topologie hub & spoke avec le protocole pppoe · • ppp - point-to-point protocol (ppp) -...

Topologie Hub & Spoke avec le protocole PPPoEPhilippe Latu

philippe.latu(at)inetdoc.net

https://www.inetdoc.net

Résumé

Ce support de travaux pratiques est une illustrationd'une topologie réseau classique baptisée Hub &Spoke. Le Hub est un routeur qui concentre tousles flux des routeurs d'extrémités appelés Spoke.Les liaisons entre le Hub et les routeurs Spoke sontpoint à point et utilisent le protocole PPP. Avec lagénéralisation de la fibre optique dans les réseauxétendus (WAN), on doit encapsuler les trames PPPdans un VLAN Ethernet à l'aide de la technologiePPPoE.

Les manipulations proposées reprennent en grandepartie celles du support Routage inter-VLAN etprotocole PPPoE “contexte Cloud“ en les adaptant à latopologie en triangle.

Table des matières1. Copyright et Licence .............................................................................................................................. 1

1.1. Méta-information ........................................................................................................................ 11.2. Conventions typographiques ....................................................................................................... 21.3. Aide à la mise au point ............................................................................................................... 2

2. Topologie Hub & Spoke - Protocole PPPoE ............................................................................................. 33. Plan d'adressage pour les topologies en triangle ..................................................................................... 54. Routeur Hub (bleu) .............................................................................................................................. 135. Routeurs Spoke (vert) .......................................................................................................................... 186. Documents de référence ...................................................................................................................... 20

1. Copyright et LicenceCopyright (c) 2000,2020 Philippe Latu.Permission is granted to copy, distribute and/or modify this document under theterms of the GNU Free Documentation License, Version 1.3 or any later versionpublished by the Free Software Foundation; with no Invariant Sections, noFront-Cover Texts, and no Back-Cover Texts. A copy of the license is includedin the section entitled "GNU Free Documentation License".

Copyright (c) 2000,2020 Philippe Latu.Permission est accordée de copier, distribuer et/ou modifier ce document selonles termes de la Licence de Documentation Libre GNU (GNU Free DocumentationLicense), version 1.3 ou toute version ultérieure publiée par la Free SoftwareFoundation ; sans Sections Invariables ; sans Texte de Première de Couverture,et sans Texte de Quatrième de Couverture. Une copie de la présente Licence estincluse dans la section intitulée « Licence de Documentation Libre GNU ».

1.1. Méta-informationCet article est écrit avec DocBook XML sur un système Debian GNU/Linux. Il est disponible en version imprimableau format PDF : interco.pppoe.qa.pdf.

Toutes les commandes utilisées dans ce document ne sont pas spécifiques à une version particulière dessystèmes UNIX ou GNU/Linux. C'est la distribution Debian GNU/Linux qui est utilisée pour les tests présentés. Voiciune liste des paquets contenant les commandes :

• iproute2 - Outils de contrôle du trafic et du réseau

Topologie Hub & Spoke avec le protocole PPPoE 1

https://inetdoc.net/travaux_pratiques/interco.pppoe-cloud.qa/


http://www.docbook.org

https://www.debian.org

https://www.inetdoc.net/pdf/interco.pppoe.qa.pdf

Topologie Hub & Spoke avec le protocole PPPoE

• ifupdown - High level tools to configure network interfaces

• iputils-ping - Tools to test the reachability of network hosts

• iputils-tracepath - Tools to trace the network path to a remote host

• ppp - Point-to-Point Protocol (PPP) - daemon

• pppoe - PPP over Ethernet driver

1.2. Conventions typographiquesTous les exemples d'exécution des commandes sont précédés d'une invite utilisateur ou prompt spécifique auniveau des droits utilisateurs nécessaires sur le système.

• Toute commande précédée de l'invite $ ne nécessite aucun privilège particulier et peut être utilisée au niveauutilisateur simple.

• Toute commande précédée de l'invite # nécessite les privilèges du super-utilisateur.

1.3. Aide à la mise au pointAfin de résoudre les problèmes de connexion et de configuration, la journalisation système constitue le principalcanal d'information.

L'affichage des messages système est géré par le démon rsyslogd. Pour consulter ces messages, il faut lire lecontenu des fichiers du répertoire /var/log/. Dans le cas des travaux pratiques, les informations nécessaires à lamise au point des connexions réseau se trouvent dans le fichier /var/log/syslog.

Pour visualiser les dernières lignes d'un journal système à la console on peut utiliser la commande tail.$ tail -n 50 -f /var/log/syslog

Du point de vue droits sur le système de fichiers, la commande tail peut être utilisée au niveau utilisateur normaldès lors que celui-ci appartient au groupe adm. Les commandes id et groups permettent de connaître les groupesauxquels l'utilisateur courant appartient.



2. Topologie Hub & Spoke - Protocole PPPoELe Protocole Point à Point (PPP) est utilisé pour établir une communication directe entre deux hôtes. Il relie deuxrouteurs de façon logique au dessus d'une topologie de réseau physique qui peut comprendre divers composantset différentes technologies. Il permet aux deux extrémités en communication de négocier des paramètres detransmission tels que l'authentification, la compression et l'attribution d'adresses de couche réseau. Dans cedocument, on utilise le protocole PPP au dessus d'un réseau Ethernet qui représente la technologie mise enœuvre par un opérateur Internet.

Comme un Ethernet est par définition un réseau de diffusion, il est nécessaire d'introduire un protocoleintermédiaire appelé PPPoE qui sert à identifier les deux hôtes de la liaison logique point à point.

