IMA3/IMA4 2019/2021 P2 : Différence entre versions

De Wiki de Projets IMA
Ligne 85 : Ligne 85 :
 
La configuration de l'interface <tt>ATM0/1</tt> est identique mis à part le numéro du <tt>dial-pool-number</tt>. Les interfaces virtuelles <tt>Dialer</tt> se configurent de façon strictement semblable sur le 2921 par rapport au 1721.
 
La configuration de l'interface <tt>ATM0/1</tt> est identique mis à part le numéro du <tt>dial-pool-number</tt>. Les interfaces virtuelles <tt>Dialer</tt> se configurent de façon strictement semblable sur le 2921 par rapport au 1721.
  
 +
Par contre cette fois nous avons deux interfaces de sortie par les deux lignes ADSL. Le routage et la mascarade deviennent plus compliqué à configurer.
 +
 +
track 1 ip route IPV4_ISP_ADSL1 255.255.255.255 reachability
 +
track 2 ip route IPV4_ISP_ADSL2 255.255.255.255 reachability
 +
ip route 0.0.0.0 0.0.0.0 Dialer1 track 1
 +
ip route 0.0.0.0 0.0.0.0 Dialer2 track 2
 +
 +
Ce bloc ajoute les routes par défaut via les lignes disponibles à un moment donné. La disponibilité se fait par test ICMP sur les adresses IPv4 coté fournisseur d'adresse. Si deux routes par défaut sont ajoutées, l'algorithme de routage doit équilibrer le trafic sur les différentes lignes ADSL. Dans notre cas le trafic se fait principalement via un mandataire Web. L'algorithme Cisco classique <tt>original</tt> peut suffire. Cet algorithme route toutes les communications d'une adresse IPv4 donnée vers une autre adresse IPv4 donnée vers la même sortie. Si les sites web visités sont peu variés il vaut mieux passer sur l'algorithme <tt>universal</tt> qui ajoute les ports sources et destination dans les éléments de choix de la route de sortie. Cela peut se faire avec la commande
 +
 +
(config)# ip cef load-sharing algorithm universal
 +
 +
Pour la mascarade la configuration est de la forme :
 +
 +
access-list 1 permit 192.168.0.0 0.0.0.255 
 +
route-map ADSL1 permit 10
 +
  match ip address 1
 +
  match interface Dialer1
 +
!
 +
route-map ADSL2 permit 10
 +
  match ip address 1
 +
  match interface Dialer2
 +
!
 +
ip nat inside source route-map ADSL1 interface Dialer1 overload
 +
ip nat inside source route-map ADSL2 interface Dialer2 overload
 +
 +
Vous constatez que l'astuce consiste à passer par des <tt>route-map</tt> pour que la mascarade puisse se faire en bonne intelligence avec l'équilibrage de charge. Ne pas oublier d'ajouter les <tt>ip nat inside</tt> sur l'interface du réseau local et les <tt>ip nat outside</tt> dans les deux interfaces <tt>Dialer</tt>.
 +
 +
A noter : l'équilibrage n'a pas été testé avec cette configuration, les deux lignes ADSL n'ayant pas pu être opérationnelles simultanément avant l'acquisition de nouvelles cartes ADSL et le passage à un Cisco 2901.
 +
 +
Cette solution à base de 2621 est fonctionnelle mais toujours avec le défaut que les <tt>WICADSL1=</tt> ne sont pas suffisantes pour obtenir un débit satisfaisant avec les limitations ou défauts suivant :
  
 
<br style="clear: both;"/>
 
<br style="clear: both;"/>
 
  
 
= Troisième approche Cisco C2900 =
 
= Troisième approche Cisco C2900 =

Version du 7 janvier 2021 à 00:03

Introduction

Le réseau RENATER n'est pas adapté à l'enseignement : trop de restrictions par les différents administrateurs réseau. Il est par exemple très compliqué de faire installer des serveurs (DNS, SMTP, Web, etc) aux élèves.

La plateforme mathématiques et informatique s'est donc dotée de lignes spécifiques à l'enseignement. Ces lignes commencent à dater et utilisent la technologie cuivre / ADSL. La migration vers la fibre est en cours.

