Cest quoi une zone OSPF ?

Bienvenue à tous dans ce nouveau chapitre qui clôt la partie sur les protocoles de routage avec CISCO. Vous avez appris à configurer un réseau grâce à EIGRP. Dans ce chapitre, vous allez apprendre à le faire avec OSPF, un protocole standard et très répandu depuis de nombreuses années. Maîtriser ce protocole vous permettra de configurer n'importe quel routeur du marché, et pas seulement les routeurs CISCO.

Allez, c’est parti !

Mettez-vous dans la peau d'un fournisseur d'accès Internet

//vimeo.com/577680507

Vous allez partir de la même topologie que dans le chapitre précédent sur EIGRP.

Pour rappel, voici la topologie :

Encore une fois, l’objectif est de créer un réseau interne, en l'occurrence celui d’un FAI (Fournisseur d'Accès Internet), comme Free par exemple. Il faut qu’au sein de ce réseau interne, chaque routeur puisse acheminer les paquets vers les bonnes adresses et pour cela vous allez configurer un protocole de routage OSPF. Une fois ce protocole configuré sur chaque routeur, un utilisateur lambda d’Internet pourra faire ses achats sur le site d’e-commerce.

Faites communiquer les routeurs d’Internet entre eux grâce à OSPF

Comme pour le chapitre sur EIGRP, vous allez commencer par configurer OSPF sur les routeurs 2, 3 et 4.

Grâce à la ligne de commande suivante, vous allez lancer le protocole OSPF sur le routeur 2. Le chiffre 1 indique un numéro de processus interne au routeur.

routeur2(config)#router ospf 1

Une fois OSPF lancé, vous n’avez plus qu’à indiquer quels réseaux vous souhaitez inclure dans OSPF.

routeur2(config-router)#network 223.0.0.0 0.0.0.255 area 0 routeur2(config-router)#network 223.0.1.0 0.0.0.255 area 0 routeur2(config-router)#network 223.0.2.0 0.0.0.255 area

Vous l’avez sûrement remarqué, ici, il s’agit d’un masque inversé (0.0.0.255 correspond à 255.0.0.0), comme pour la liste du NAT. C’est ici que vous notez de quelle area fait partie le réseau. Dans cet exemple, nous n’avons qu’une seule area.

Vous pouvez essayer par vous-même de configurer les routeurs 3 et 4. Si vous ne vous sentez pas prêt, la marche à suivre est indiquée ci-dessous.

Sur le routeur 3 :

routeur3(config)#router ospf 1 routeur3(config-router)#network 223.0.2.0 0.0.0.255 area 0 routeur3(config-router)#network 223.0.3.0 0.0.0.255 area 0 routeur3(config-router)#end

Sur le routeur 4 :

routeur4(config)#router ospf 1 routeur4(config-router)#network 223.0.1.0 0.0.0.255 area 0 routeur4(config-router)#network 223.0.3.0 0.0.0.255 area 0 routeur4(config-router)#network 223.0.4.0 0.0.0.255 area 0 routeur4(config-router)#end

Vos routeurs sont maintenant configurés. Passons au routeur 1 et à la BOX.

Installez la BOX de votre client

La BOX, comme le routeur 1, est un routeur un peu différent des trois autres routeurs. Leur différence réside dans le fait qu’ils utilisent le NAT pour rendre des réseaux privés accessibles (on dit qu’ils NAT les réseaux privés) alors que les autres routeurs n’ont pas de réseau privé. Leur configuration OSPF ne doit donc pas inclure ces réseaux privés.

Voilà la configuration de la BOX :

BOX(config)#router ospf 1 BOX(config-router)#network 223.0.4.0 0.0.0.255 area 0 BOX(config-router)#end

Comme vous pouvez le voir, vous ne devez pas inclure le réseau privé, c’est le NAT qui s’occupera de le rendre accessible. Le NAT peut-être vu comme un intermédiaire entre un réseau privé et un réseau public.

Reliez votre datacenter à Internet

Pour le routeur 1, celui du data center, il s’agit de la même configuration que la BOX. Comme vous l’avez compris, les réseaux privés ne doivent pas être inclus dans la configuration d’OSPF.

Voici la configuration du routeur 1 :

routeur1(config)#router ospf 1 routeur1(config-router)#network 223.0.0.0 0.0.0.255 area 0 routeur1(config-router)#end

Vos routeurs sont configurés, il ne vous reste plus qu’à vérifier avant de valider votre installation.

