eigrp stub connected summary
no auto-summary

Procdure 7 Conguration du routage IP multicast
Cette procdure comprend des tapes supplmentaires permettant de raliser
la configuration du routage IP multicast lorsque vous ajoutez une fonctionnalit
de sauvegarde DMVPN un routeur lorsque le routage IP multicast est dj
activ.
tape 1 : Configurez PIM sur l' interface des tunnels DMVPN.
Cisco vous recommande d'utiliser le mode sparse comme mode de
fonctionnement des interfaces de multicast IP et pour l'activer sur toutes les
interfaces de couche 3, et notamment les interfaces de tunnel DMVPN.

interface Tunnel10
ip pim sparse-mode
tape 2 : Activez le mode NBMA PIM pour le tunnel DMVPN.
Pour rsoudre le problme du NBMA, vous devez mettre en uvre une
mthode o le suivi des messages d' inscription de chaque voisin PIM distant
s'effectue sparment. Un routeur en mode NMBA PIM traite chaque voisin PIM
distant comme s' il tait connect au routeur par le biais d'une liaison point
point.
interface Tunnel10
ip pim nbma-mode
tape 3 : Configurez la priorit DR pour le routeur satellite DMVPN.
Le fonctionnement du routage multicast au sein d'un Cloud DMVPN exige que
le routeur concentrateur assume le rle du routeur dsign par PIM (Designated
Router ou DR). Les routeurs satellite ne doivent jamais devenir le DR. Il vous est
possible d' viter cela en paramtrant la priorit DR sur 0 pour les satellites.
interface Tunnel10
80

d'accs
Vous devez configurer le protocole HSRP pour activer une VIP que vous
utiliserez comme passerelle par dfaut partage par deux routeurs. Le routeur
HSRP actif est le routeur CE MPLS connect l'oprateur MPLS principal
et le routeur HSRP en veille est le routeur satellite DMVPN. Configurez
le routeur HSRP en veille avec une priorit de veille infrieure celle du
routeur HSRP actif.
suivant.
Routeur Rle HSRP
Adresse IP
virtuelle (VIP)
Adresse
IP relle
Priorit
HSRP
Priorit
DR PIM
CE MPLS
(principal)
Actif .1 . 2 110 110
CE MPLS
(secondaire)
ou satellite
DMVPN
En veille .1 . 3 105 105
modification afin de permettre un multicast fiable. Le DR PIM doit se trouver
sur le routeur HSRP actif. Le DR est normalement lu en fonction de l'adresse
IP la plus leve et n'a pas connaissance de la configuration HSRP. Dans cette
conception, le routeur HSRP actif a une adresse IP relle infrieure celle
du routeur HSRP en veille, d'o la ncessit de modifier la configuration PIM.
Vous pouvez influencer le choix du DR PIM en dfinissant explicitement la

Rptez cette procdure pour toutes les sous-interfaces donnes ou voix.
interface [type d'interface] [numro].[numro de la sous-
interface]
ip pim sparse-mode
standby 1 preempt
Exemple
description Data
ip address 10.5.52.3 255.255.255.0
ip pim sparse-mode
standby 1 preempt
!
description Voice
ip address 10.5.53.3 255.255.255.0
ip pim sparse-mode
standby 1 preempt
81

Vous configurez le rseau de transit entre deux routeurs. Ce rseau est utilis
pour la communication de routeur routeur et pour viter le renvoi d'appel. Le
rseau de transit doit utiliser une sous-interface supplmentaire sur l' interface
de routeur dj en cours d'utilisation pour les donnes ou la voix.
ip address 10.5.48.2 255.255.255.252
ip pim sparse-mode

Un protocole de routage doit tre configur entre les deux routeurs. Ceci
permet de garantir que le routeur HSRP actif dispose d' informations
Vous devez configurer le routeur EIGRP-100 orient vers la couche d'accs.
Dans cette conception, toutes les interfaces orientes LAN et la boucle doivent
tre des interfaces EIGRP. Toutes les interfaces doivent rester passives,
l'exception de la sous-interface du rseau de transit. La plage rseau doit
inclure toutes les adresses IP des interfaces, sous la forme d'une seule ou de
plusieurs instructions rseau. Cette conception suit les meilleures pratiques
dfinies concernant l'affectation de l' ID du routeur une adresse de bouclage.
N' incluez pas l' interface WAN (interface de liaison PE-CE MPLS) comme
interface EIGRP.
router eigrp 100
network 10.5.0.0 0.0.255.255
no auto-summary
tape 2 : Redistribuez l' EIGRP-200 (DMVPN) dans l' EIGRP-100.
Cette tape doit uniquement tre excute sur le routeur satellite DMVPN.
L' EIGRP-200 est dj configur pour l' interface mGRE DMVPN. Les routes
issues de ce processus EIGRP sont redistribues. Le protocole de routage tant
router eigrp 100

Procdure 11 Conguration de la rsilience de bouclage
La gestion intrabande des routeurs de site distant est configure par le biais de
l' interface de bouclage. Pour assurer l'accessibilit de l' interface de bouclage
dans une conception de type routeur double, redistribuez la boucle du routeur
adjacent dans le protocole de routage WAN.
Option 1. Ce protocole WAN est l'EIGRP
tape 1 : Configurez une liste d'accs afin de limiter la redistribution
l'adresse IP de bouclage du routeur adjacent.
ip access-list standard R[numro]-LOOPBACK
permit [adresse IP de bouclage du routeur adjacent]
!
route-map LOOPBACK-ONLY permit 10
match ip address R[numro]-LOOPBACK
tape 2 : Configurez le protocole EIGRP de sorte redistribuer l'adresse IP de
bouclage du routeur adjacent. Vous devez rgler le routage souche EIGRP afin
d'autoriser les routes redistribues.
router eigrp [systme autonome]
redistribute eigrp 100 route-map LOOPBACK-ONLY
eigrp stub connected summary redistributed
Option 2. Le protocole WAN est BGP
tape 1 : Configurez le protocole BGP de sorte communiquer le rseau de
bouclage du routeur adjacent.
router bgp 65511
network 10.5.12.0 mask 255.255.255.0
network 10.5.13.0 mask 255.255.255.0
82
Dploiement d'une couche de distribution pour un site distant WAN Srie de fvrier 2012
Dploiement d'une couche
de distribution pour un site
distant WAN
Suivez cet ensemble de procdures pour configurer le routeur CE MPLS d'un
site distant WAN MPLS (routeur unique, liaison simple). Cette section dcrit
l'ensemble des procdures devant tre suivies pour se connecter une couche
de distribution.
De mme, vous pouvez utiliser cet ensemble de procdures pour un site
distant MPLS double oprateur ou MPLS WAN + DMVPN. Suivez ces
procdures pour connecter une couche de distribution un routeur CE MPLS
double rle et un routeur satellite DMVPN dans une conception routeur
unique et liaison double. Suivez ces procdures lorsque vous connectez une
couche de distribution au premier routeur de la conception routeur double et
liaison double.

Couche de distribution de routeur CE MPLS de site distant
1. Connexion d'un routeur CE MPLS
Procdure

Procdure 1 Connexion d'un routeur CE MPLS
Une interface Port Channel de couche 2 se connecte au commutateur
de distribution WAN. Cette connexion permet d' inclure plusieurs VLAN
EtherChannel, si ncessaire.
La configuration suivante cre une liaison EtherChannel entre le routeur et le
commutateur, avec deux membres du groupe de canaux.
tape 1 : Configurez l' interface Port Channel.
Crez l' interface Port Channel. La meilleure pratique consiste, si possible,
utiliser la mme numrotation de canal aux deux extrmits de la liaison.
interface Port Channel [numro]
no ip address
tape 2 : Configurez les sous-interfaces Port Channel et attribuez-leur des
adresses IP.
Aprs avoir activ l' interface physique, faites correspondre les sous-
interfaces appropries avec les VLAN du commutateur de couche de
distribution. Les numros des sous-interfaces n'ont pas besoin d' tre gaux
au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de
simplifier l'ensemble de la configuration.
La sous-interface configure sur le routeur correspond une interface VLAN
sur un commutateur de couche de distribution. Le routage du trafic s'effectue
parmi les priphriques avec un VLAN agissant en tant que liaison point point.
interface Port Channel [numro].[numro de la sous-interface]
tape 3 : Activez, au niveau administratif, les membres du groupe Port Channel
et attribuez-leur le groupe de canaux appropri.
Les plates-formes de routeurs ne peuvent pas toutes prendre en charge
le protocole LACP pour ngocier avec le commutateur. Par consquent,
EtherChannel doit tre configur de faon statique.
no ip address
channel-group [numro]
no shutdown
Exemple
no ip address
!
interface Port Channel1.50
ip address 10.5.0.1 255.255.255.252
ip pim sparse-mode
!
no ip address
83
channel-group 1
no shutdown
!
no ip address
channel-group 1
no shutdown

Vous devez configurer un protocole de routage entre le routeur et la couche de
distribution.
Configurez le routeur EIGRP-100 orient vers la couche de distribution.
Dans cette conception, les sous-interfaces de toutes les couches de
distribution et de la boucle doivent tre des interfaces EIGRP. Toutes les autres
interfaces doivent demeurer passives. La plage rseau doit inclure toutes
concernant l'affectation de l' ID du routeur une adresse de bouclage.
router eigrp 100
network 10.5.0.0 0.0.255.255
no passive-interface [interface]
no auto-summary
Excutez cette tape sur un routeur CE MPLS uniquement.

passante
seconde
Exemple
router eigrp 100
default-metric 100000 100 255 1 1500
network 10.5.0.0 0.0.255.255
no passive-interface Port Channel1.50
no auto-summary

l' interface EtherChannel qui est dj utilise pour la connexion la couche de
distribution.
Le rseau de transit doit tre une interface EIGRP non passive.
84
ip address 10.5.0.9 255.255.255.252
ip pim sparse-mode
!
router eigrp 100

Couche de distribution du deuxime routeur de site distant
1. Connexion d'un routeur satellite DMVPN
Procdure
Suivez cet ensemble de procdures pour le site distant WAN MPLS double
oprateur d'un site distant MPLS WAN + DMVPN. Suivez ces procdures pour
vous connecter une couche de distribution lorsque vous configurez le second
routeur de la conception liaison double et double routeur.