En attendant, il faut maintenir les lignes ADSL. Les opérateurs, bien que continuant à présenter des factures, ne sont plus en mesure de remplacer les modems / routeurs initialement fournis. Le sujet de ce projet consiste à basculer sur du matériel réseau de la plateforme pour gérer les liaisons ADSL. Le coût doit rester minimal vu qu'il s'agit d'une solution temporaire.

Les deux lignes ADSL sont des lignes France Télécom conservées lors de la privatisation de l'institution sous le nom commercial "orange". La première ligne a même été négociée avec Oléane au début des années 2000 pour permettre aux élèves logés dans la résidence crous Eiffel d'avoir un accès Internet. Une dizaine d'année plus tard la direction de l'école a accédé aux sollicitations du crous pour confier l'accès Internet à un opérateur privé. Nostalgie à part la dénomination officielle des deux lignes est :

  • ADSL business internet office (vendue pour un débit 18Mb/s descendant et 80Kb/s montant) ;
  • ADSL internet pro solo (accès classique comme pour les particuliers).

Les deux modems / routeurs de ces lignes ont cessé de fonctionner (en 2018 pour la première ligne et en 2020 pour la seconde ligne).

Première approche Cisco C1700

Cisco 1721

Un premier test a été effectué avec un routeur Cisco 1721. Avec une mémoire flash de 32Mo et une mémoire vive de 64Mo, il est possible de le faire tourner sous un IOS 12.4.

Carte ADSL

Le 1721 peut prendre deux cartes WIC classiques, dont en particulier la carte WIC-1ADSL=. La configuration de l'interface ATM portant l'ADSL est simple :

interface ATM0                                                                  
 no ip address                                                                  
 no atm ilmi-keepalive                                                          
 dsl operating-mode auto                                                        
 pvc 8/35                                                                       
  pppoe-client dial-pool-number 1                                               
 !                                                                              
!

A noter que les caractéristiques (ici 8/35) du circuit vers le fournisseur d'accès dépendent totalement du dit fournisseur. Les identifiants pour l'accès au fournisseur sont déclarés dans une interface virtuelle Dialer qui se charge du protocole PPPoE (Point-to-Point Protocol over Ethernet). Le numéro du dial pool doit être le même dans la référence de l'interface ATM et dans la configuration de l'interface Dialer (ici le numéro est 1).

interface Dialer1                                                               
 mtu 1492                                                                       
 ip address negotiated                                                          
 ip virtual-reassembly                                                          
 encapsulation ppp                                                              
 dialer pool 1                                                                  
 dialer idle-timeout 0                                                          
 dialer persistent                                                              
 ppp chap hostname IDENTIFIANT                                                  
 ppp chap password 0 MOTDEPASSE                                                  
!    

Bien entendu il faut remplacer les mot IDENTIFIANT et MOTDEPASSE avec l'identification fournie par votre fournisseur d'accès. A noter que la récupération de ces identifiants n'est pas toujours évidente. Pour l'ADSL Pro d'orange une demande a été suivie par un courriel contenant l'identifiant le lendemain mais pour l'accès ADSL BIO il a été nécessaire de fournir un document d'autorisation de divulgation par un responsable de l'établissement.

La configuration mtu 1492 n'est pas optionnelle sans elle le passage par l'interface ATM casse la découverte du MTU maximal d'une façon ou d'une autre. Pour les liaisons peu stables, comme les notres, la directive dialer persistent est très utile pour relancer l'identification sur la connexion.

Enfin une liaison ADSL sans mascarade n'est pas très utile vu que l'opérateur ne donne qu'une adresse IPv4 routée. Pour mettre en place la mascarade il faut ajouter la directive ip nat outside dans l'interface de sortie vers Internet (ici Dialer1) et il faut ajouter ip nat inside dans l'interface du réseau local (généralement une interface Ethernet). Enfin il faut définir la mascarade par elle-même :

access-list 1 permit 192.168.0.0 0.0.0.255  
ip nat inside source list 1 interface Dialer1 overload

Il ne reste plus qu'à ajouter la route par défaut : ip route 0.0.0.0 0.0.0.0 Dialer1.

Dans cette configuration il est supposé que le réseau IPv4 local est 192.168.0.0/24.