Vérifiez votre configuration

//vimeo.com/577680572

Afin de vérifier votre configuration, commencez par regarder les informations que vous donne OSPF. Connectez-vous au routeur 2 et entrez ces commandes :

routeur2#sh ip protocols Routing Protocol is "ospf 1"  Outgoing update filter list for all interfaces is not set  Incoming update filter list for all interfaces is not set  Router ID 223.0.2.2  Number of areas in this router is 1. 1 normal 0 stub 0 nssa  Maximum path: 4  Routing for Networks:     223.0.0.0 0.0.0.255 area 0     223.0.1.0 0.0.0.255 area 0     223.0.2.0 0.0.0.255 area 0  Routing Information Sources:     Gateway         Distance      Last Update     223.0.4.4            110      01:09:41     223.0.3.3            110      01:10:01  Distance: (default is 110)

Vous pouvez voir qu’OSPF :

• est bien lancé et qu’il route les réseaux 223.0.0.0/24, 223.0.1.0/24 et 223.0.2.0/24.

• possède un ID unique (pour le différencier des autres routeurs) est 223.0.2.2.. Vous pouvez le changer avec la commande router-id adresse-IP.

• n’appartient qu’à une seule area.

• possède deux passerelles (gateway), les routeurs 3 et 4. Les adresses

• que vous voyez sont leur ID pour OSPF.

Vous allez pouvoir enfin faire le tour du voisinage, pour vérifier l’état des routeurs voisins. Pour cela, rentrez la commande suivante :

routeur2#sh ip ospf neighbor Neighbor ID     Pri   State          Dead Time   Address     Interface 223.0.3.3         1   FULL/BDR        00:00:34    223.0.2.3       GigabitEthernet0/1 223.0.4.4         1   FULL/BDR        00:00:39    223.0.1.4       GigabitEthernet0/2 223.0.0.1         1   DOWN/DROTHER       -        223.0.0.1       GigabitEthernet0/0

Vous vous apercevez d’ailleurs que le routeur 1 est DOWN !

Mais ça veut dire quoi DOWN ?

Un voisin DOWN, c’est un voisin dont on n’a pas reçu de message HELLO mais qui est pourtant en mesure d’en recevoir. Vous vous rappelez qu’avec cette même commande sur EIGRP vous aviez des problèmes sur le routeur 1 ?

C’est en fait dû au port forwarding que nous avons configuré afin que les pings soient envoyés vers le serveur d’e-commerce. Comme nous transmettons tout, nous transmettons même le paquet d’OSPF et de EIGRP !

Ceci pour vous montrer comment cette commande vous permet de voir rapidement les problèmes sur votre réseau.

Il ne vous manque plus qu’à faire un ping depuis l’Utilisateur_Internet vers l’adresse 223.0.0.1 afin de voir s’il a accès au site d’e-commerce.

Voilà, vous êtes maintenant en mesure de créer de toutes pièces un réseau avec OSPF. Vous vous souvenez qu’il est possible de créer des zones, ou area, avec ce protocole ? C’est exactement ce que nous allons faire, en ajoutant un peu de complexité à notre topologie.

Étendez votre réseau

//vimeo.com/577680615

Vous l’avez vu dans le chapitre comparatif entre OSPF et EIGRP, OSPF peut diviser son réseau en plusieurs area (zone en français). Ces zones permettent de réduire le coût du calcul que demande OSPF, en limitant ce calcul à une seule zone. Les zones ensuite, délimitées par un routeur, ne s’échangent que des informations minimes. Par exemple, dans un réseau composé de 40 routeurs, chaque routeur possède 39 routes dans sa table. Si l’on sépare ses 40 routeurs en 2 zones de 20 routeurs, chaque routeur ne possède plus que 19 routes pour sa zone et 1 route vers l’autre zone.

C’est ce que vous allez faire, bien que votre topologie ne comprenne que quelques routeurs. Vous allez séparer l’Utilisateur_Internet et le placer dans une autre zone, comme ceci :

Faites communiquer vos deux zones

Dans le protocole OSPF, le routeur chargé de faire communiquer deux zones s’appelle un Area Border Router ou ABR. Il est placé entre la zone 0 que l’on appelle aussi la backbone area. Cette zone 0 est obligatoire lorsque vous avez plus d’une zone. De plus, chaque zone doit être reliée à la zone 0. Ainsi, si vous créez une zone 2, vous devez la brancher par un ABR sur la zone 0.

Regardons comment configurer un ABR. C’est très simple, il suffit d’ajouter les deux réseaux des deux zones.

On ajoute d’abord la zone 0.

ABR(config)#router ospf 1 ABR(config-router)#network 223.0.4.0 0.0.0.255 area 0

On ajoute ensuite la zone 1.