Ce support met en œuvre une “figure“ classique appelée topologie Hub & Spoke. Voici une description des rôlesdes différents routeurs de cette topologie.

Hub

Traduit mot à mot, le rôle Hub correspond à un concentrateur.

Il concentre tous les flux réseau des routeurs qui ont le rôle Spoke. En effet, les échanges entre deux routeursSpoke doivent passer par le routeur Hub.

On lui attribue aussi la fonction de Broadband Remote Access Server ou BRAS. Dans notre contexte, cettefonction se caractérise par le fait que ce routeur détient le plan d'adressage. C'est lui qui a la responsabilitéde délivrer les adresses IP lors de l'initiation de la session PPP.

Spoke

Le rôle Spoke correspond à un réseau d'extrémité au delà duquel on ne trouve aucune interconnexion. Lerouteur Spoke doit s'adresser au routeur Hub dès qu'il veut acheminer un flux réseau. Il s'agit bien d'unrouteur d'extrémité qui ne dispose d'aucun chemin alternatif pour joindre l'Internet.

Dans les réseaux domestiques, la «box» correspond bien au rôle Spoke dans la mesure où elle se voit attribuerdes adresses IPv4 et IPv6 publiques par le fournisseur d'accès Internet. Les seules informations qu'elle détientsont les authentifiants du client de l'opérateur.

Topologie entre deux routeurs Hub et Spoke avec PPPoE

Comme le montre le graphique ci-dessus, l'opérateur distingue 4 réseaux ou VLANs différents.

Raccordement Internet, Rouge

Ce réseau caractérise l'accès à l'Internet. Il s'agit de la dorsale de l'opérateur. Dans notre cas, le pland'adressage est défini dans le document Architecture réseau des travaux pratiques.

Management/Supervision, Violet

Ce réseau correspond à la gestion des équipements et à la supervision des liens en fibre optique. Il n'utiliseque des adresses de lien local IPv6.


images/pppoe-topology.png

https://inetdoc.net/travaux_pratiques/infra.tp/


Données de l'entreprise cliente, Orange

C'est sur ce réseau que la session PPP est établie. L'entreprise cliente s'authentifie auprès du BRAS del'opérateur et obtient en échange une adresse IPv4 et une adresse IPv6 qui permettent d'accéder à Internet.

Réseau de l'entreprise cliente, Vert

C'est le réseau des services hébergés sur son propre site par l'entreprise clients de l'opérateur. Ici, on choisitde déployer plusieurs conteneurs pour illustrer plusieurs hôtes ou serveurs dont le trafic doit transiter par lasession PPP.



3. Plan d'adressage pour les topologies en triangleTableau 1. Affectation des rôles, des numéros de VLANs, des adresses et des authentifiants - Groupe 1

Fédéraiondeplanètes

Rôle VLAN Numéro Type Destination Adresse/Authentification

Rouge - Passerelle - 172.17.64.129/25

2001:678:3fc:64::1/64

Violet 220 Lien local Spoke201 fe80:dc::1/64

Orange 221 Point à point Spoke201 10.22.1.1:10.22.1.2

Violet 222 Lien local Spoke202 fe80:de::1/64

Hub200


Violet 220 Lien local Hub200 fe80:dc::2/64

Orange 221 Authentifiants Hub200 5p0k201 / 0r4ng3201Spoke201

Vert 201 Passerelle - 10.20.1.1/24

fda0:7a62:c9::1/64

Violet 222 Lien local Hub200 fe80:de::2/64



fda0:7a62:ca::1/64


2001:678:3fc:87::1/64

Violet 224 Lien local Spoke211 fe80:e0::1/64



Hub210


Violet 224 Lien local Hub210 fe80:e0::2/64



fda0:7a62:d3::1/64


Orange 227 Authentifiants Hub210 5p0k212 / 0r4ng3212

ChristophsisCorelliaDelaya

Spoke212Vert 212 Passerelle - 10.21.2.1/24

fda0:7a62:d4::1/64


2001:678:3fc:65::1/64


KashyyykKorribanKessel

Hub220











fda0:7a62:dd::1/64




fda0:7a62:de::1/64


2001:678:3fc:88::1/64



Violet 234 Lien local Spoke232 fe80:ea::1/64

Hub230





fda0:7a62:e7::1/64

Violet 234 Lien local Hub312 fe80:ea::2/64



fda0:7a62:e8::1/64


2001:678:3fc:66::1/64

Violet 236 Lien local Spoke241 fe80:ec::1/64


Violet 238 Lien local Spoke242 fe80:ee::1/64

Hub240


Violet 236 Lien local Hub240 fe80:ec::2/64


MygeetoNelvaanRattatak


fda0:7a62:f1::1/64





Violet 238 Lien local Hub240 fe80:ee::2/64



fda0:7a62:f2::1/64


2001:678:3fc:84::1/64

Violet 240 Lien local Spoke251 fe80:f0::1/64



Hub250


Violet 240 Lien local Hub250 fe80:f0::2/64



fda0:7a62:fb::1/64




fda0:7a62:fc::1/64


2001:678:3fc:69::1/64




Hub260





fda0:7a62:105::1/64




fda0:7a62:106::1/64

SaleucamiTarisTeth

Hub270Rouge - Passerelle - 172.20.131.33/29

2001:678:3fc:83::1/64







Violet 250 Lien local Spoke272 fe80:fa::1/64





fda0:7a62:10f::1/64

Violet 250 Lien local Hub270 fe80:fa::2/64



fda0:7a62:110::1/64


2001:678:3fc:6a::1/64

Violet 252 Lien local Spoke281 fe80:fc::1/64


Violet 254 Lien local Spoke282 fe80:fe::1/64

Hub280


Violet 252 Lien local Hub280 fe80:fc::2/64



fda0:7a62:119::1/64

Violet 254 Lien local Hub280 fe80:fe::2/64

Orange 255 Authentifiants Hub280 5p0k282 / 0rang3282Spoke282


fda0:7a62:11a::1/64


2001:678:3fc:82::1/64

Violet 256 Lien local Spoke291 fe80:100::1/64



Hub290


UtapauYavinZeffo

Spoke291 Violet 256 Lien local Hub290 fe80:100::2/64







fda0:7a62:123::1/64

Violet 258 Lien local Hub290 fe80:102::2/64



fda0:7a62:124::1/64

Tableau 2. Affectation des rôles, des numéros de VLANs, des adresses et des authentifiants - Groupe 2