Procdure 1 Connexion d'un routeur satellite DMVPN
Une interface Port Channel de couche 2 se connecte au commutateur
de distribution WAN. Cette connexion permet d' inclure plusieurs VLAN
EtherChannel, si ncessaire.
La configuration suivante cre une liaison EtherChannel entre le routeur et le
commutateur, avec deux membres du groupe de canaux.
tape 1 : Configurez l' interface Port Channel.
Crez l' interface Port Channel. La meilleure pratique consiste, si possible,
utiliser la mme numrotation de canal aux deux extrmits de la liaison.
no ip address
tape 2 : Configurez les sous-interfaces Port Channel et attribuez-leur des
adresses IP.
Aprs avoir activ l' interface physique, faites correspondre les sous-
interfaces appropries avec les VLAN du commutateur de couche de
distribution. Les numros des sous-interfaces n'ont pas besoin d' tre gaux
au marquage 802.1Q, mais faire en sorte qu' ils soient identiques permet de
simplifier l'ensemble de la configuration.
La sous-interface configure sur le routeur correspond une interface VLAN
sur un commutateur de couche de distribution. Le routage du trafic s'effectue
parmi les priphriques avec un VLAN agissant en tant que liaison point point.
interface Port Channel [numro].[numro de la sous-interface]
tape 3 : Activez les membres du groupe Port Channel et attribuez-leur le
groupe de canaux appropri.
no ip address
channel-group [numro]
no shutdown
Exemple
no ip address
!
ip address 10.5.0.5 255.255.255.252
ip pim sparse-mode
!
no ip address
85
channel-group 2
no shutdown
!
no ip address
channel-group 2
no shutdown

Vous devez configurer un protocole de routage entre le routeur et la couche de
distribution. l' tape 2, l'option 1 s'avre pertinente pour un routeur CE MPLS.
Si vous configurez un routeur satellite DMVPN, excutez l'option 2 de l' tape 2.
L' EIGRP-100 est configur face la couche de distribution. Dans cette
conception, les sous-interfaces de toutes les couches de distribution et de la
boucle doivent tre des interfaces EIGRP. Toutes les autres interfaces doivent
demeurer passives. La plage rseau doit inclure toutes les adresses IP des
interfaces, sous la forme d'une seule ou de plusieurs instructions rseau. Cette
conception suit les meilleures pratiques dfinies concernant l'affectation de l' ID
du routeur une adresse de bouclage.
no auto-summary
tape 2 : Configurez votre routeur.
Option 1. Redistribuez le protocole BGP dans l'EIGRP-100
(routeur CE MPLS uniquement).
Excutez cette tape sur un routeur CE MPLS uniquement. Les routes BGP
sont redistribues vers EIGRP selon une mesure par dfaut. Par dfaut, seules
les valeurs de bande passante et de dlai sont utilises pour le calcul de cette
mesure.
redistribute bgp [ASN BGP]

passante
seconde
Exemple : option 1, routeur CE MPLS
router eigrp 100
default-metric 100000 100 255 1 1500
network 10.5.0.0 0.0.255.255
no auto-summary
Option 2. Redistribuez l'EIGRP-200 (DMVPN) dans l'EIGRP-100 (routeur
satellite DMVPN uniquement).
Excutez cette tape sur le routeur satellite DMVPN uniquement.
L' EIGRP-200 est dj configur pour l' interface mGRE DMVPN. Les routes
issues de ce processus EIGRP sont redistribues. Le protocole de routage tant
redistribute eigrp [numro de systme autonome (DMVPN)]
Exemple : option 2, routeur satellite DMVPN
router eigrp 100
network 10.5.0.0 0.0.255.255
no auto-summary
86

l' interface EtherChannel qui est dj utilise pour la connexion la couche de
distribution.
Le rseau de transit doit tre une interface EIGRP non passive.
interface [type d'interface] [numro].[numro de la sous-
interface]
transit]
Exemple : routeur satellite DMVPN
ip address 10.5.0.10 255.255.255.252
ip pim sparse-mode
!
router eigrp 100

Configuration du commutateur de couche de distribution WAN de site
distant
1. Fin de la configuration universelle du commutateur de distribution
2. Connexion aux routeurs WAN
4. Configuration du VLAN du rseau de transit
Procdure

Procdure 1 Fin de la conguration universelle du
commutateur de distribution
Dans le cadre de ce guide, nous sommes partis du principe que vous avez
pralablement configur la couche de distribution. Seules les procdures
requises pour effectuer la connexion du commutateur avec les routeurs
de priphrique WAN sont incluses. Pour obtenir des dtails sur la
configuration du commutateur de couche de distribution, reportez-vous au
guide de dploiement des rseaux locaux (LAN) Cisco SBA for Enterprise
OrganizationsBorderless Networks.

Procdure 2 Connexion aux routeurs WAN
Les interfaces Port Channel se connectent aux routeurs WAN simples
ou doubles, et ces connexions sont de type Port Channel de couche 2.
La configuration suivante cre une liaison EtherChannel entre le commutateur et
un routeur, avec deux membres du groupe de canaux. Cette procdure doit tre
rpte pour un routeur WAN supplmentaire, si ncessaire.
tape 1 : Crez le VLAN de la liaison du routeur sur le commutateur, crez
l' interface VLAN puis attribuez l'adresse IP.
Crez le VLAN point point de la liaison du routeur.
vlan [numro VLAN]
Crez l' interface VLAN et attribuez l'adresse IP de la liaison point point.
interface Vlan [numro VLAN]
no shutdown
tape 2 : Configurez l' interface Port Channel et effectuez la configuration de la
ligne VLAN 802.1q.
La meilleure pratique consiste, si possible, utiliser la mme numrotation de
canal aux deux extrmits de la liaison.
switchport trunk allowed vlan [numro du VLAN]
tape 3 : Activez, au niveau administratif, les membres du groupe Port Channel
et attribuez-leur le groupe de canaux appropri. Effectuez la configuration de la
ligne VLAN 802.1.
87
switchport trunk allowed vlan [numro du VLAN]
channel-group [numro] mode on
no shutdown
Exemple
vlan 50
!
description MPLS CE router
switchport trunk allowed vlan 50
!
description MPLS CE router port 1
channel-group 1 mode on
no shutdown
!
description MPLS CE router port 2
no shutdown
!
interface Vlan50
ip address 10.5.0.2 255.255.255.252
no shutdown

Activez l' EIGRP de l'espace d'adresse IP qui sera utilis par le rseau. Si cela
s'avre ncessaire pour votre rseau, vous pouvez saisir plusieurs instructions
rseau. Dsactivez le rsum automatique des rseaux IP puis activez toutes
les liaisons avec routage pour qu'elles soient passives par dfaut. L'adresse IP
de bouclage 0 est utilise comme identifiant pour le routeur EIGRP, afin de
garantir une rsilience maximum.
La conception de couche de distribution logique unique utilise le commutateur
avec tat et la transmission sans interruption pour fournir un basculement
en quelques fractions de secondes en cas de dfaillance des donnes de
supervision ou du plan de contrle. Cette capacit permet de rduire la perte de
paquets lors de la commutation vers une logique redondante et de maintenir le
flux des paquets lorsque le plan de contrle est toujours intact vers les nuds
adjacents. Dans l'approche de couche de distribution avec pile, un point de
contrle logique unique continue d'exister et le plan de contrle principal d'une
pile peut basculer vers un autre membre de la pile fournissant une rsilience
quasiment la seconde ou en quelques fractions de secondes. Lorsque le
superviseur ou le commutateur principal d'une plate-forme de distribution
migre depuis le mode Actif vers le superviseur de secours immdiat, il continue
de commuter les flux de trafic de donnes IP dans le matriel. Toutefois, le
superviseur a besoin de temps pour recrer l'appairage bidirectionnel du plan de
contrle avec des voisins de routage EIGRP et viter au routeur homologue de
supprimer les contiguts dues aux accueils manqus susceptibles de provoquer
un racheminement et une interruption du trafic. Un paramtre de transmission
sans interruption (NSF) permettant au protocole de routage d'attendre que le
commutateur homologue du superviseur double rcupre est propos pour
permettre au superviseur de rcuprer ce temps. Le routeur environnant est
considr comme reconnaissant la transmission sans interruption s'il comporte
une version de l' IOS permettant de reconnatre un homologue NSF. Toutes les
plates-formes utilises dans cette conception reconnaissent la transmission sans
interruption pour les protocoles de routage utiliss.
Vous devez configurer le commutateur de couche de distribution pour
activer la transmission sans interruption (NSF) du protocole utilis, pour
qu' il puisse signaler un homologue lorsqu' il bascule vers un superviseur de
secours immdiat du voisin d'appairage pour lui laisser le temps de recrer
le protocole EIGRP dans ce nud. Aucun rglage des temporisateurs de
transmission sans interruption (NSF) par dfaut ne s'avre requis sur ce rseau.
Rien ne doit tre configur pour un routeur homologue reconnaissant la
transmission sans interruption (NSF).
no auto-summary
nsf
88
Exemple
router eigrp 100
network 10.5.0.0 0.0.255.255
no passive-interface Vlan50
no auto-summary
nsf

Procdure 4 Conguration du VLAN du rseau de transit
Vous devez configurer le rseau de transit entre les deux routeurs ; toutefois,
une liaison physique entre les routeurs n'est pas ncessaire. la place, utilisez
un VLAN de transit. La couche de distribution tend le VLAN au sein des deux
EtherChannels de couche 2 existants. La couche de distribution ne participe
pas au routage du rseau de transit, afin qu'une interface VLAN ne soit pas
ncessaire pour le VLAN du transit.
tape 1 : Crez le VLAN de transit sur le commutateur.
Crez le VLAN du transit.
vlan [numro VLAN]
tape 2 : Ajoutez le VLAN de transit l' interface de liaison Port Channel
existante et aux membres du groupe de canal.
switchport trunk allowed vlan add [numro VLAN]
!
switchport trunk allowed vlan add [numro VLAN]
Exemple
vlan 99
!
!
!
89
Dploiement de la qualit de service WAN Srie de fvrier 2012
Dploiement de la qualit de
service WAN
Lorsque vous configurez la qualit de service de la priphrie WAN, vous
dfinissez la manire dont le trafic sort de votre rseau. Il est essentiel que la
classification, le marquage et l'allocation de bande passante s'alignent sur l'offre
du fournisseur de services pour garantir un traitement de qualit de service
cohrent de bout en bout.

Configuration de la qualit de service
1. Cration des mappages de qualit de service pour classer le trafic
2. Cration du mappage de stratgie pour marquer le trafic BGP
3. Ajout du trafic ISAKMP Network-Critical
4. Dfinition du mappage de stratgie pour la stratgie de mise en file
d'attente
5. Configuration de la stratgie de qualit de service de l' interface
physique
6. Application d'une stratgie de qualit de service sur une interface
physique
Procdure

Procdure 1 Cration des mappages de qualit de service
pour classer le trac
Utilisez la commande class-map pour dfinir une classe de trafic et
identifier le trafic associer avec le nom de classe. Ces noms de classe sont
utiliss lors de la configuration des mappages de stratgie qui dfinissent les
actions que vous souhaitez prendre par rapport au type de trafic. La commande
class-map dfinit la logique de correspondance. Dans ce cas, le mot-cl
match-any indique que les mappages correspondent n' importe quel
critre spcifique indiqu. Ce mot-cl est suivi du nom que vous souhaitez
attribuer la classe de service Aprs avoir configur la commande class-
map , dfinissez des valeurs spcifiques telles que DSCP et les protocoles qui
doivent correspondre la commande match . Utilisez les deux formes de la
commande match : match dscp et match protocol .
Effectuez les tapes ci-dessous pour configurer les mappages de classe WAN
requis et les critres correspondants.
tape 1 : Crez les mappages de classe pour la correspondance DSCP.
Rptez cette tape afin de crer un mappage de classe pour chacune des six
classes de service WAN rpertories dans le tableau suivant.
Vous n'avez pas besoin de configurer explicitement la classe par dfaut.
class-map match-any [nom de mappage de classe]
match dscp [valeur dcsp] [valeurs dscp facultatives
supplmentaires]
Tableau 25 - Classes de service de qualit de service
Classe de
service Type de trafic
Valeurs
DSCP
% de la
bande
passante
limination
d'encombrement
VOIX Trafic vocal ef 10 (PQ) -
INTERACTIVE-
VIDEO
Interactive video
(video conferencing)
cs4, af41 23 (PQ) -
CRITICAL-
DATA
Trs interactif (par
exemple, clients
lgers Telnet, Citrix,
et Oracle)
af31, cs3 15 Bas sur DSCP
DONNES Donnes af21 19 Bas sur DSCP
SCAVENGER Scavenger af11, cs1 5 -
NETWORK-
CRITICAL
Protocoles de
routage. Trafic
d'exploitation,
d'administration et de
maintenance (OAM)
cs6, cs2 3 -
Dfaut Trafic au mieux Autre 25 Alatoire
tape 2 : Crez un mappage de classe pour la correspondance de protocole
BGP.
Le trafic du BGP n'est pas explicitement marqu par une valeur DSCP. Utilisez
NBAR pour faire correspondre le BGP en fonction du protocole.
Cette tape est uniquement ncessaire dans le cas d'un routeur MPLS CE
d'agrgation WAN ou d'un routeur MPLS CE de site distant WAN utilisant le BGP.
90
class-map match-any [nom de mappage de classe]
match ip protocol [nom de protocole]
Exemple
class-map match-any VOICE
match dscp ef
!
class-map match-any INTERACTIVE-VIDEO
match dscp cs4 af41
!
class-map match-any CRITICAL-DATA
match dscp af31 cs3
!
class-map match-any DATA
match dscp af21
!
class-map match-any SCAVENGER
match dscp af11 cs1
!
class-map match-any NETWORK-CRITICAL
match dscp cs6 cs2
!
class-map match-any BGP-ROUTING
match protocol bgp

Il n'est pas ncessaire de configurer un service au mieux. En effet,
elle est incluse implicitement dans la classe par dfaut, comme cela
est dcrit dans la Procdure 4.