ABR(config-router)#network 223.0.10.0 0.0.0.255 area 1

Et on peut terminer la configuration.

ABR(config-router)#exit

Et voilà ! C’est fini, votre ABR est maintenant prêt à faire communiquer vos deux zones.

Vérifiez votre configuration

Pour vérifier votre configuration, regardez ce qu’il se passe sur la BOX, notamment comment elle dirige ses paquets vers une autre zone que la sienne.

BOX#show ip route Codes: L - local, C - connected, S - static, R - RIP, M - mobile, B - BGP       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2       E1 - OSPF external type 1, E2 - OSPF external type 2       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2       ia - IS-IS inter area, * - candidate default, U - per-user static route       o - ODR, P - periodic downloaded static route, H - NHRP, l - LISP       a - application route       + - replicated route, % - next hop override, p - overrides from PfR Gateway of last resort is not set      192.168.0.0/24 is variably subnetted, 2 subnets, 2 masks C        192.168.0.0/24 is directly connected, GigabitEthernet0/1 L        192.168.0.254/32 is directly connected, GigabitEthernet0/1 O IA  223.0.0.0/24 [110/4] via 223.0.10.1, 00:21:29, GigabitEthernet0/0 O IA  223.0.1.0/24 [110/3] via 223.0.10.1, 00:31:11, GigabitEthernet0/0 O IA  223.0.2.0/24 [110/4] via 223.0.10.1, 00:29:39, GigabitEthernet0/0 O IA  223.0.3.0/24 [110/3] via 223.0.10.1, 00:31:11, GigabitEthernet0/0 O IA  223.0.4.0/24 [110/2] via 223.0.10.1, 00:35:26, GigabitEthernet0/0      223.0.10.0/24 is variably subnetted, 2 subnets, 2 masks C        223.0.10.0/24 is directly connected, GigabitEthernet0/0 L        223.0.10.2/32 is directly connected, GigabitEthernet0/0

Comme vous pouvez le voir, la BOX connaît tous les réseaux de la zone 0. C’est le routeur ABR qui les lui a donnés. Vous pouvez voir devant les adresses O IA, ce qui signifie que la route vient d’une autre zone d’OSPF.

BOX#show ip ospf database OSPF Router with ID (223.0.10.2) (Process ID 1)                Router Link States (Area 1) Link ID         ADV Router      Age         Seq#       Checksum Link count 223.0.10.1      223.0.10.1      390         0x80000003 0x00A5DD 1 223.0.10.2      223.0.10.2      379         0x80000003 0x00A0E0 1                Net Link States (Area 1) Link ID         ADV Router      Age         Seq#       Checksum 223.0.10.2      223.0.10.2      379         0x80000002 0x004842                Summary Net Link States (Area 1) Link ID         ADV Router      Age         Seq#       Checksum 223.0.0.0       223.0.10.1      1559    0x80000001 0x001E51 223.0.1.0       223.0.10.1      120         0x80000002 0x000767 223.0.2.0       223.0.10.1      120         0x80000002 0x000666 223.0.3.0       223.0.10.1      120         0x80000002 0x00F07B 223.0.4.0       223.0.10.1      390         0x80000002 0x00DB9

C’est à partir de cette base qu’OSPF établit ses routes.

Passez maintenant au routeur ABR afin de vérifier comment les liens entre les deux zones s’organisent. Commencez par rechercher l’ID du routeur si vous ne lui avez pas attribué un ID vous-même, ou si vous ne vous en rappelez plus.

ABR#sh ip protocols Routing Protocol is "ospf 1"  Outgoing update filter list for all interfaces is not set  Incoming update filter list for all interfaces is not set  Router ID 223.0.10.1  It is an area border router  Number of areas in this router is 2. 2 normal 0 stub 0 nssa  Maximum path: 4  Routing for Networks:     223.0.4.0 0.0.0.255 area 0     223.0.10.0 0.0.0.255 area 1  Routing Information Sources:     Gateway         Distance      Last Update     223.0.2.2            110      00:06:36     223.0.3.3            110      00:05:46     223.0.4.4            110      00:08:06

Vous voyez ici que l’ID du routeur est 223.0.10.1. Il vous servira pour la prochaine commande où vous vérifierez les états de liens. Vous regarderez notamment quel message est envoyé d’un routeur à un autre.