2001:678:3fc:13b::1/64




Hub10



Orange 401 Authentifiants Hub10 5p0k11 / Gr33n11Spoke11


fda0:7a62:b::1/64




fda0:7a62:c::1/64


2001:678:3fc:14c::1/64




Hub20



Orange 405 Authentifiants Hub20 5p0k21 / Gr33n21

AlderaanBespinCentares


fda0:7a62:11::1/64








fda0:7a62:12::1/64


2001:678:3fc:13c::1/64



Violet 410 Lien local Spoke32 fe80:19a::1/64

Hub30





fda0:7a62:1f::1/64

Violet 410 Lien local Hub30 fe80:19a::2/64



fda0:7a62:20::1/64


2001:678:3fc:14b::1/64

Violet 412 Lien local Spoke41 fe80:19c::1/64


Violet 414 Lien local Spoke42 fe80:19e::1/64

Hub40


Violet 412 Lien local Hub40 fe80:19c::2/64



fda0:7a62:29::1/64

Violet 414 Lien local Hub40 fe80:19e::2/64


CoruscantDagobahEndor


fda0:7a62:2a::1/64

FeluciaGeonosis

Hub50Rouge - Passerelle - 192.168.12.17/29

2001:678:3fc:138::1/64





Violet 416 Lien local Spoke51 fe80:1a0::1/64




Violet 416 Lien local Hub50 fe80:1a0::2/64



fda0:7a62:33::1/64




fda0:7a62:34::1/64


2001:678:3fc:145::1/64




Hub60





fda0:7a62:3d::1/64



Hoth


fda0:7a62:3e::1/64


2001:678:3fc:137::1/64



Violet 426 Lien local Spoke72 fe80:1aa::1/64

Hub70


JakkuKaminoMustafar

Spoke71 Violet 424 Lien local Hub70 fe80:1a8::2/64







fda0:7a62:47::1/64

Violet 426 Lien local Hub70 fe80:1aa::2/64



fda0:7a62:48::1/64


2001:678:3fc:150::1/64

Violet 428 Lien local Spoke81 fe80:1ac::1/64


Violet 430 Lien local Spoke82 fe80:1ae::1/64

Hub80


Violet 428 Lien local Hub80 fe80:1ac::2/64



fda0:7a62:51::1/64

Violet 430 Lien local Hub80 fe80:1ae::2/64



fda0:7a62:52::1/64


2001:678:3fc:132::1/64

Violet 432 Lien local Spoke91 fe80:1b0::1/64



Hub90


Violet 432 Lien local Hub90 fe80:1b0::2/64



fda0:7a62:5b::1/64



NabooTatooineTython

Spoke92






fda0:7a62:5c::1/64


2001:678:3fc:14f::1/64




Hub100




Vert 101 Passerelle - 10.27.101.1/24

fda0:7a62:65::1/64



Vert 102 Passerelle - 10.27.102.1/24

fda0:7a62:66::1/64

Tableau 3. Affectation des rôles, des numéros de VLANs, des adresses et des authentifiants - Maquette


Rouge 300 Passerelle - 10.141.0.161/27

2001:678:3fc:12c::1/64

Violet 470 Lien local Spoke1 fe80:1d6::1/64


Violet 472 Lien local Spoke2 fe80:1d8::1/64

Hubbleu


Violet 470 Lien local Hub fe80:1d6::2/64

Orange 471 Authentifiants Hub 5p0k3_1 / 0r4ng3_1Spoke1Vert Vert 1 Passerelle - 10.0.1.1/24

fda0:7a62:1::1/64

Violet 472 Lien local Hub fe80:1d8::2/64

Orange 473 Authentifiants Hub 5p0k3_2 / 0r4ng3_2Spoke2Vert Vert 2 Passerelle - 10.0.2.1/24

fda0:7a62:2::1/64

4. Routeur Hub (bleu)Le rôle du routeur Hub est d'interconnecter un réseau de collecte opérateur (LAN) qui donne accès à l'Internetet plusieurs réseaux étendus (WAN) de raccordement de sites distants. Le routeur Hub assure aussi la fonction



Broadband Remote Access Server (BRAS). C'est la raison pour laquelle il détient les adresses IPv4 et IPv6 à attribueraux routeurs d'extrémité appelés Spoke.

Le routeur Hub doit aussi gérer l'encapsulation des trames PPP sur un réseau de diffusion Ethernet.

Cette section reprend essentiellement la partie Routeur Hub (bleu) du support Routage inter-VLAN et protocolePPPoE “contexte Cloud“. On doit cependant adapter la configuration des interfaces réseau du routeur Hub enajoutant un second jeu d'interfaces pour le deuxième site distant.

Q1. Dans quel fichier sont stockés les paramètres passés au démon pppd lors du lancement du serveurPPPoE ?

Consulter les pages de manuels de l'outil pppoe-server.