Procdure 2 Cration du mappage de stratgie pour
marquer le trac BGP
Cette procdure est uniquement ncessaire dans le cas d'un routeur MPLS CE
d'agrgation WAN ou d'un routeur MPLS CE de site distant WAN utilisant le BGP.
Pour garantir un traitement appropri du routage du trafic par BGP dans le
WAN, vous devez attribuer au DSCP une valeur de cs6. Mme si le mappage de
classe que vous avez cr l' tape prcdente correspond la totalit du trafic
du BGP vers la classe appele BGP , vous devez configurer un mappage de
stratgie afin d'attribuer la valeur DSCP requise tout le trafic du BGP.
policy-map MARK-BGP
class BGP-ROUTING
set dscp cs6

Procdure 3 Ajout du trac ISAKMP Network-Critical
Pour une connexion WAN l'aide du DMVPN, vous devez garantir un traitement
adquat du trafic ISAKMP sur le WAN. Le classement de ce trafic requiert
la cration d'une liste d'accs et l'ajout de ce nom au mappage de classe
NETWORK-CRITICAL cr lors de la premire procdure.
Cette procdure est ncessaire uniquement dans le cas de l'utilisation d'un
routeur concentrateur DMVPN d'agrgation WAN ou d'un routeur satellite
DMVPN de site distant WAN.
tape 1 : Crez la liste d'accs.
ip access-list extended ISAKMP
permit udp any eq isakmp any eq isakmp
tape 2 : Ajoutez le critre de correspondance au mappage de classe
NETWORK-CRITICAL existant.
class-map match-any NETWORK-CRITICAL
match access-group name ISAKMP
91

Procdure 4 Dnition du mappage de stratgie pour la
stratgie de mise en le d'attente
Cette procdure s'applique tous les routeurs WAN.
Le mappage de stratgie du WAN rpertorie les noms de classe que vous avez
crs lors des procdures prcdentes et dfinit le comportement de la mise
en file d'attente ainsi que le maximum de bande passante garantie alloue
chaque classe. Vous pouvez dfinir cette caractristique au moyen du mappage
de stratgie. Ensuite, chaque classe du mappage de stratgie appelle une
queue de sortie, alloue un taux de bande passante et associe une classe de
trafic spcifique la file d'attente. Une classe supplmentaire par dfaut dfinit
le minimum de bande passante alloue disponible pour le trafic au mieux.
Les mappages de stratgie du routeur local permettent de dfinir sept
classes alors que la plupart des fournisseurs de services n'en proposent que
six. La dfinition du mappage de stratgie NETWORK-CRITICAL permet de
garantir la classification, le marquage et la mise en file du trafic important pour
le rseau en sortie vers le WAN. Aprs la transmission du trafic au fournisseur
de services, celui-ci remet gnralement en correspondance le trafic
important pour le rseau dans la classe de donnes sensibles. La plupart des
fournisseurs de services effectuent cette opration par le bais de la mise en
correspondance des valeurs DSCP cs6 et cs2.
tape 1 : Crez le mappage de stratgie parent.
policy-map [nom de mappage de stratgie]
Les tapes 2 6 sont rptes pour chaque classe dans le Table 25, y compris
la classe par dfaut.
tape 2 : Appliquez le mappage de classe cr prcdemment.
class [nom de classe]
tape 3 : (Facultatif) Allouez le maximum de bande passante garantie la
classe.
bandwidth percent [pourcentage]
tape 4 : (Facultatif) Dfinissez la file d'attente prioritaire de la classe.
priority percent [pourcentage]
tape 5 : (Facultatif) Appliquez la stratgie de service enfant.
Il s'agit d'une tape facultative s'appliquant uniquement la classe de service
NETWORK-CRITICAL comportant une stratgie de service enfant MARK-BGP.
service-policy [nom du mappage de stratgie]
tape 6 : (Facultatif) Dfinissez le mcanisme d'encombrement.
random-detect [type]
Exemple
policy-map WAN
class VOICE
priority percent 10
class INTERACTIVE-VIDEO
priority percent 23
class CRITICAL-DATA
bandwidth percent 15
random-detect dscp-based
class DATA
random-detect dscp-based
class SCAVENGER
bandwidth percent 5
class NETWORK-CRITICAL
bandwidth percent 3
service-policy MARK-BGP
class class-default
random-detect

Mme si ces allocations de bande passante reprsentent une base
de rfrence solide, il est important de prendre en compte vos
besoins en trafic rels par classe et d'ajuster la bande passante en
consquence.
92

Procdure 5 Conguration de la stratgie de qualit de
service de l'interface physique
Avec des interfaces du WAN reposant sur Ethernet en tant que technologie
d'accs, il est possible que le point de dmarcation entre l'entreprise et le
fournisseur de services ne comporte plus de contraintes de bande passante
quant l' interface physique. Au contraire, il existe un accord avec le fournisseur
de services en ce qui concerne les besoins spcifiques en bande passante.
Pour garantir que la charge propose au fournisseur de services ne dpasse
pas le dbit figurant dans le contrat et ne provoque pas de rejet du trafic par
l'oprateur, vous devez configurer la mise en forme sur l' interface physique.
Cette mise en forme s'effectue grce une stratgie de qualit de service.
Configurez une stratgie de qualit de service l'extrieur de l' interface
Ethernet. Cette stratgie parent inclut une mise en forme qui spcifie ensuite
une deuxime stratgie ou une stratgie subalterne (enfant) qui permet la
mise en file d'attente dans les limites du dbit dfini. Cette configuration est
appele HCBWFQ (Hierarchical Class-Based Weighted Fair Queuing, mise en
file d'attente quitable pondre reposant sur la classe hirarchique). Lorsque
vous configurez la commande shape average , assurez-vous que la valeur
correspond au dbit de bande passante indiqu dans le contrat pass avec
votre fournisseur de services.
Cette procdure s'applique tous les routeurs WAN. Vous pouvez rpter cette
procdure de nombreuses fois afin de prendre en charge des priphriques
comportant plusieurs connexions WAN associes diffrentes interfaces.
tape 1 : Crez le mappage de stratgie parent.
L'une des meilleures pratiques consiste intgrer le nom de mappage de
stratgie parent.
tape 2 : Configurez la mise en forme.
class [nom de classe]
shape [moyen | maximal] [bande passante (Kbit/s)]
tape 3 : Appliquez la stratgie de service enfant.
Exemple
L'exemple suivant montre un routeur avec une liaison de 20 Mbit/s sur
l' interface GigabitEthernet0/0 et une liaison de 10 Mbit/s sur l' interface
GigabitEthernet0/1.
policy-map WAN-INTERFACE-G0/0
class class-default
shape average 20000000
service-policy WAN
!
policy-map WAN-INTERFACE-G0/1
class class-default
shape average 10000000
service-policy WAN