ABR#sh ip ospf database router 223.0.10.1 OSPF Router with ID (223.0.10.1) (Process ID 1)                Router Link States (Area 0) LS age: 152  Options: (No TOS-capability, DC)  LS Type: Router Links  Link State ID: 223.0.10.1  Advertising Router: 223.0.10.1  LS Seq Number: 80000002  Checksum: 0x7910  Length: 36  Area Border Router  Number of Links: 1 !--- Voilà le contenu de la LSA pour la zone 0. Ici OSPF reconnaît que ce routeur est un ABR car il possède deux area (zone). Cette LSA est envoyée par le routeur 223.0.10.1, c’est-à-dire l’ABR. Il vous dit aussi qu’il n’a qu’un seul lien avec la zone 0.   Link connected to: a Transit Network   (Link ID) Designated Router address: 223.0.4.5   (Link Data) Router Interface address: 223.0.4.5   Number of MTID metrics: 0   TOS 0 Metrics: 1 !---Vous pouvez voir que le routeur désigné est le routeur 223.0.4.5.                Router Link States (Area 1)  LS age: 176 Options: (No TOS-capability, DC)  LS Type: Router Links  Link State ID: 223.0.10.1  Advertising Router: 223.0.10.1  LS Seq Number: 80000002  Checksum: 0xA7DC  Length: 36  Area Border Router  Number of Links: 1 !--- Voilà le contenu de la LSA pour la zone 1.   Link connected to: a Transit Network   (Link ID) Designated Router address: 223.0.10.2   (Link Data) Router Interface address: 223.0.10.1   Number of MTID metrics: 0   TOS 0 Metrics: 1         

Ce routeur envoie donc à ces deux zones l’information qu’il est un ABR. C’est ainsi que chaque zone attendra de lui la mise à jour des routes de l’autre zone.

Voilà, vous en savez un peu plus sur OSPF.

Mais pourquoi on a nommé le routeur 3, ASBR ?

Je vous explique tout de suite pourquoi.

Connectez votre réseau autonome au reste d’Internet

Votre réseau interne (ou système autonome) est donc créé et il fonctionne comme vous le souhaitez. Mais autonome ne veut pas forcément dire qu’il ne doit pas interagir avec d’autres systèmes autonomes. C’est d'ailleurs le principe même d’Internet. En effet, que ce soit avec OSPF ou EIGRP, vous devrez connecter votre réseau à un autre AS afin qu’il puisse communiquer avec le reste d’Internet. Et c’est à cela que sert un routeur ASBR.

L’ASBR est donc le routeur qui va communiquer avec le reste d’Internet, un peu comme le fait un ABR avec une autre zone. Sauf que cette fois-ci, l’autre réseau, vous ne le contrôlez pas. C’est par là que doit passer votre route par défaut. Tous les réseaux que votre réseau ne connaît pas iront directement vers le routeur connecté à votre ASBR.

Les protocoles qui permettent ces chemins s’appellent des BGP (pour Border Gateway Protocol). Ils dépassent le cadre de ce cours.

Vous venez de finir une partie compliquée et riche en nouveaux concepts :

• Les protocoles de routage :

  • À état de lien ;

  • À vecteur distance.

• Le protocole propriétaire et malgré tout ouvert EIGRP ;

• Le protocole standard OSPF.

Vous êtes maintenant en mesure de créer un réseau de A à Z. Mais de nos jours où le piratage informatique est une menace bien réelle, vous vous devez d’abord de sécuriser votre réseau. C’est justement ce que vous allez faire lors de la prochaine partie.

En résumé

• Pour lancer OSPF vous devez entrer la commande :

  • routeur(config)#  router ospf n°DeProcess  (à ne pas confondre avec le numéro d’area).

  • routeur2(config-router)#network adresseIP masqueInversé area n°Area

• Par routeur, vous devez ajouter tous les réseaux concernés par OSPF. Seuls les réseaux privés ne doivent pas être communiqués à OSPF.

• La commande  sh ip protocols  vous permet de voir quel est l’ID du routeur et sur quel réseau il est configuré.

• La commande s  how ip ospf neighbor  vous permet de voir le voisinage d’un routeur ainsi que l’état des liaisons faites avec les voisins.

• Un ABR est un routeur qui fait le lien entre deux zones. Pour le configurer, il suffit d’ajouter les réseaux sur lesquels il est branché ainsi que les zones. OSPF comprendra alors qu’il s’agit d’un ABR.

• Tous les ABR doivent être reliés à la zone 0.

• Un ASBR est un routeur qui fait le lien entre un AS et un autre AS (qu’il s’agit d’OSPF ou d’un autre protocole). Ce lien est fait grâce à BGP.

C'est quoi une zone OSPF ?

Quel est le principe du protocole OSPF ?

Quand utiliser OSPF ?

Quelles sont les principales caractéristiques du protocole OSPF ?