C'est le fichier /etc/ppp/pppoe-server-options qui contient la liste des paramètres utilisés lors du dialoguePPP.

Ce fichier contient tous les paramètres communs aux deux démons pppd qui sont lancés via pppoe-server.

Q2. Comment créer les comptes utilisateurs locaux sur le routeur Hub sachant qu'ils ne sont autorisés ni à seconnecter ni à avoir un répertoire personnel ?

Consulter les options de la commande adduser.

Voici un exemple dans le contexte de la maquette.etu@HubBleu:~$ sudo adduser --disabled-login --no-create-home --force-badname 5p0k3_1Autorise l'usage de noms d'utilisateur critiquables.Ajout de l'utilisateur « 5p0k3_1 » ...Ajout du nouveau groupe « 5p0k3_1 » (1002) ...Ajout du nouvel utilisateur « 5p0k3_1 » (1002) avec le groupe « 5p0k3_1 » ...Le répertoire personnel « /home/5p0k3_1 » n'a pas été créé.Changing the user information for 5p0k3_1Enter the new value, or press ENTER for the default Full Name []: Spoke 1 Room Number []: Work Phone []: Home Phone []: Other []:Cette information est-elle correcte ? [O/n]

etu@HubBleu:~$ sudo adduser --disabled-login --no-create-home --force-badname 5p0k3_2Autorise l'usage de noms d'utilisateur critiquables.Ajout de l'utilisateur « 5p0k3_2 » ...Ajout du nouveau groupe « 5p0k3_2 » (1003) ...Ajout du nouvel utilisateur « 5p0k3_2 » (1003) avec le groupe « 5p0k3_2 » ...Le répertoire personnel « /home/5p0k3_2 » n'a pas été créé.Changing the user information for 5p0k3_2Enter the new value, or press ENTER for the default Full Name []: Spoke 2 Room Number []: Work Phone []: Home Phone []: Other []:Cette information est-elle correcte ? [O/n]

Q3. Dans quel fichier sont stockés les paramètres d'identité et d'authentification utilisés par le protocoleCHAP ?

Consulter les pages de manuels du démon pppd à la section AUTHENTICATION.

C'est le fichier /etc/ppp/chap-secrets qui contient les couples login/password utilisés lors del'authentification.

Q4. Comment ajouter les authentifiants des deux routeurs Spoke dans le fichier d'authentification CHAP ?

Voici une copie du fichier dans le contexte de la maquette. Seuls les noms d'utilisateur et les mots de passecomptent.# Secrets for authentication using CHAP# client server secret IP addresses"5p0k3_1" * "0r4ng3_1" *"5p0k3_2" * "0r4ng3_2" *


https://inetdoc.net/travaux_pratiques/interco.pppoe-cloud.qa/interco.pppoe-cloud.qa.hub.html




Q5. Relativement au support Routage inter-VLAN et protocole PPPoE “contexte Cloud“, quel paramètresupplémentaire doit être ajouté à la configuration de la commande pppoe-server pour distinguer leséchanges entre les deux routeurs Spoke ?

Consulter les options de la commande pppoe-server.

L'option -u permet de désigner une “unité“ qui sert à nommer l'interface. Par exemple, -u 0 correspondà l'interface ppp0.

Q6. Comment éditer le fichier /etc/network/interfaces pour ouvrir le raccordement des deux sites distants ?

Reprendre la configuration du support Routage inter-VLAN et protocole PPPoE “contexte Cloud“ en lacomplétant.

• Ajouter l'option -u suivie du numéro de l'intreface ppp utilisée pour la session vers un site ditant donné.Ce numéro conditionne l'ajout des routes statiques vers les réseaux de conteneurs.

• Ajouter une condition spécifique à l'arrêt du processus pppoe-server relatif à un site distant unique. Il nefaut pas que l'arrêt d'une liaison vers un site provoque l'arrêt de toutes les liaisons.

Voici une copie du fichier de configuration réseau système dans le contexte de la maquette.# This file describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interfaceauto loiface lo inet loopback

# The primary network interfaceauto enp0s6iface enp0s6 inet manual up ip link set dev $IFACE up down ip link set dev $IFACE down

# ---------- VLAN ROUGE ----------auto enp0s6.300iface enp0s6.300 inet static address 10.141.0.162/27 gateway 10.141.0.161 dns-nameserver 9.9.9.9

iface enp0s6.300 inet6 static address 2001:678:3fc:12c::2/64 gateway 2001:678:3fc:12c::1

# ---------- VLAN VIOLET SPOKE 1 -auto enp0s6.470iface enp0s6.470 inet6 static address fe80:1d6::1/64

# ---------- VLAN ORANGE SPOKE 1 -auto enp0s6.471iface enp0s6.471 inet manual up ip link set dev $IFACE up up pppoe-server -I $IFACE -C BRAS -L 10.47.1.1 -R 10.47.1.2 -N 1 -u 0 down kill $(ps aux | egrep "[pppoe]-server.*$IFACE" | tr -s [:blank:] | cut -d ' ' -f 2) down ip link set dev $IFACE down

# ---------- VLAN VIOLET SPOKE 2 -auto enp0s6.472iface enp0s6.472 inet6 static address fe80:1d8::1/64

# ---------- VLAN ORANGE SPOKE 2 -auto enp0s6.473iface enp0s6.473 inet manual up ip link set dev $IFACE up up pppoe-server -I $IFACE -C BRAS -L 10.47.3.1 -R 10.47.3.2 -N 1 -u 1 down kill $(ps aux | egrep "[pppoe]-server.*$IFACE" | tr -s [:blank:] | cut -d ' ' -f 2) down ip link set dev $IFACE down

Q7. Comment ajouter les routes statiques vers les réseaux locaux IPv4 et IPv6 de chaque site distant lors del'ouverture de la session PPP propre à un site ?