Procdure 6 Application d'une stratgie de qualit de
service sur une interface physique
Pour appeler la mise en forme et la mise en file d'attente sur une interface
physique, vous devez appliquer la stratgie parent configure lors de la
procdure prcdente.
Cette procdure s'applique tous les routeurs WAN. Vous pouvez rpter cette
procdure de nombreuses fois afin de prendre en charge des priphriques
comportant plusieurs connexions WAN associes diffrentes interfaces.
tape 1 : Slectionnez l' interface WAN.
tape 2 : Appliquez la stratgie de qualit de service du WAN.
La stratgie de service doit tre applique vers la sortie.
service-policy output [nom du mappage de stratgie]
Exemple
service-policy output WAN-INTERFACE-G0/0
!
service-policy output WAN-INTERFACE-G0/1
93
Dploiement de l'optimisation des applications avec le WAAS Srie de fvrier 2012
Dploiement de l'optimisation
des applications avec le WAAS
Le nombre de sites professionnels distants s'accrot. Par consquent,
les administrateurs rseau ont besoin d'outils pour assurer de bonnes
performances applicatives sur les sites distants. Les tendances rcentes
montrent que le nombre de sites distants augmente et que la majorit des
nouveaux salaris travaillent sur des sites distants. Ces tendances sont
associes l'expansion internationale, l'attraction et la fidlisation
des employs, aux fusions et acquisitions, la rduction des cots et aux
proccupations environnementales.
En attendant, les besoins en communications des sites distants voluent et
ont pour rsultat l'adoption d'applications collaboratives, de la vido et des
technologies Web 2.0. De ce fait, les sites distants et le WAN doivent galement
faire face une pression croissante en termes de performances.
La tendance des entreprises la consolidation du data center se poursuit
galement. Les efforts de consolidation dplacent la plupart des ressources
des sites distants vers des data center, en grande partie afin de se conformer
aux obligations rglementaires portant sur la scurit centralise et le contrle
renforc des donnes d'entreprise.
La consolidation des data center, paralllement l'augmentation des effectifs
des sites distants, signifie qu'un nombre croissant d'employs distants
accdent des applications d'entreprise bases sur le LAN par le biais de
WAN relativement lents. Ces applications tant de plus en plus centres sur
les multimdias et sensibles la latence, le nouveau dfi du personnel rseau
et informatique consiste maintenir les temps de rponse des applications
distantes au mme niveau que ceux des utilisateurs situs proximit des
serveurs d'applications de la socit, dans le data center. Ces utilisateurs
locaux bnficient de vitesses LAN de plusieurs mgabits et ne sont pas
affects par les dlais dus la distance, contrairement leurs collgues situs
l'autre extrmit d'une connexion WAN.
L'optimisation de l'application peut dynamiser les performances rseau tout en
optimisant la scurit et en amliorant la mise disposition des applications.
L'optimisation WAN Cisco est une solution architecturale constitue d'un
ensemble d'outils et de techniques associs en une approche systme
stratgique. Ceux-ci offrent une optimisation WAN de pointe extrmement
performante, tout en rduisant son cot total d'acquisition.
Agrgation WAN
Les sites d'agrgation WAN utilisent un cluster de deux priphriques WAE
ou plus, afin de fournir des fonctionnalits WAAS. Les dispositifs WAE se
connectent au commutateur de couche de distribution. Les connexions utilisent
EtherChannel la fois pour une rsilience et un dbit accrus. Les WAE se
connectent au rseau de services WAN qui est configur sur le commutateur
de couche de distribution.
La conception WAN 500 utilise un cluster de priphriques WAE-7371. Au moins
deux priphriques sont requis (pour une redondance N+1). De mme,
la conception WAN 100 utilise un cluster de priphriques WAE-7341, avec
au moins deux priphriques requis (pour une redondance N+1). Pour plus
d' informations sur le dimensionnement WAE, consultez le tableau ci-aprs.
Les chiffres concernant le facteur de charge de sortie (fan-out) correspondent
au nombre total de priphriques WAE des homologues distants.
Tableau 26 - Options WAE de l'agrgation WAN
Priphrique
Nombre
maximal de
connexions
TCP
optimises
Nombre
maximal de
liaisons WAN
recommandes
[Mbit/s]
Dbit
optimis
maximal
[Mbit/s]
Facteur de
charge de
sortie maximal
du cur
[Homologues]
WAVE-594-8GB 750 50 250 50
WAVE-594-12GB 1300 100 300 100
WAE-694-16GB 2500 200 450 150
WAE-694-24GB 6000 200 500 300
WAE-7341 12000 310 1000 1400
WAE-7371 50000 1000 2500 2800
WAVE-7541 18000 500 1000 700
WAVE-7571 60000 1000 2000 1400
WAVE-8541 150000 2000 4000 2800
Un outil de dimensionnement WAAS plus complet et plus interactif est
disposition des utilisateurs inscrits sur www.cisco.com :
http: //tools.cisco.com/WAAS/sizing
WCCP est un protocole dvelopp par Cisco. Son but est d' interprter et de
racheminer le trafic en toute transparence partir d'un priphrique rseau
vers un appareil WCCP tel qu'un WAE excutant WAAS (voir ci-dessous).
94
WCCP est activ sur les routeurs MPLS CE et DMVPN. La redirection WCCP
utilise les groupes de services 61 et 62 pour faire correspondre le trafic afin de
le racheminer. Ces groupes de services doivent tre utiliss par paires :
Le groupe de services 61 utilise l'adresse source pour racheminer le trafic.
Le groupe de services 62 utilise l'adresse de destination pour racheminer
le trafic.
Cette conception utilise le WCCP 61 entrant sur les interfaces orientes LAN
et a pour but de faire correspondre entre elles les donnes non optimises
provenant du data center et destines aux clients sur les sites distants du WAN.
Le WCCP 62 est utilis en mode entrant sur les interfaces orientes WAN et fait
correspondre les donnes optimises provenant des sites distants WAN. Le
WCCP 62 est utilis en mode sortant sur les interfaces LAN pour les routeurs
concentrateurs DMVPN.
Les connexions du commutateur aux routeurs MPLS CE et DMVPN sont toutes
des liaisons achemines point point. Cette conception impose l'utilisation
d'un tunnel avec retour ngoci GRE du WAE au routeur. Lorsqu'une conception
utilise un retour ngoci du GRE, il n'est pas ncessaire d' tendre le VLAN des
services WAN pour inclure les routeurs MPLS CE et DMVPN.
Figure 30 - Agrgation WAN Topologie WAAS
Sites distants
La conception de l'optimisation WAN pour sites distants peut subir des
variations en fonction des caractristiques spcifiques prsentes sur le
site. Un seul routeur utilise un seul WAE (non redondant). De mme, tous les
sites avec double routeur utilisent deux WAE. Les conditions spcifiques du
dimensionnement et du format WAE dpendent principalement du nombre
d'utilisateurs finaux et de la bande passante sur les liaisons WAN. Les sites
avec une seule liaison, un seul routeur et une bande passante faible (< 2 Mbit/s)
peuvent aussi utiliser la fonctionnalit intgre WAASx du routeur.
Lors du choix de la plate-forme d'optimisation WAN du site distant WAN,
de nombreux facteurs entrent en ligne de compte. Le principal paramtre
dfinir concerne la bande passante de la liaison WAN. Une fois que vous avez
dtermin les besoins en bande passante, l' lment suivant prendre en
compte est le nombre maximal de connexions TCP simultanes et optimises.
Pour plus d' informations sur le dimensionnement WAE, consultez le tableau
ci-aprs. Les chiffres de dbit optimis correspondent la bande passante
apparente disponible aprs une optimisation russie effectue par le WAAS.
Tableau 27 - Options WAE de site distant WAN
Priphrique
Nombre
maximal de
connexions
TCP optimises
Nombre
maximal de
liaisons WAN
recommandes
[Mbit/s]
Dbit
optimis
maximal
[Mbit/s]
Cisco1941/WAASX
1
150 4 8
SRE-700-S 200 20 200
SRE-700-M 500 20 200
SRE-900-S 200 50 300
SRE-900-M 500 50 300
SRE-900-L 1000 50 300
WAVE-294-4GB 200 10 100
WAVE-294-8GB 500 20 150
WAVE-594-8GB 750 50 250
WAVE-594-12GB 1300 100 300
WAE-694-16GB 2500 200 450
WAE-694-24GB 6000 200 500
WAE-7341 12000 310 1000
WAE-7371 50000 1000 2500
WAVE-7541 18000 500 1000
WAVE-7571 60000 1000 2000
WAVE-8541 150000 2000 4000
Remarques :
1. Conception une seule liaison uniquement
Cluster WAAS WAE
Agrgation WAN - Topologie WAAS
wccp 61 (depuis le LAN)
62 (d i l WAN)
Redirection WCCP en entre :
wccp 62 (depuis le WAN)
Tunnel GRE ngoci
Distribution WAN
Redirection WCCP en sortie :
DMVPN
P i h i I
Routeurs CE
Priphrie Internet
WAN
WAN
Internet DMVPN
95
Un outil de dimensionnement WAAS plus complet et plus interactif est
disposition des utilisateurs inscrits sur www.cisco.com :
http: //tools.cisco.com/WAAS/sizing
Le routeur intgr WAASx fournit un sous-ensemble des fonctionnalits
compltes WAAS disponibles sur les plate-formes WAE. La version actuelle
du logiciel WAASx, compatible avec les conceptions WAN liaison unique, est
galement conomique et facile dployer. Aucun changement de conception
ou d'architecture n'est ncessaire pour activer cette fonctionnalit sur le
routeur.
Figure 31 - Site distant WAN - Topologie WAASx
Les formats WAE dont nous avons discut prcdemment incluent un routeur
SRE et un appareil externe. Ces variantes excutent toutes le mme logiciel
WAAS et les fonctionnalits sont quivalentes. La principale diffrence
est constitue par la mthode de connexion au rseau LAN de ces deux
priphriques :
SRE : une interface interne (connexion par routeur uniquement), une
interface externe
Appareil : deux interfaces (toutes deux externes)
L'approche quant la connexion des priphriques WAE au LAN doit tre
cohrente, quel que soit le format de matriel choisi. Toutes les connexions
WAE s'effectuent par le biais des interfaces externes. L'avantage de cette
mthode est qu' il n'est pas ncessaire de crer un rseau ddi pour connecter
spcifiquement les priphriques WAE. En outre, le SRE et les priphriques
des appareils peuvent utiliser une conception identique. L' interface interne du
SRE n'est pas utilise pour cette conception, sauf pour la fonction Bootstrap
initiale de la configuration des priphriques.
Pour cette solution, vous devez connecter un cble Ethernet externe partir de
chaque module SRE.
Vous devez connecter les priphriques WAE au VLAN donnes du
commutateur d'accs dans toutes les conceptions plates de couche 2.
Figure 32 - Site distant WAN Topologie WAAS (connexion de la
couche d'accs)
Lorsque le dploiement utilise une conception de couche de distribution,
les priphriques WAE doivent se connecter au VLAN donnes principal sur le
commutateur de couche de distribution.
Site distant WAN WAASx
WAN
Routeur
WAASx
Interface WAAS
Vlan64 - Donnes
Vlan69 - Voix
Site distant WAN Topologie WAAS (connexion de la couche d'accs)
Tunnel GRE ngoci
WAN WAN
p ( p )
Vlan99 Transit
Cluster WAAS WAE
WAE WAAS
Vlan64 - Donnes
Vlan99 - Transit
Vlan64 - Donnes
Vlan69 - Voix
Vlan69 - Voix
96
Figure 33 - Site distant WAN Topologie WAAS (connexion de la
couche de distribution)
Si possible, connectez les appareils WAE par le biais des deux interfaces au
moyen d' EtherChannel, pour une rsilience et des performances accrues.
Afin de permettre la redirection du trafic vers les appareils WAAS,
WCCP Version 2 est activ sur les routeurs WAN.
La redirection WCCP utilise les groupes de services 61 et 62 pour faire
correspondre le trafic afin de le racheminer. Ces groupes de services doivent
tre utiliss par paires :
Le groupe de services 61 utilise l'adresse source pour racheminer le trafic.
Le groupe de services 62 utilise l'adresse de destination pour racheminer
le trafic.
Cette conception utilise WCCP 61 en entre sur les sous-interfaces VLAN
orientes LAN afin de faire correspondre les donnes non optimises
provenant des clients et destines au data center (ou d'autres sites distants).
Dans tous les cas, WCCP 62 est utilis en entre pour les interfaces orientes
WAN afin de faire correspondre les donnes optimises provenant du data
center (ou d'autres sites distants).
Le WAE est connect aux donnes VLAN. Par consquent, cette conception
exige l'utilisation d'un tunnel avec retour ngoci GRE partir du WAE vers le
routeur. Lorsque vous utilisez un retour ngoci GRE, il n'est pas ncessaire de
crer un nouveau rseau sur les routeurs pour connecter spcifiquement les
WAE.
Les tapes suivantes constituent une prsentation des tches requises pour la
configuration d'un environnement WAAS de base.

Configuration WAAS/WAE
1. Installation de la machine virtuelle vWAAS
2. Configuration du Gestionnaire central WAAS
3. Configuration du commutateur pour les appareils WAE
4. Configuration des priphriques d'appareils WAE
5. Configuration des priphriques WAE SRE
6. Configuration des commutateurs distants pour les priphriques
WAE
7. Configuration du protocole WCCPv2 sur des routeurs
8. Configuration du Gestionnaire central pour WAASx
9. Configuration des routeurs WAAS Express
Procdure

Procdure 1 Installation de la machine virtuelle vWAAS
Cette procdure est facultative et uniquement requise si vous utilisez un
vWAAS (Virtual WAAS, WAAS virtuel).
vWAAS est fourni en tant qu'OVA (Open Virtual Appliance, appareil virtuel
ouvert). L'OVA est prconditionn. Il comporte un disque, une mmoire, une
unit centrale, des cartes d' interface rseau et fonctionne avec des paramtres
de configuration lis la machine virtuelle. C'est une norme du secteur et de
nombreux appareils virtuels sont disponibles dans ce format. Un fichier OVA
diffrent est fourni pour chaque modle vWAAS.

Les fichiers OVA sont disponibles uniquement au format DVD et ne
peuvent pas tre tlchargs sur www.cisco.com pour le moment.
Site distant WAN Topologie WAAS (connexion de la couche de
distribution)
WAN
Tunnel GRE ngoci
Cluster WAAS WAE
p ( p )
Vlan54 Liaison routeur
Vlan50 Liaison routeur
Vlan99 Transit
Vlan100 Donnes (principal)
Vlan64 - Donnes Vlanxx - Donnes
Vlan69 - Voix Vlanxx - Voix
97
tape 1 : Dployez un modle OVF avec le client VMWare vSphere.
Vous devez d'abord installer vWAAS OVA sur le serveur VMware ESX/ESXi
l'aide de vSphere avant de configurer le vWAAS.
tape 2 : Configurez le priphrique l'aide de la console VMware.
Les procdures et les tapes de configuration du Gestionnaire central vWAAS
et des priphriques de l'acclrateur d'applications vWAAS sont identiques
ceux des formats d'appareil WAE et SRE. Slectionnez la procdure approprie
ci-aprs pour terminer la configuration vWAAS.