La solution à base de 1721 est fonctionnelle mais avec les limitations ou défauts suivant :

  • la carte WICADSL1= n'implante que ADSL version 1, dans le cas de notre liaison avec 40db d'atténuation on se retrouve avec des débit de quelques Mb/s même sur la ligne certifiée à 18Mb/s ;
  • il n'est pas possible de configurer deux WIC ADSL dans un 1721, ce bogue est répertorié sous le numéro CSCsa90021 ;
  • le 2721 est un routeur de bureau non facilement intégrable dans une baie (non fixable sur les rails, alimentation massive séparée), d'autant plus s'il en faut deux, un par liaison ADSL.

Seconde approche Cisco C2600

2621 en baie

Il est possible de récupérer les cartes ADSL WICADSL1= de ces routeurs pour les installer sur un Cisco 2621 un peu plus puissant. De plus ce routeur n'est pas affecté par le bogue CSCsa90021, les 2 cartes ADSL peuvent être configurées simultanément. Le 2621 dont nous disposions possédait lui aussi une mémoire flash de 32Mo et une mémoire vive de 64Mo. Du coup le 2621 peut tourner sous un IOS sensiblement identique à celui du 1721 soit un IOS 12.4.

Pas de modification notable dans la configuration des interfaces ATM, hors numérotation des interfaces et nouvelles options ATM par défaut :

interface ATM0/0
 no ip address
 atm restart timer 300     ! nouvelle option par défaut
 no atm ilmi-keepalive
 dsl operating-mode auto 
 dsl enable-training-log   ! nouvelle option par défaut
 pvc 8/35 
  pppoe-client dial-pool-number 1
 !
!

La configuration de l'interface ATM0/1 est identique mis à part le numéro du dial-pool-number. Les interfaces virtuelles Dialer se configurent de façon strictement semblable sur le 2921 par rapport au 1721.

Par contre cette fois nous avons deux interfaces de sortie par les deux lignes ADSL. Le routage et la mascarade deviennent plus compliqué à configurer.

track 1 ip route IPV4_ISP_ADSL1 255.255.255.255 reachability
track 2 ip route IPV4_ISP_ADSL2 255.255.255.255 reachability
ip route 0.0.0.0 0.0.0.0 Dialer1 track 1
ip route 0.0.0.0 0.0.0.0 Dialer2 track 2

Ce bloc ajoute les routes par défaut via les lignes disponibles à un moment donné. La disponibilité se fait par test ICMP sur les adresses IPv4 coté fournisseur d'adresse. Si deux routes par défaut sont ajoutées, l'algorithme de routage doit équilibrer le trafic sur les différentes lignes ADSL. Dans notre cas le trafic se fait principalement via un mandataire Web. L'algorithme Cisco classique original peut suffire. Cet algorithme route toutes les communications d'une adresse IPv4 donnée vers une autre adresse IPv4 donnée vers la même sortie. Si les sites web visités sont peu variés il vaut mieux passer sur l'algorithme universal qui ajoute les ports sources et destination dans les éléments de choix de la route de sortie. Cela peut se faire avec la commande

(config)# ip cef load-sharing algorithm universal

Pour la mascarade la configuration est de la forme :

access-list 1 permit 192.168.0.0 0.0.0.255  
route-map ADSL1 permit 10
 match ip address 1
 match interface Dialer1
!
route-map ADSL2 permit 10
 match ip address 1
 match interface Dialer2
!
ip nat inside source route-map ADSL1 interface Dialer1 overload
ip nat inside source route-map ADSL2 interface Dialer2 overload

Vous constatez que l'astuce consiste à passer par des route-map pour que la mascarade puisse se faire en bonne intelligence avec l'équilibrage de charge. Ne pas oublier d'ajouter les ip nat inside sur l'interface du réseau local et les ip nat outside dans les deux interfaces Dialer.

A noter : l'équilibrage n'a pas été testé avec cette configuration, les deux lignes ADSL n'ayant pas pu être opérationnelles simultanément avant l'acquisition de nouvelles cartes ADSL et le passage à un Cisco 2901.

Cette solution à base de 2621 est fonctionnelle mais toujours avec le défaut que les WICADSL1= ne sont pas suffisantes pour obtenir un débit satisfaisant avec les limitations ou défauts suivant :


Troisième approche Cisco C2900

2901 en baie

diagnostic

show dsl interface atm 0/1/0
show int ATM
show pppoe session


Solution idéale, routeur dédié