• Pour IPv4, il est possible d'utiliser l'adresse IP de l'extrémité de la liaison PPP pour désigner le routeurqui donne accès au réseau local distant. Cette possibilité est intéressante si on ne veut pas dépendredu numéro de l'interface PPP.

Dans notre cas, l'option -u du démon pppoe-server fixe le numéro d'interface PPP et on peut l'utiliserpour traiter la question.

• Pour IPv6, la liaison PPP n'utilise que des adresses de lien local générées dynamiquement puisqu'ils'agit d'un réseau de transit entre deux routeurs. Il est donc nécessaire d'utiliser le numéro d'interfacepour appliquer la route statique vers le réseau local d'un site donné.

Voici une copie du script exécutable /etc/ppp/ip-up.d/staticroute pour IPv4 qui utilise les adressesd'extérmités de la maquette. Ce choix manque de rigueur dans la mesure où on applique les routesstatiques pour tous les sites sans distinguer les sessions PPP.#!/bin/sh

if [ -z "${CONNECT_TIME}" ]; then ip route add 10.0.1.0/24 via 10.47.1.2 ip route add 10.0.2.0/24 via 10.47.3.2fi

Voici une copie du script exécutable /etc/ppp/ipv6-up.d/staticroute pour IPv6. Cette fois-ci, on distinguebien la route statique à appliquer en fonction de la session PPP.#!/bin/sh

if [ -z "${CONNECT_TIME}" ]; then case "${PPP_IFACE}" in "ppp0") ip -6 route add fda0:7a62:1::/64 dev ${PPP_IFACE} ;; "ppp1") ip -6 route add fda0:7a62:2::/64 dev ${PPP_IFACE} ;; esacfi

Q8. Comment tester la validité des tables de routage IPv4 et IPv6 pour chaque site distant après de l'ouverturede la session PPP ?

Après affichage des tables de routage on peut contacter une adresse IPv4 et une adresse IPv6 d'unconteneur de chaque site distant.

Attention ! Pour qu'un conteneur soit joignable, il faut qu'il ait été créé et configuré. Si ce n'est pas encorele cas au moment des tests, on doit se contenter des adresses du commutateur virtuel. Ce dernier testprésente un gros défaut : il ne qualifie pas la fonction routage du routeur Spoke.

Voici une série de copie d'écran valables dans le contexte de la maquette.

On commence par les tables de routages.$ ip route lsdefault via 10.141.0.161 dev enp0s6.300 onlink10.0.1.0/24 via 10.47.1.2 dev ppp010.0.2.0/24 via 10.47.3.2 dev ppp110.47.1.2 dev ppp0 proto kernel scope link src 10.47.1.110.47.3.2 dev ppp1 proto kernel scope link src 10.47.3.110.141.0.160/27 dev enp0s6.300 proto kernel scope link src 10.141.0.162

$ ip -6 route ls proto 3fda0:7a62:1::/64 dev ppp0 metric 1024 pref mediumfda0:7a62:2::/64 dev ppp1 metric 1024 pref mediumfe80::/10 dev ppp0 metric 1 pref mediumfe80::/10 dev ppp1 metric 1 pref mediumdefault via 2001:678:3fc:12c::1 dev enp0s6.300 metric 1024 onlink pref medium

On débute les tests ICMP par les adresses de passerelles des réseaux locaux des sites distants.



etu@HubBleu:~$ ping -q -c2 10.0.1.1PING 10.0.1.1 (10.0.1.1) 56(84) bytes of data.

--- 10.0.1.1 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1002msrtt min/avg/max/mdev = 0.744/1.025/1.307/0.281 msetu@HubBleu:~$ ping -q -c2 10.0.2.1PING 10.0.2.1 (10.0.2.1) 56(84) bytes of data.

--- 10.0.2.1 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1001msrtt min/avg/max/mdev = 0.672/0.953/1.235/0.281 ms

etu@HubBleu:~$ ping -q -c2 fda0:7a62:1::1PING fda0:7a62:1::1(fda0:7a62:1::1) 56 data bytes

--- fda0:7a62:1::1 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1001msrtt min/avg/max/mdev = 0.767/0.923/1.080/0.156 msetu@HubBleu:~$ ping -q -c2 fda0:7a62:2::1PING fda0:7a62:2::1(fda0:7a62:2::1) 56 data bytes

--- fda0:7a62:2::1 ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1001msrtt min/avg/max/mdev = 0.775/0.973/1.172/0.198 ms

Enfin, on teste la connectivité réseau avec les adresses d'un conteneur de chaque site distant.etu@HubBleu:~$ ping -q -c2 10.0.1.10PING 10.0.1.10 (10.0.1.10) 56(84) bytes of data.


etu@HubBleu:~$ ping -q -c2 fda0:7a62:1:0:216:3eff:feda:e1aPING fda0:7a62:1:0:216:3eff:feda:e1a(fda0:7a62:1:0:216:3eff:feda:e1a) 56 data bytes

--- fda0:7a62:1:0:216:3eff:feda:e1a ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1001msrtt min/avg/max/mdev = 0.824/1.527/2.230/0.703 ms

etu@HubBleu:~$ ping -q -c2 10.0.2.10PING 10.0.2.10 (10.0.2.10) 56(84) bytes of data.


etu@HubBleu:~$ ping -q -c2 fda0:7a62:2:0:216:3eff:feda:e1aPING fda0:7a62:2:0:216:3eff:feda:e1a(fda0:7a62:2:0:216:3eff:feda:e1a) 56 data bytes

--- fda0:7a62:2:0:216:3eff:feda:e1a ping statistics ---2 packets transmitted, 2 received, 0% packet loss, time 1001msrtt min/avg/max/mdev = 0.698/1.350/2.002/0.652 ms



5. Routeurs Spoke (vert)Dans le scénario défini dans la Section 2, « Topologie Hub & Spoke - Protocole PPPoE », un routeur de sited'extrémité ou Spoke ne peut accéder aux autres réseaux que via le routeur Hub. Son interface WAN joue donc lerôle de route par défaut pour le réseau local des hôtes hébergé sur un site distant.