Procdure 2 Conguration du Gestionnaire central WAAS
Un priphrique Cisco WAVE-574 est utilis pour le Gestionnaire central sur le
site principal dans le but de fournir la gestion, la configuration et les rapports
sur le rseau WAAS sous forme graphique. Ce priphrique rside dans la
batterie de serveurs car il ne se trouve pas directement dans le chemin de
transfert de l'optimisation WAN. Cependant, il fournit des services de gestion
et de surveillance. La configuration initiale du Gestionnaire central ncessite
un accs terminal au port de la console pour les options de configuration de
base et l'affectation d'adresses IP. Pour tous les priphriques WAE, le nom
d'utilisateur par dfaut en sortie d'usine est admin et le mot de passe par
dfaut en sortie d'usine est default .
L'utilitaire de configuration initiale peut tre dmarr partir de la ligne de
commande en entrant la commande setup .
tape 1 : Effectuez la configuration.
Parameter Default Value
1. Device Mode Application Accelerator
2. Interception Method WCCP
3. Time Zone UTC 0 0
4. Management Interface GigabitEthernet 1/0
5. Autosense Enabled
6. DHCP Enabled
ESC Quit ? Help WAAS Default Configuration
Press y to select above defaults, n to configure all, <1-6>

to change specific default [y]: n
tape 2 : Configurez en tant que Gestionnaire central.
1. Acclrateur d'applications
2. Central Manager
Select device mode [1]: 2
tape 3 : Configurez le fuseau horaire.
Enter Time Zone <Time Zone Hours(-23 to 23) Minutes(0-59)> [UTC 0
0]: PST -8 0
tape 4 : Configurez l' interface de gestion, l'adresse IP et la passerelle par
dfaut.
No. Interface Name IP Address Network Mask
1. GigabitEthernet 1/0 dhcp
Select Management Interface [1]: 1
Enable Autosense for Management Interface? (y/n)[y]: y
Enable DHCP for Management Interface? (y/n)[y]: n
Enter Management Interface IP Address
<a.b.c.d or a.b.c.d/X(optional mask bits)> [Non configure]:
10.4.48.100/24
Enter Default Gateway IP Address [Non configure]: 10.4.48.1
tape 5 : Configurez les paramtres du DNS, de l' hte et du NTP.
Enter Domain Name Server IP Address [Non configure]: 10.4.48.10
Enter Domain Name(s) (Not configured): cisco.local
Enter Host Name (Aucun): WAAS-WCM-1
Enter NTP Server IP Address [Aucune]: 10.4.48.17
tape 6 : Slectionnez la licence approprie.
The product supports the following licenses:
1. Entreprise
Enter the license(s) you purchased [1]: 1
98
tape 7 : Vrifiez les paramtres de configuration et lancez le rechargement.
Parameter Configured Value
1. Device Mode Central Manager
2. Time Zone PST -8 0
5. DHCP Disabled
6. IP Address 10.4.48.100
7. IP Network Mask 255.255.255.0
8. IP Default Gateway 10.4.48.1
9. DNS IP Address 10.4.48.10
10. Domain Name(s) cisco.local
11. Host Name WAAS-WCM-1
12. NTP Server Address 10.4.48.17
13. License Enterprise
ESC Quit ? Help ! CLI WAAS Final Configuration
Press y to select configuration, d to toggle defaults

display, <1-13> to change specific parameter [y]: y
Apply WAAS Configuration: Device Mode changed in SETUP; New
configuration takes effect after a reload. If applicable,
registration with CM, CM IP address, WAAS WCCP configuration etc,
are applied after the reboot. Initiate system reload?
<y/n> [n] y
Are you sure? <y/n> [n]: y
tape 8 : Aprs le redmarrage, connectez-vous au Gestionnaire central
WAAS et activez les connexions SSH.
Pour activer les connexions SSH, vous devez gnrer la cl RSA et activer le
service sshd.
ssh-key-generate key-length 2048
sshd version 2
sshd enable
tape 9 : Dsactivez telnet.
no telnet enable
tape 10 : Accdez au Gestionnaire central WAAS par le biais de
l' interface Web.
Le priphrique Gestionnaire central doit prsent fonctionner une fois le
rechargement termin et tre accessible par le biais d'un navigateur Web
l'adresse IP affecte l' tape 6 de l'utilitaire de configuration, ou au nom d' hte
associ s' il a t configur dans DNS. Pour accder au Gestionnaire central,
prcisez le protocole HTTP scuris et le numro de port 8443, par exemple :
https: //10.4.48.100:8443. Connectez-vous au moyen du nom d'utilisateur par
dfaut admin et du mot de passe par dfaut default .
tape 11 : Dans le menu My WAN (Mon WAN), cliquez sur l'option Manage
devices (Gestion de priphriques). Le Gestionnaire central apparat dans la
fentre My WAN en tant que seul priphrique administrable.
Figure 34 - Gestionnaire central WAAS - Liste initiale des
priphriques administrables
99
tape 12 : Configurez le groupe d'utilisateurs Network-Admins.
L' interface Web du Gestionnaire central ncessite un groupe d'utilisateurs
avec une attribution du rle concern afin de permettre une autorisation des
utilisateurs partir d'une base de donnes AAA externe. Cette tape, qui ne
peut tre effectue qu' partir de l' interface Web, doit tre effectue avant
d'activer AAA dans l' tape suivante.
Dans le menu Admin, puis dans le sous-menu AAA, cliquez sur l'option User
groups (Groupes d'utilisateurs).
Dans le menu Create (Crer), puis dans le champ Name (Nom), saisissez un
nom. Ce nom, sensible la casse, doit correspondre exactement au nom de
groupe utilis sur le serveur AAA. Par exemple, c'est le cas du nom Network
Admins dans le cadre de cette mise en uvre.
Aprs avoir cr le groupe, cliquez sur l'onglet Role management (Gestion du
rle), puis sur l'option X pour attribuer le rle.
Aprs avoir attribu correctement un rle, une grande coche verte apparat
ct de l' icne.
100
tape 13 : Configurez l'authentification utilisateur scurise.
Activez l'authentification AAA pour le contrle d'accs. AAA contrle tous les
accs de gestion aux priphriques WAAS/WAE (connexions SSH et HTTPS).
Un utilisateur administratif local a t cr sur WAAS/WAE pendant la
configuration. Ce compte d'utilisateur permet de grer le priphrique si le
serveur centralis TACACS+ n'est pas disponible ou si votre organisation ne
dispose pas de serveur TACACS+.

Les informations concernant la configuration AAA prsentes
concernent uniquement les priphriques WAAS. Une configuration
supplmentaire est ncessaire sur le serveur AAA pour permettre
une autorisation des utilisateurs russie. Ne configurez pas
d'authentification des utilisateurs scurise avant d'avoir effectu
les tapes ncessaires prsentes dans le guide Cisco SBA for
Enterprise OrganizationsBorderless Networks Network Device
Authentication and Authorization Deployment Guide.
Les tapes suivantes permettent de configurer le serveur TACACS+ en tant
que principale mthode d'authentification des utilisateurs (connexion) et
d'autorisation des utilisateurs (configuration).
tacacs key SecretKey
tacacs password ascii
tacacs host 10.4.48.15 primary
!
authentication login local enable secondary
authentication login tacacs enable primary
authentication configuration local enable secondary
authentication configuration tacacs enable primary
authentication fail-over server-unreachable
tape 14 : Aprs avoir apport des changements la configuration,
enregistrez-la.
copy running-config startup-config

Procdure 3 Conguration du commutateur pour les
appareils WAE
Le commutateur de distribution WAN est l'emplacement appropri qui permet
de connecter physiquement les priphriques sur le site d'agrgation WAN,
par exemple les appareils WAE qui prennent en charge l'optimisation WAN.
Ce type de priphrique exige une connexion rsiliente mais pas de protocole
de routage. Ce type de connexion peut utiliser une liaison EtherChannel de
couche 2.
requises pour terminer la connexion du commutateur aux appareils WAE sont
incluses. Pour plus d' informations sur la configuration du commutateur de
couche de distribution, reportez-vous au guide de dploiement des rseaux
locaux (LAN) Cisco SBA for Enterprise OrganizationsBorderless Networks.
cette occasion, vous devez crer un VLAN et un SVI, ainsi que pour d'autres
priphriques prsentant des exigences de connectivit similaires. Ce VLAN
correspond au rseau de service WAN.
tape 1 : Crez le VLAN et le SVI.
vlan [numro VLAN]
name [nom VLAN]
!
no shutdown
tape 2 : Configurez les liaisons EtherChannel de couche 2 des priphriques
et associez-les au VLAN.
switchport access vlan [numro VLAN]
!
interface [type] [number]
no shutdown
101
Exemple
vlan 350
name WAN_Service_Net
!
description bn-wae-1 EtherChannel
!
description bn-wae-1 port 1
no shutdown
!
no shutdown
!
interface Vlan350
ip address 10.4.32.129 255.255.255.192
no shutdown

Procdure 4 Conguration des priphriques d'appareils
WAE
Un cluster d'appareils Cisco WAE-7341 est dploy sur le site d'agrgation WAN
afin de fournir la terminaison de tte de rseau pour le trafic WAAS entrant et
sortant qui provient des sites distants sur le WAN. Connectez ces priphriques
directement sur le commutateur des couches de distribution WAN l'aide du
retour ngoci GRE afin de communiquer avec les routeurs WCCP.
Vous pouvez aussi dployer les appareils WAE sur les sites distants WAN
individuellement ou dans le cadre d'un cluster WAE. Vous devez suivre cette
procdure pour configurer les appareils WAE des sites distants WAN. Vous
utilisez le mme utilitaire de configuration utilis pour la configuration initiale du
Gestionnaire central WAAS pour configurer les priphriques des appareils WAE.
Pour attribuer les paramtres initiaux, les priphriques ne ncessitent qu'une
configuration de base, par le biais de leur port de console. Aprs avoir termin
cette configuration, vous pouvez entirement grer le rseau WAAS par le biais de
la console du Gestionnaire central WAAS.
La configuration initiale des acclrateurs d'applications WAE ncessite un
accs du terminal au port de la console pour les options de configuration de
base et l'affectation d'adresses IP. Pour tous les priphriques WAE, le nom
d'utilisateur par dfaut en sortie d'usine est admin et le mot de passe par
dfaut en sortie d'usine est default .
Les tapes de configuration de l'utilitaire de configuration pour les
acclrateurs d'application WAE sont similaires celles du Gestionnaire central,
sauf la numrotation des tapes qui change aprs la slection de l'acclrateur
d'application en tant que mode de priphrique l' tape 2. Une fois ce mode
choisi, le script de configuration change pour vous permettre d'enregistrer le
WAE auprs du Gestionnaire central, puis de dfinir la mthode d' interception
du trafic (WCCP).
L'utilitaire de configuration initiale peut tre dmarr partir de la ligne de
commande en entrant la commande setup .
1. Device Mode Application Accelerator
6. DHCP Enabled