Dans le contexte de ces manipulations, le réseau local de site est représenté par des conteneurs LXD raccordésà un commutateur virtuel.

Cette section, comme la précédente, reprend la partie Routeur Spoke (vert) du support Routage inter-VLAN etprotocole PPPoE “contexte Cloud“.

Les routeurs Spoke utilisent un démon pppd dans le VLAN Data (Orange) pour établir une session PPP avec lerouteur Hub.

Q9. Quelles sont les messages des journaux système qui montrent que la session PPP a bien été établie ?

Après avoir consulté la page Point-to-Point Protocol repérer les messages relatifs aux deux sous-couchesLCP et NCP du protocole PPP.

sur le routeur Spoke1vert de la maquette, on relève les messages suivants à l'aide de la commande grepppp /var/log/syslog :

• Lancement du démon pppd.Spoke1Vert pppd[2452]: Plugin rp-pppoe.so loaded.Spoke1Vert pppd[2453]: pppd 2.4.7 started by etu, uid 0

• Reconnaissance des extrémités de la liaison point à point avec le protocole PPPoESpoke1Vert pppd[2453]: Send PPPOE Discovery V1T1 PADI session 0x0 length 4Spoke1Vert pppd[2453]: dst ff:ff:ff:ff:ff:ff src b0:ad:ca:fe:00:65Spoke1Vert pppd[2453]: [service-name]Spoke1Vert pppd[2453]: Recv PPPOE Discovery V1T1 PADO session 0x0 length 36Spoke1Vert pppd[2453]: dst b0:ad:ca:fe:00:65 src b0:ad:ca:fe:00:64Spoke1Vert pppd[2453]: [AC-name BRAS] [service-name] [AC-cookie 6a f6 a2 45 86 95 b6 fa 0b 2c 52 13 fc d5 00 cf a5 09 00 00]Spoke1Vert pppd[2453]: Send PPPOE Discovery V1T1 PADR session 0x0 length 28Spoke1Vert pppd[2453]: dst b0:ad:ca:fe:00:64 src b0:ad:ca:fe:00:65Spoke1Vert pppd[2453]: [service-name] [AC-cookie 6a f6 a2 45 86 95 b6 fa 0b 2c 52 13 fc d5 00 cf a5 09 00 00]Spoke1Vert pppd[2453]: Recv PPPOE Discovery V1T1 PADS session 0x1 length 4Spoke1Vert pppd[2453]: dst b0:ad:ca:fe:00:65 src b0:ad:ca:fe:00:64Spoke1Vert pppd[2453]: [service-name]Spoke1Vert pppd[2453]: PADS: Service-Name: ''Spoke1Vert pppd[2453]: PPP session is 1Spoke1Vert pppd[2453]: Connected to b0:ad:ca:fe:00:64 via interface enp0s6.471

• Négociation des paramètres et authentification dans la sous-couche LCP.Spoke1Vert pppd[2453]: using channel 6Spoke1Vert pppd[2453]: Using interface ppp0Spoke1Vert pppd[2453]: Connect: ppp0 <--> enp0s6.471Spoke1Vert pppd[2453]: sent [LCP ConfReq id=0x1 <mru 1492> <magic 0x4b398629>]Spoke1Vert pppd[2453]: rcvd [LCP ConfReq id=0x1 <mru 1492> <auth chap MD5> <magic 0x7473b69b>]Spoke1Vert pppd[2453]: sent [LCP ConfAck id=0x1 <mru 1492> <auth chap MD5> <magic 0x7473b69b>]Spoke1Vert pppd[2453]: sent [LCP ConfReq id=0x1 <mru 1492> <magic 0x4b398629>]Spoke1Vert pppd[2453]: rcvd [LCP ConfAck id=0x1 <mru 1492> <magic 0x4b398629>]Spoke1Vert pppd[2453]: sent [LCP EchoReq id=0x0 magic=0x4b398629]Spoke1Vert pppd[2453]: rcvd [LCP EchoReq id=0x0 magic=0x7473b69b]Spoke1Vert pppd[2453]: sent [LCP EchoRep id=0x0 magic=0x4b398629]Spoke1Vert pppd[2453]: rcvd [CHAP Challenge id=0x92 <fa8f749ff6b35e08fb00710e1f8e55a961>, name = "HubBleu"]Spoke1Vert pppd[2453]: sent [CHAP Response id=0x92 <7b0d6d2f67a7394183249dab9f414278>, name = "5p0k3_1"]Spoke1Vert pppd[2453]: rcvd [LCP EchoRep id=0x0 magic=0x7473b69b]Spoke1Vert pppd[2453]: rcvd [CHAP Success id=0x92 "Access granted"]Spoke1Vert pppd[2453]: CHAP authentication succeeded: Access grantedSpoke1Vert pppd[2453]: CHAP authentication succeededSpoke1Vert pppd[2453]: peer from calling number B0:AD:CA:FE:00:64 authorized

• Attribution des adresses dans la sous-couche NCP. Ici, la lettre N est remplacée par IP pour le protocoleIPv4 et IPV6 pour le protocole IPv6.

En fin de copie d'écran, on relève le statut des scripts d'application des routes par défaut vers la liaisonPPP.


https://inetdoc.net/travaux_pratiques/interco.pppoe-cloud.qa/interco.pppoe-cloud.qa.spoke.html



https://en.wikipedia.org/wiki/Point-to-Point_Protocol


Spoke1Vert pppd[2453]: sent [IPCP ConfReq id=0x1 <addr 0.0.0.0> <ms-dns1 0.0.0.0> <ms-dns2 0.0.0.0>]Spoke1Vert pppd[2453]: sent [IPV6CP ConfReq id=0x1 <addr fe80::9c61:b636:c47b:6da7>]Spoke1Vert pppd[2453]: rcvd [CCP ConfReq id=0x1 <deflate 15> <deflate(old#) 15> <bsd v1 15>]Spoke1Vert pppd[2453]: sent [CCP ConfReq id=0x1]Spoke1Vert pppd[2453]: sent [CCP ConfRej id=0x1 <deflate 15> <deflate(old#) 15> <bsd v1 15>]Spoke1Vert pppd[2453]: rcvd [IPCP ConfReq id=0x1 <compress VJ 0f 01> <addr 10.47.1.1>]Spoke1Vert pppd[2453]: sent [IPCP ConfRej id=0x1 <compress VJ 0f 01>]Spoke1Vert pppd[2453]: rcvd [IPV6CP ConfReq id=0x1 <addr fe80::44e3:1233:8a57:4b9c>]Spoke1Vert pppd[2453]: sent [IPV6CP ConfAck id=0x1 <addr fe80::44e3:1233:8a57:4b9c>]Spoke1Vert pppd[2453]: rcvd [IPCP ConfNak id=0x1 <addr 10.47.1.2> <ms-dns1 172.16.0.2> <ms-dns2 172.16.0.2>]Spoke1Vert pppd[2453]: sent [IPCP ConfReq id=0x2 <addr 10.47.1.2> <ms-dns1 172.16.0.2> <ms-dns2 172.16.0.2>]Spoke1Vert pppd[2453]: rcvd [IPV6CP ConfAck id=0x1 <addr fe80::9c61:b636:c47b:6da7>]Spoke1Vert pppd[2453]: local LL address fe80::9c61:b636:c47b:6da7Spoke1Vert pppd[2453]: remote LL address fe80::44e3:1233:8a57:4b9cSpoke1Vert pppd[2453]: Script /etc/ppp/ipv6-up started (pid 2490)Spoke1Vert pppd[2453]: rcvd [CCP ConfAck id=0x1]Spoke1Vert pppd[2453]: rcvd [CCP ConfReq id=0x2]Spoke1Vert pppd[2453]: sent [CCP ConfAck id=0x2]Spoke1Vert pppd[2453]: rcvd [IPCP ConfReq id=0x2 <addr 10.47.1.1>]Spoke1Vert pppd[2453]: sent [IPCP ConfAck id=0x2 <addr 10.47.1.1>]Spoke1Vert pppd[2453]: rcvd [IPCP ConfAck id=0x2 <addr 10.47.1.2> <ms-dns1 172.16.0.2> <ms-dns2 172.16.0.2>]Spoke1Vert pppd[2453]: local IP address 10.47.1.2Spoke1Vert pppd[2453]: remote IP address 10.47.1.1Spoke1Vert pppd[2453]: primary DNS address 172.16.0.2Spoke1Vert pppd[2453]: secondary DNS address 172.16.0.2Spoke1Vert pppd[2453]: Script /etc/ppp/ip-up started (pid 2494)Spoke1Vert pppd[2453]: Script /etc/ppp/ipv6-up finished (pid 2490), status = 0x0Spoke1Vert pppd[2453]: Script /etc/ppp/ip-up finished (pid 2494), status = 0x0

Q10. Comment relever les adresses utilisées par les conteneurs LXD après installation et configuration ?

Rechercher dans la liste des options de la commande lxc, celle qui permet de lister les conteneurs présentssur le système.

Voici la liste des conteneurs actifs sur le premier site distant de la maquette. Les adresses IPv4 et IPv6utilisées apparaissent directement.etu@Spoke1Vert:~$ lxc ls+------------+---------+------------------+-----------------------------------------+-----------+-----------+| NAME | STATE | IPV4 | IPV6 | TYPE | SNAPSHOTS |+------------+---------+------------------+-----------------------------------------+-----------+-----------+| container0 | RUNNING | 10.0.1.10 (eth0) | fda0:7a62:1:0:216:3eff:feda:e1a (eth0) | CONTAINER | 0 |+------------+---------+------------------+-----------------------------------------+-----------+-----------+| container1 | RUNNING | 10.0.1.11 (eth0) | fda0:7a62:1:0:216:3eff:fec4:d325 (eth0) | CONTAINER | 0 |+------------+---------+------------------+-----------------------------------------+-----------+-----------+| container2 | RUNNING | 10.0.1.12 (eth0) | fda0:7a62:1:0:216:3eff:fe66:86fb (eth0) | CONTAINER | 0 |+------------+---------+------------------+-----------------------------------------+-----------+-----------+

Q11. Quelles sont les opérations à effectuer pour installer un service Web dans chaque conteneur ? Une foisl'installation du service effectuée, comment obtenir la liste des adresses sur lesquelles le service est enécoute ?

Installer le paquet lighttpd dans chaque conteneur et donner la liste des ports en écoute dans chaqueconteneur.