to change specific default [y]: n
tape 2 : Configurez en tant qu'acclrateur d'applications.
1. Acclrateur d'applications
2. Central Manager
Select device mode [1]: 1
tape 3 : Configurez la mthode d' interception.
1. WCCP
2. Other
Select Interception Method [1]: 1
0]: PST -8 0
102
dfaut.
Enter Management Interface IP Address
<a.b.c.d or a.b.c.d/X(optional mask bits)> [Non configure]:
10.4.32.161/26
Enter Default Gateway IP Address [Non configure]: 10.4.32.129
Enter Central Manager IP Address (WARNING: An invalid entry will
cause SETUP to take a long time when applying WAAS configuration)
[Aucune]: 10.4.48.100
Enter Host Name (None): WAE7341-1
tape 7 : Configurez la liste du routeur WCCP.
Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []:
10.4.32.241 10.4.32.242 10.4.32.243
1. Transport
2. Entreprise
3. Enterprise & Video
4. Enterprise & Virtual-Blade
5. Enterprise, Video & Virtual-Blade
tape 9 : Vrifiez les paramtres de configuration.
6. DHCP Disabled
7. IP Address 10.4.32.161
8. IP Network Mask 255.255.255.192
9. IP Default Gateway 10.4.32.129
10. CM IP Address 10.4.48.100
13. Host Name WAE7341-1
15. WCCP Router List 10.4.32.241 10.4.32.242 10.4.32.243
Press y to select configuration, <F2> to see all configuration,

d to toggle defaults display, <1-16> to change specific
parameter [y]: y
Applying WAAS configuration on WAE ...
May take a few seconds to complete ...
Si la connexion du commutateur au SAE est configure en tant que
Port Channel, cette procdure choue. En effet, le script de configuration
du SAE n'active pas le Port Channel. Si c'est le cas, l' inscription auprs du
Gestionnaire central WAAS est effectue manuellement l' tape 11.
tape 10 : (Facultatif) Configurez la connexion du Port Channel du WAE la
pile de commutateurs de distribution.
Cette tape facultative est ncessaire lors d'une connexion au WAE par le biais
d'un Port Channel (connexion rsiliente).
no ip address 10.4.32.161 255.255.255.192
exit
!
primary-interface PortChannel 1
103
!
interface PortChannel 1
ip address 10.4.32.161 255.255.255.192
exit
!
channel-group 1
exit
channel-group 1
exit
tape 11 : (Facultatif) Terminez l' inscription auprs du Gestionnaire central
WAAS.
Aprs la configuration du Port Channel, le WAE peut atteindre le Gestionnaire
central WAAS. Excutez la commande cms enable pour forcer une
inscription manuelle.
Cette tape facultative est uniquement ncessaire lors de la connexion, lorsque
la tentative d' inscription initiale l' tape 9 a chou.
cms enable
Registering WAAS Application Engine...
Sending device registration request to Central Manager with
address 10.4.48.100
Please wait, initializing CMS tables
Successfully initialized CMS tables
Registration complete.
Please preserve running configuration using copy running-config
startup-config.
Otherwise management service will not be started on reload and
node will be shown offline in WAAS Central Manager UI.
management services enabled
Plusieurs paramtres supplmentaires activs sur les priphriques WAE
permettent de terminer la configuration. La configuration de ces paramtres est
dcrite dans les tapes 13 15.
tape 12 : Configurez le retour ngoci GRE.
Tous les priphriques WAE utilisent les retours ngocis GRE avec leurs
routeurs WCCP respectifs.
egress-method negotiated-return intercept-method wccp
Le script de configuration a gnr une liste de routeurs reposant sur les
informations fournies. Pour voir la configuration du priphrique, saisissez la
commande suivante :
WAE-7341-1# show running-config | include wccp router-list
wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243
La liste de routeurs 8 est destine spcifiquement une utilisation avec une
configuration WCCP sur un routeur passerelle par dfaut. Cette conception
utilise les retours ngocis GRE et les adresses de bouclage de routage. Il est
donc ncessaire de crer une nouvelle liste de routeurs et d'effacer la liste de
routeurs 8.
Toutes les configurations WAE de cette conception utilisent la liste de
routeurs 1.
no wccp router-list 8 10.4.32.241 10.4.32.242 10.4.32.243
wccp router-list 1 10.4.32.241 10.4.32.242 10.4.32.243
Cette conception utilise l'authentification entre les routeurs et le WAE.
REMARQUE : pour un fonctionnement correct du WCCP, les routeurs de la
gamme ASR 1000 doivent utiliser le mode d'attribution de masque WCCP.
Si l'un des routeurs WCCP appartient la gamme Cisco ASR 1000, remplacez
le paramtre par dfaut hash-source-ip par mask-assign . Ce changement
est effectu sur les WAE et non sur les routeurs.
wccp tcp-promiscuous router-list-num 1 password c1sco123 mask-
assign
Toutes les autres plates-formes de routeurs peuvent utiliser le paramtre par
dfaut suivant :
wccp tcp-promiscuous router-list-num 1 password c1sco123
tape 14 : Activez le routage SSH.
Pour activer les connexions SSH, vous devez gnrer la cl RSA et activer le
service sshd.
sshd version 2
sshd enable
no telnet enable
104
dispose pas de TACACS+.
!
tape 17 : Enregistrez la configuration.
Aprs avoir apport des changements la configuration, enregistrez-la.

Procdure 5 Conguration des priphriques WAE SRE
Dans le cadre de cette conception, vous pouvez utiliser divers formats
d'appareils WAE ou SRE pour l' quipement du site distant WAAS, en fonction
des besoins en termes de performances.
Vous pouvez insrer les modules SRE directement dans un logement de
module correspondant du routeur de site distant et les configurer assez
diffremment des appareils. Si vous utilisez un appareil, vous pouvez suivre
l'ensemble des procdures du priphrique WAE avec agrgation WAN, avec
les paramtres d'adressage du site distant.
Mme si le routeur de site distant peut potentiellement communiquer
directement avec le SRE par le biais du fond de panier du routeur, cette
conception utilise les interfaces externes des modules qui permettent une mise
en uvre cohrente de la conception, indpendament du priphrique WAE
choisi. L' interface SM doit tre active et une adresse IP arbitraire (significative
au niveau local uniquement) doit lui tre affecte afin de pouvoir y accder par
le biais de la session de console, partir du routeur hte.
Vous devez connecter l' interface externe au rseau de donnes sur le
commutateur de la couche d'accs ou de distribution pour que cette
configuration fonctionne correctement.
tape 1 : Configurez la console d'accs et les adresses IP du SRE sur le
routeur hte.
Afin de permettre la console d'accder aux modules SRE, vous devez saisir
les commandes suivantes sur le routeur hte.
interface SM1/0
ip address 1.1.1.1 255.255.255.252
service-module external ip address 10.5.52.8 255.255.255.0
service-module ip default-gateway 10.5.52.1
no shutdown

Dans cette conception, l'adresse IP 1.1.1.1 attribue au SM/0 est
arbitraire et sa prsence locale n'est importante que pour le routeur
hte.
tape 2 : (Facultatif) Configurez une dispense AAA pour les priphriques
SRE.
Si AAA a t activ sur le routeur, vous serez invit fournir la fois l' identifiant
du routeur et celui du WAAS, ce qui peut porter confusion. Pour dsactiver
l'authentification initiale du routeur, vous devez crez une mthode AAA qui est
ensuite applique la configuration de ligne spcifique sur le routeur associ
au SRE/NME.
Crez la mthode de connexion AAA :
aaa authentication login MODULE none
Dterminez le numro de la ligne attribu au SRE. L'exemple ci-dessous indique
la ligne 67.
Br203-2921-1# show run | begin line con 0
line con 0
logging synchronous
line aux 0
line 67
no activation-character
no exec
transport preferred none
transport input all
transport output pad telnet rlogin lapb-ta mop udptn v120 ssh
stopbits 1
105
flowcontrol software
line vty 0 4
password 7 04585A150C2E1D1C5A
transport input ssh
Pour limiter l'accs la console SRE/NME, crez une liste d'accs. Le numro
de liste d'accs est arbitraire, mais l'adresse IP doit correspondre l'adresse
attribue l' interface SM lors de l' tape prcdente.
access-list 67 permit 1.1.1.1
Affectez la mthode la ligne approprie :
line 67
login authentication MODULE
access-class 67 in
transport output none
tape 3 : Connectez-vous la console WAE par le biais d'une session du
routeur hte.
Aprs l'affectation de l'adresse IP et l'activation de l' interface, il est possible
d'ouvrir une session sur le WAE et d'excuter le script de configuration. Pour
tous les priphriques WAE, le nom d'utilisateur par dfaut en sortie d'usine est
admin et le mot de passe par dfaut en sortie d'usine est default .
REMARQUE : si vous utilisez une authentification de l'utilisateur scurise
sur le routeur et que vous n'avez pas cr de dispense AAA, vous devez
pralablement vous authentifier au moyen d' identifiants de connexion de
routeur valides avant de vous connecter la session de la console WAE.
Br203-2921-1# service-module sm 1/0 session
Vous pouvez faire dmarrer l'utilitaire de configuration initiale partir de la ligne
de commande en saisissant la commande setup .
Device Mode Application Accelerator
3. Management Interface GigabitEthernet 1/0 (internal)
Autosense Disabled
DHCP Disabled

to changespecific default [y]: n
tape 5 : Configurez la mthode d' interception.
1. WCCP
2. Other
Select Interception Method [1]: 1
0]: PST -8 0
dfaut.
Cette conception utilise l' interface externe en tant qu' interface de gestion.
1. GigabitEthernet 1/0 unassigned unassigned
(internal)
(external)

Il est possible que l'avertissement ci-aprs s'affiche. Celui-ci peut
tre ignor, puisque la configuration de l'adresse IP a dj t
fournie.
*** You have chosen to disable DHCP! Any network
configuration learnt from DHCPserver will be unlearnt!
SETUP will indicate failure as the managementinterface
cannot be brought up - Please make sure WAE Management
Interface IPaddress and Default Gateway are configured
from the Router; Press ENTER to continue:
106
tape 8 : Configurez l'adresse du Gestionnaire central.
Enter Central Manager IP Address (WARNING: An invalid entry will
cause SETUP to take a long time when applying WAAS configuration)
[Aucune]: 10.4.48.100
Enter Host Name (None): Br203-WAE-SRE700-1
Enter WCCP Router (max 4) IP Address list (ip1 ip2 ...) []:
10.5.48.253 10.5.48.254
1. Transport
2. Entreprise
3. Enterprise & Video
tape 12 : Vrifiez les paramtres de configuration.
3. Management Interface GigabitEthernet 2/0 (external)
5. DHCP Disabled
IP Address 10.5.52.8
IP Network Mask 255.255.255.0
IP Default Gateway 10.5.52.1
6. CM IP Address 10.4.48.100
9. Host Name Br203-WAE-SRE700-1
11. WCCP Router List 10.5.48.253 10.5.48.254
Press y to select configuration, <F2> to see all configuration,