Partant de la liste des conteneurs obtenue à la question précédente, on installe les paquets lighttpd etlsof dans les conteneurs.$ for i in {0..2}; do lxc exec container$i -- apt install -y lighttpd lsof; done

Les services Web sont démarrés directement lors de l'installation des paquets et on peut lister les servicesouverts. etu@Spoke1Vert:~$ for i in {0..2}; do lxc exec container$i -- lsof -i; doneCOMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMElighttpd 1311 www-data 4u IPv4 1893171 0t0 TCP *:http (LISTEN)lighttpd 1311 www-data 5u IPv6 1893172 0t0 TCP *:http (LISTEN)COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMElighttpd 1310 www-data 4u IPv4 1893336 0t0 TCP *:http (LISTEN)lighttpd 1310 www-data 5u IPv6 1896204 0t0 TCP *:http (LISTEN)COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAMElighttpd 1310 www-data 4u IPv4 1902888 0t0 TCP *:http (LISTEN)lighttpd 1310 www-data 5u IPv6 1902889 0t0 TCP *:http (LISTEN)

Dans chaque conteneur, le port TCP/80 est ouvert pour les protocoles réseau IPv4 et IPv6.

La même liste peut être obtenue à l'aide de la commande ss.



etu@Spoke1Vert:~$ for i in {0..2}; do lxc exec container$i -- ss -ta; doneState Recv-Q Send-Q Local Address:Port Peer Address:Port ProcessLISTEN 0 1024 0.0.0.0:http 0.0.0.0:*LISTEN 0 1024 [::]:http [::]:*State Recv-Q Send-Q Local Address:Port Peer Address:Port ProcessLISTEN 0 1024 0.0.0.0:http 0.0.0.0:*LISTEN 0 1024 [::]:http [::]:*State Recv-Q Send-Q Local Address:Port Peer Address:Port ProcessLISTEN 0 1024 0.0.0.0:http 0.0.0.0:*LISTEN 0 1024 [::]:http [::]:*

Q12. Comment valider l'accès à ce service Web au niveau du routeur Spoke ?

Il s'agit de faire un test au niveau de la couche application. À la console, les deux outils adaptés sont wgetet curl.

Voici un exemple de test pour chaque protocole de la couche réseau avec wget dans le contexte de lamaquette.etu@Spoke1Vert:~$ for addr in 10.0.1.10 10.0.1.11 10.0.1.12; \do sh -c "wget -O /dev/null http://$addr 2>&1 | grep \"HTTP\" "; donerequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OK

etu@Spoke1Vert:~$ for addr in fda0:7a62:1:0:216:3eff:feda:e1a \fda0:7a62:1:0:216:3eff:fec4:d325 \fda0:7a62:1:0:216:3eff:fe66:86fb; \do sh -c "wget -O /dev/null http://[$addr] 2>&1 | grep \"HTTP\" "; donerequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OK

Q13. Comment valider les accès Web depuis le routeur Hub et depuis l'autre routeur Spoke ?

Il suffit de reprendre la même série de tests depuis les autres routeurs de la topologie.

Voici deux exemples de tests réalisés dans le contexte de la maquette.etu@HubBleu:~$ for addr in fda0:7a62:1:0:216:3eff:feda:e1a \fda0:7a62:1:0:216:3eff:fec4:d325 \fda0:7a62:1:0:216:3eff:fe66:86fb; \do sh -c "wget -O /dev/null http://[$addr] 2>&1 | grep \"HTTP\" "; donerequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OK

etu@Spoke2Vert:~$ for addr in fda0:7a62:1:0:216:3eff:feda:e1a \fda0:7a62:1:0:216:3eff:fec4:d325 \fda0:7a62:1:0:216:3eff:fe66:86fb; \do sh -c "wget -O /dev/null http://[$addr] 2>&1 | grep \"HTTP\" "; donerequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OKrequête HTTP transmise, en attente de la réponse… 200 OK

Q14. Est-il possible d'obtenir les mêmes résultats depuis un routeur extérieur au routeur Hub ?

Analyser la portée de la table de routage du routeur Hub.

La table de routage du routeur Hub sert uniquement à joindre les routeurs Spoke et à offrir uneconnectivité entre ces sites distants.

Comme les règles de traduction des adresses source IPv4 et IPv6 ont été implantées sur le routeur Hub,les réseaux de conteneurs ont accès à Internet mais ils ne sont pas accessibles depuis Internet.

Rendre ces services accessibles depuis l'Internet est un des objectifs du support de travaux pratiquessuivant : Filtrage réseau avec netfilter/iptables.

6. Documents de référence

The Point-to-Point Protocol (PPP)

RFC1661 The Point-to-Point Protocol (PPP) : Le protocole point-à-point PPP fournit une méthode standardde transport de datagrammes multi-protocoles sur des liaisons point à point. PPP comprend 3 composantsprincipaux :


https://inetdoc.net/travaux_pratiques/interco.netfilter.q/

https://www.rfc-editor.org/info/rfc1661


1. Une méthode d'encapsulation des datagrammes multi-protocoles.

2. Un protocole de contrôle de niveau liaison ou Link Control Protocol (LCP) pour établir, configurer et testerune connexion de données à ce niveau.

3. Une famille de protocoles de contrôle de niveau réseau pour établir et configurer différents protocolesde niveau réseau.

Configuration d'une interface de réseau local

Configuration d'une interface de réseau local : identification du type d'interface, de ses caractéristiques etmanipulations des paramètres. Ce support fournit une méthodologie de dépannage simple d'une connexionréseau.


https://inetdoc.net/travaux_pratiques/config.interface.lan/