d to toggle defaults display, <1-12> to change specific
parameter [y]: y
Router WCCP configuration
First WCCP router IP in the WCCP router list seems to be an
external address; WCCP configuration on external routers is
not allowed through SETUP. Please press ENTER to apply WAAS
configuration on WAE ...
Applying WAAS configuration on WAE ...
May take a few seconds to complete ...
WAAS configuration applied successfully!!
Saved configuration to memory.
Press ENTER to continue ...
Vous tes invit utiliser un modle de configuration WCCP recommand pour
le routeur, dont nous parlerons de manire plus approfondie dans l'une des
procdures suivantes. Par consquent, vous n'avez pas besoin de retenir ces
informations.
107
tape 13 : Configurez le retour ngoci GRE.
Tous les priphriques WAE utilisent le retour ngoci GRE avec leurs routeurs
WCCP respectifs :
egress-method negotiated-return intercept-method wccp
Le script de configuration a gnr une liste de routeurs reposant sur les
informations fournies. Pour voir la configuration du priphrique, saisissez la
commande suivante :
Br203-WAE-SRE700-1# show running-config | include wccp router-
list
wccp router-list 8 10.5.48.253 10.5.48.254
La liste de routeurs 8 est destine spcifiquement une utilisation avec une
configuration WCCP sur un routeur passerelle par dfaut. Cette conception
utilise les retours ngocis GRE et les adresses de bouclage de routage. Il est
donc ncessaire de crer une nouvelle liste de routeurs et d'effacer la liste de
routeurs 8.
Toutes les configurations WAE de cette conception utilisent la liste de
routeurs 1.
no wccp router-list 8 10.5.48.253 10.5.48.254
wccp router-list 1 10.5.48.253 10.5.48.254
Cette conception utilise l'authentification entre les routeurs et les WAE.
wccp tcp-promiscuous service-pair 61 62 router-list-num 1
password c1sco123
tape 15 : Activez le routage SSH.
L'activation de SSH ncessite la gnration de la cl RSA et l'activation du
service sshd.
sshd version 2
sshd enable
no telnet enable
dispose pas de serveur TACACS+.
!
tape 18 : Enregistrez la configuration.
Aprs avoir apport des changements la configuration, enregistrez-la.
Chaque WAE s' inscrit auprs du Gestionnaire central WAAS au fur et mesure
de son activation sur le rseau. Vous pouvez vrifier cette inscription l'aide de
la commande show cms info sur les WAE respectifs ou sur le WCM par le
biais de l' interface Web.
Lorsque vous avez termin cette configuration, vous pouvez quitter la session
et revenir la ligne de commande du routeur hte en saisissant la squence
d' chappement Ctrl-Maj-6 x.
Figure 35 - Gestionnaire central WAAS - Liste renseigne des
priphriques administrables
108

Procdure 6 Conguration des commutateurs distants
pour les priphriques WAE
Si vous utilisez une conception en couche de distribution de site distant, le
commutateur de couche de distribution est l'emplacement appropri pour
connecter physiquement les priphriques WAE. Ce type de priphrique
ncessite une connexion rsiliente mais pas de protocole de routage. Ce type
de connexion peut utiliser une liaison EtherChannel de couche 2.
requises pour terminer la connexion du commutateur aux appareils WAE sont
incluses. Pour plus d' informations sur la configuration du commutateur de
couche de distribution, reportez-vous au guide de dploiement des rseaux
locaux (LAN) Cisco SBA for Enterprise OrganizationsBorderless Networks.
Cette conception localise les priphriques WAE sur le VLAN de donnes
(principal). Il est ncessaire de crer un VLAN et un SVI s' il n'en existe aucun.
tape 1 : Crez le VLAN et le SVI (le cas chant).
vlan [numro VLAN]
name [nom VLAN]
!
no shutdown
tape 2 : Configurez les liaisons EtherChannel de couche 2 des priphriques
et associez-les au VLAN.
!
no shutdown
!
no shutdown
Exemple
vlan 100
name Data
!
description bn-wae-1 EtherChannel
!
no shutdown
!
no shutdown
!
interface Vlan100
ip address 10.5.1.1 255.255.255.0
no shutdown

Procdure 7 Conguration du protocole WCCPv2 sur des
routeurs
Dans cette conception, le WCCP dtourne le trafic rseau destin au WAN vers
le systme WAAS pour permettre l'optimisation. Cette mthode favorise un
dploiement propre avec peu de cblage supplmentaire et ncessite que
l'agrgation WAN et les routeurs des sites distants soient configurs pour le
WCCP.
Configurez les paramtres WCCP globaux et activez les services 61 et 62.
Vous devez activer les services 61 et 62 pour la redirection WCCP du WAAS.
Ces services doivent utiliser le protocole WCCP version 2. La dispense de
certains types de trafic importants partir de la redirection du WCCP par le
biais d'une liste de redirection figure parmi les meilleures pratiques.
109
Afin d'empcher les priphriques WAE non autoriss de faire partie des
clusters WAAS, vous devez configurer une liste de groupe et un mot de passe.
ip wccp version 2
ip wccp 61 redirect-list [racheminer ACL] group-list [groupe
ACL] password [mot de passe]
ip wccp 62 redirect-list [racheminer ACL] group-list [groupe
ACL] password [mot de passe]
!
ip access-list standard [groupe ACL]
permit [adresse IP du membre du cluster WAAS]
permit [adresse IP du membre du cluster WAAS]
!
ip access-list extended [racheminer ACL]
deny tcp [adresse IP src] [adresse IP dest.] any eq [port TCP]
! Additional lines as necessary
permit tcp any any
tape 1 : Configurez la redirection WCCP sur les interfaces LAN et WAN.
Option 1. Tous les routeurs WAAS sauf les routeurs concentrateurs
DMVPN
Des interfaces spcifiques doivent tre identifies dans le cas o le trafic WAN
entrant et sortant doit tre intercept.
Le trafic provenant du LAN est intercept par le service 61 entrant sur toutes les
interfaces LAN. Il n'est pas ncessaire de configurer l' interception WCCP sur
les interfaces voix et les VLAN voix.
ip wccp 61 redirect in
Le trafic provenant du WAN est intercept par le service 62 entrant sur tous
les interfaces WAN, y compris les interfaces de tunnel DMVPN (sauf leurs
interfaces physiques sous-jacentes).
Exemple Option 1
ip wccp version 2
ip wccp 61 redirect-list WAAS-REDIRECT-LIST group-list BN-WAE
password c1sco123
password c1sco123
!
!
!
ip access-list standard BN-WAE
permit 10.4.32.161
permit 10.4.32.162
ip access-list extended WAAS-REDIRECT-LIST
remark WAAS WCCP Redirect List
deny tcp any any eq 22
deny tcp any eq 22 any
deny tcp any eq telnet any
deny tcp any any eq telnet
deny tcp any eq bgp any
deny tcp any any eq bgp
permit tcp any any
Option 2. Routeurs concentrateurs DMVPN
Des interfaces spcifiques doivent tre identifies dans le cas o le trafic WAN
entrant et sortant doit tre intercept.
Le trafic provenant du LAN est intercept par le service 61 entrant sur les
interfaces LAN.
Pour prendre en charge la cration de tunnels satellite satellite de faon
dynamique, les routeurs concentrateurs DMVPN ont besoin du WCCP 62
sortant sur l' interface LAN.
110
Le trafic provenant du WAN est intercept par le service 62 sortant sur les
interfaces LAN.
ip wccp 62 redirect out
Exemple Option 2
ip wccp version 2
password c1sco123
password c1sco123
!
ip wccp 62 redirect out
!
ip access-list standard BN-WAE
permit 10.4.32.161
permit 10.4.32.162
ip access-list extended WAAS-REDIRECT-LIST
remark WAAS WCCP Redirect List
deny tcp any eq telnet any
deny tcp any any eq telnet
deny tcp any eq bgp any
deny tcp any any eq bgp
permit tcp any any

Procdure 8 Conguration du Gestionnaire central pour
WAASx
Vous pouvez utiliser le Gestionnaire central WAAS pour grer les routeurs
WAASx de manire centralise, c'est--dire comme pour un appareil WAE.
Vous devez dfinir le nom d'utilisateur et le mot de passe que WCM utilise pour
accder aux routeurs WAASx afin d'effectuer la surveillance et la gestion. Ces
communications sont scurises grce au protocole HTTPS, qui ncessite
l'utilisation de certificats numriques.
tape 1 : Configurez des identifiants pour les routeurs WAASx.
Sur l' interface Web du Gestionnaire central WAAS (https: //10.4.48.100:8443),
configurez l' identifiant et le mot de passe de connexion du routeur WAASx.
Pour effectuer cette configuration, modifiez le groupe de priphriques
AllWAASExpressGroup. partir de la page d'accueil Gestionnaire central
WAAS, cliquez sur le menu My Wan (Mon Wan), puis sur le sous-menu
Manage Device Groups (Gestion des groupes de priphriques) sur la
gauche.
Figure 36 - Gestionnaire central WAAS - Gestion des groupes de
priphriques
111
Pour slectionner le groupe de priphriques, cliquez sur le groupe
AllWAASExpressGroup, puis sur l'onglet Admin (associ au groupe de
priphriques AllWAASExpressGroup).
Figure 37 - Gestionnaire central WAAS - AllWAASExpressGroup
Cliquez sur les identifiants WAAS Express.
Figure 38 - Gestionnaire central WAAS - Identifiants WAASx
Saisissez le nom d'utilisateur et le mot de passe appropris que vous prvoyez
galement d'utiliser pour la configuration du routeur WAASx ou sur le serveur
central AAA. L'exemple montre le nom d'utilisateur sbawaasx et le mot de
passe c1sco123 .
tape 2 : Exportez le certificat numrique approuv partir du WCM.
Pour activer les communications scurises entre le WCM et le routeur, vous
devez installer le certificat numrique partir du WCM sur chacun des routeurs
WAASx. Le certificat peut tre export au format PEM (Privacy Enhanced
Mail, messagerie confidentialit amliore) Base64. Cette commande est
disponible par le biais de l' interface de ligne de commande du priphrique.
WAAS-WCM-1#show crypto certificate-detail admin | begin BEGIN
...skipping
-----BEGIN CERTIFICATE-----
<certificate data deleted>
-----END CERTIFICATE-----
Cette information est requise pour tous les routeurs WAASx. Par consquent,
copiez et collez ce certificat, puis enregistrez-le dans un fichier scuris.

Procdure 9 Conguration des routeurs WAAS Express
Pour activer l'optimisation WAN intgre, vous devez activer l'optimisation
WAAS sur l' interface WAN du routeur. Le WAASx peut galement tre
administrable de manire centralise par le mme Gestionnaire central WAAS
utilis avec les priphriques WAE. Le routeur doit galement tre configur
correctement afin d' tre en mesure de communiquer avec le WCM de faon
scurise.
Notez que le WAASx est une fonction spciale fournie sous licence. Cette
licence doit tre installe sur un routeur quip d'une mmoire DRAM suffisante
pour la prise en charge de la fonctionnalit WAASx.
Les routeurs WAASx doivent tre configurs avec un maximum de mmoire
DRAM.
La redirection WCCP n'est pas utilise lors d'une mise en uvre WAASx.
La totalit de l'optimisation du trafic est effectue sur le routeur. Par
consquent, il n'est pas ncessaire de racheminer le trafic vers un
priphrique externe.
tape 1 : Activez le WAAS sur l' interface WAN.
Le WAASx a t conu pour une activation l'aide d'une simple commande.
Sur un routeur de site distant avec une interface WAN GigabitEthernet0/0.
waas enable
112
tape 2 : Configurez le point de confiance autosign et gnrez un certificat
numrique.
Sur le routeur WAASx, configurez un point de confiance autosign durable
et inscrivez-vous. Cette tape est ncessaire, mme si vous avez dj un
point de confiance autosign autognr partir du protocole HTTPS activ
prcdemment. Assurez-vous d'avoir fait correspondre le nom d' hte et
le nom de domaine qui sont dj configurs sur le routeur pour le champ
subject-alt-name .
crypto pki trustpoint SELF-SIGNED-TRUSTPOINT
enrollment selfsigned
subject-alt-name Br204-1941.cisco.local
revocation-check none
rsakeypair SELF-SIGNED-RSAKEYPAIR 2048
exit
crypto pki enroll SELF-SIGNED-TRUSTPOINT
The router has already generated a Self Signed Certificate for
trustpoint TP-self-signed-xxxxxx.
If you continue the existing trustpoint and Self Signed
Certificate will be deleted.
Do you want to continue generating a new Self Signed Certificate?
[yes/no]: yes
% Include the router serial number in the subject name? [yes/no]:
no
% Include an IP address in the subject name? [no]: no
Generate Self Signed Router Certificate? [yes/no]: yes
Router Self Signed Certificate successfully created
tape 3 : Configurez le client et le serveur HTTPS.
Configurez le routeur WAASx afin d'utiliser une interface de bouclage en tant
que source pour toutes les communications client HTTP.
ip http client source-interface Loopback0
Activez le serveur scuris HTTPS.
ip http secure-trustpoint SELF-SIGNED-TRUSTPOINT
tape 4 : Crez un point de confiance et importez le certificat du Gestionnaire
central WAAS.
crypto pki trustpoint WAAS-WCM
revocation-check none
enrollment terminal pem
exit
crypto pki authenticate WAAS-WCM
Enter the base 64 encoded CA certificate.
End with a blank line or the word quit on a line by itself
Maintenant, partir du Gestionnaire central WAAS, collez le certificat PEM qui a
t gnr lors de la procdure prcdente.
-----BEGIN CERTIFICATE-----
<certificate data deleted>
-----END CERTIFICATE-----
Certificate has the following attributes:
Fingerprint MD5: 2EA6FF8F 38ABC32F 25168396 1A587F17
Fingerprint SHA1: 8DAB6185 7B95FC4C 34FDACDC A8F2B1A4 8074709B
% Do you accept this certificate? [yes/no]: yes
Trustpoint CA certificate accepted.
% Certificate successfully imported
tape 5 : Inscrivez le routeur WAASx auprs du Gestionnaire central WAAS.
Aprs avoir gnr et install correctement les certificats numriques, vous
pouvez inscrire le routeur auprs du WCM.
waas cm-register https://10.4.48.100:8443/wcm/register
Le routeur apparat comme priphrique administrable sur le WCM.
113
Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations Srie de fvrier 2012
Annexe A : Liste de produits relative au dploiement WAN
pour les entreprises et organisations
Domaine fonctionnel Produit Rfrences Version logicielle
Conception WAN 500
Agrgation WAN ASR1002 ASR1002-5G-VPN/K9
ASR1002-PWR-AC
IOS-XE 15.1(3)S0a
Agrgation WAN : Gestionnaire central
WAAS
Appareil WAVE-594 WAAS WAVE-594-K9
WAAS-ENT-APL
4.4.1 (WAAS-UNIVERSAL-K9)
Agrgation WAN : acclrateur
d'applications WAAS
Appareil WAE-7571-K9 WAAS WAE-7571-K9
WAAS-ENT-APL
Conception WAN 100
Agrgation WAN : ASR1001 ASR1001-2. 5G-VPNK9
ASR1001-PWR-AC
IOS-XE 15.1(3)S0a
Agrgation WAN : Gestionnaire central
WAAS
Appareil WAVE-594 WAAS WAVE-594-K9
WAAS-ENT-APL
Agrgation WAN : acclrateur
d'applications WAAS
Appareil WAE-7541-K9 WAAS WAE-7541-K9
WAAS-ENT-APL
Routeurs pour site distant WAN
Routeur pour site distant WAN Cisco1941 C1941-WAASX-SEC/K9
SL-19-DATA-K9
15.1(4)M2
Routeur pour site distant WAN Cisco2911 C2911-VSEC/K9
SL-29-DATA-K9
15.1(4)M2
SL-29-DATA-K9
15.1(4)M2
SL-39-DATA-K9
15.1(4)M2
SL-39-DATA-K9
15.1(4)M2
114
Annexe A : Liste de produits relative au dploiement WAN pour les entreprises et organisations Srie de fvrier 2012
Domaine fonctionnel Produit Rfrences Version logicielle
WAAS de site distant WAN
Acclrateur d'applications SM-SRE-700-K9 SM-SRE-700-K9
WAAS-ENT-SM
Acclrateur d'applications SM-SRE-900-K9 SM-SRE-900-K9
WAAS-ENT-SM
Acclrateur d'applications WAVE-294 WAVE-294-K9
WAAS-ENT-APL
WAAS-ENT-APL
WAAS-ENT-APL
115
Annexe B : Supplment - Fonctionnalits techniques Srie de fvrier 2012
Annexe B : Supplment -
Fonctionnalits techniques
FVRF (Front Door vREF) pour DMVPN
La construction d'un tunnel IPsec exige une accessibilit entre les routeurs
cryptographiques. Lorsque vous utilisez Internet, les routeurs utilisent une route
par dfaut pour contacter leurs homologues.
Figure 39 - Tunnel IPsec
Si vous avez besoin d' tendre le rseau interne (et les mmes options de
routage par dfaut mises disposition des utilisateurs internes), vous devez
indiquer une route par dfaut vers le routeur concentrateur VPN. Pour obtenir
plus d' informations, consultez la section A dans l' illustration ci-aprs.
Figure 40 - Tunnel IPsec avant/aprs l'injection de la route par dfaut
Indiquer une route par dfaut au routeur concentrateur (avec une route existant
par dfaut) est problmatique. Cette route ncessite une meilleure distance
administrative pour devenir la route active par dfaut et remplacer par la suite
la route par dfaut prenant en charge la connexion du tunnel IPsec homologue
homologue. L' indication de ce routage interrompt le tunnel, comme prsent
dans la section B de l' illustration prcdente.
Grce l' introduction d'un VRF INET-PUBLIC externe (indiqu en rouge),
le routeur concentrateur peut prendre en charge de nombreuses routes par
dfaut. Le rseau interne reste dans le VRF global (voir illustration la section A
de la figure ci-aprs).
Tunnel IPSec
Distribution WAN
Priphrie
Internet
Par dfaut
INTRIEUR
Routeur
VPN-DMZ
Internet
Par dfaut
concentrateur
DMVPN
Par dfaut
EXTRIEUR
Internet
R df
Routeur
satellite
DMVPN
Routage par dfaut
DMVPN
Tunnel IPsec avant/aprs l'injection du routage par dfaut
Par dfaut
INTRIEUR
Par dfaut
Par dfaut Par dfaut INTRIEUR
Priphrie
Internet
Par dfaut
Priphrie
Internet
Par dfaut
Routeur
concentrateur
DMVPN
Routeur
concentrateur
DMVPN
VPN-DMZ
Par dfaut
Par dfaut
VPN-DMZ
EXTRIEUR EXTRIEUR
Internet Internet
R t
Routeur
Routage par dfaut
Routeur
Routeur
Routeur
Routeur
116
Annexe B : Supplment - Fonctionnalits techniques Srie de fvrier 2012

La plupart des fonctionnalits supplmentaires du routeur
concentrateur ne ncessitent pas de reconnaissance VRF.
Figure 41 - Tunnel IPsec avec agrgation FVRF
Cette configuration est appele FVRF car elle contient toutes les connexions
Internet dans le VRF. L'alternative cette conception est appele IVRF
(inside VRF, dans le VRF) : le rseau interne est contenu dans un VRF sur
le concentrateur VPN et les connexions Internet restent sur le VRF global.
Cette mthode ne figure pas dans ce guide.
Il est maintenant possible de rtablir le tunnel IPSec vers le routeur homologue
distant. La stratgie du site distant ncessite un accs Internet centralis pour
les utilisateurs finaux. Par consquent, une route par dfaut est indique par
le biais du tunnel. L' indication provoque un problme de routage par dfaut
similaire sur le routeur distant. Le tunnel par dfaut remplace les paramtres par
dfaut dsignant Internet et la connexion du tunnel s' interrompt, comme l' illustre
la section B de la figure prcdente.
Cette configuration ncessite galement l'utilisation du FVRF sur le routeur du
site distant. Les principaux avantages inhrents l'utilisation de cette solution
sont les suivants :
routage par dfaut et routes statiques par dfaut simplifies sur INET-
PUBLIC VRF ;
possibilit de prendre en charge le routage par dfaut du trafic des
utilisateurs finaux par le biais des tunnels VPN ;
possibilit d'utiliser le routage dynamique par dfaut pour les sites
comportant plusieurs transports WAN ;
possibilit de dvelopper des tunnels satellite satellite grce DMVPN ;
trafic des utilisateurs finaux achemin par dfaut par le biais des tunnels
VPN.
La conception finale qui utilise FVRF la fois sur le site d'agrgation WAN et sur
le site distant WAN est indique dans la figure ci-aprs.
Figure 42 - FVRF Configuration finale
Tunnel IPSec avec agrgation F-VRF
Par dfaut
Bl i h i
Par dfaut
VPN DMZ
Blocage priphrie
Internet
Par dfaut
VPN DMZ
Blocage priphrie
Internet
Par dfaut
VPN-DMZ
Par dfaut
EXTRIEUR
VPN-DMZ
Par dfaut
EXTRIEUR
P df t
Internet
Par dfaut
Internet
Routeur
R
Routeur
Routage par dfaut
Routeur
Routeur
FVRF (Front Door VRF) Configuration finale
Distribution WAN
Par dfaut
VPN DMZ
Blocage priphrie
Internet
Par dfaut
Routeur
concentrateur
DMVPN
VPN-DMZ
Par dfaut
EXTRIEUR Par dfaut
Internet
Par dfaut
f l b l
vrf INET-PUBLIC
Routeur
Routeur
Routage par dfaut
vrf global
117
Annexe C : Modifications Srie de fvrier 2012
Annexe C : Modications
L'annexe rsume les modifications apportes par rapport la gamme Cisco
SBA prcdente.
Multicast IP : nous avons activ Cisco Auto RP pour simplifier le
dploiement.
Interfaces de bouclage des routeurs de site distant : nous suggrons
l'utilisation d'une plage d'adresses IP et non d'une plage rsume de
n' importe quelle autre partie du rseau.
AAA : nous avons mis jour les commandes et proposons une nouvelle
syntaxe.
Options de plate-forme d'agrgation WAN : nous avons retir le routeur
services intgrs Cisco 3945E.
Options de plate-forme d'acclration des applications : nous avons retir
les appareils des gnrations prcdentes.
SMART BUSINESS ARCHITECTURE
Cisco has more than 200 of fices worldwide. Addresses, phone numbers, and fax numbers are listed on the Cisco Website at www.cisco.com/go/offices.
Cisco and the Cisco Logo are trademarks of Cisco Systems, Inc. and/or its affiliates in the U.S. and other countries. A listing of Cisco's trademarks can be found at www.cisco.com/go/trademarks. Third party trademarks mentioned are the property of their respective owners. The use of the word
partner does not imply a partnership relationship between Cisco and any other company. (1005R)
Americas Headquarters
Cisco Systems, Inc.
San Jose, CA
Asia Pacific Headquarters
Cisco Systems (USA) Pte. Ltd.
Singapore
Europe Headquarters
Cisco Systems International BV
Amsterdam, The Netherlands
SMART BUSINESS SMART BUSINESS ARCHITECTURE
B-0000164-1 1/12

FR Cisco Wan Deployment Guide PDF

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FR Cisco Wan Deployment Guide PDF

Uploaded by

Copyright:

Available Formats

Guide de dploiement des rseaux tendus (WAN)

Srie de fvrier 2012

Press y to select above defaults, n to configure all, <1-6>

Press y to select configuration, d to toggle defaults

Press y to select above defaults, n to configure all, <1-6>

Press y to select configuration, <F2> to see all configuration,

Press y to select above defaults, n to configure all, <1-3>

Press y to select configuration, <F2> to see all configuration,

You might also like