Route Based Policy sur Cisco
Introduction
Dans cet article nous allons aborder une notion de réseau, les route based policy
, c'est-à-dire du routage en fonction d'un réseau source. De mon côté j'ai utilisé cette fonctionnalité au cours d'une migration, cela est très utile lorsque vous avez plusieurs réseaux/interfaces pour sortir. Cela permet de dire spécifiquement à un réseau d'utiliser une passerelle ou next-hop
particulier.
Schéma
Vu qu'un schéma vaut mieux que 1000 explications :
Dans ce schéma, vu que la route par défaut pointe vers Router-1
, les réseaux 10 & 20 vont passer par ce routeur pour sortir sur Internet. Le but de la configuration dans notre exemple est de faire sortir le réseau 20 par le Router-2
sans modifier la route par défaut.
Explication
Dans mon exemple j'ai utilisé un Cisco 3750G avec la version 15.0(2)SE5
. Je vais passer la configuration par défaut ainsi que le routage, tout cela doit déjà être fait avant de faire les configurations qui vont suivre. Pour information le réseau 10 correspond au VLAN 10 et le réseau 20 au VLAN 20.
Dans un premier temps j'ai dû vérifier et changer le profil SDM de mon switch de niveau 3. Si vous réalisez l'opération sur un routeur, vous n'aurez probablement pas besoin de changer ce mode. Le mode SDM ou Switching Database Manager est un mode qui permet de changer les fonctionnalités de l'équipement par rapport à son emplacement ainsi qu'à sa fonction, car un le but est qu'un switch puisse être utilisé de plusieurs manières.
Par exemple sur les switchs Cisco comme les 3750, il permet de changer de modifier les fonctionnalités disponibles, il en existe 4 sur mon modèle. Le mode vlan
, qui va permettre seulement la commutation des paquets, c'est à dire transformer mon switch de niveau 3 en niveau 2. Le mode default,
qui est activé par défaut sur vos équipements et qui permet les fonctionnalités classiques d'un switch de niveau 3 (le mode access
est très proche du default
, c'est pour cela qu'il est ignoré), pour finir le mode routing
qui lui permet d'utiliser des fonctionnalités avancées au niveau du routage.
Dans notre cas nous allons utiliser le mode routing
.
Sources : https://www.fingerinthenet.com/cisco-sdm/
Configuration
Tout d'abord, vous pouvez vérifier le mode de votre équipement avec la commande show sdm prefer
, voici le résultat de mon côté avant le changement, le switch est en mode default
:
1ROUTER-3# show sdm prefer
2 The current template is "desktop default" template.
3 The selected template optimizes the resources in
4 the switch to support this level of features for
5 8 routed interfaces and 1024 VLANs.
6
7 number of unicast mac addresses: 6K
8 number of IPv4 IGMP groups + multicast routes: 1K
9 number of IPv4 unicast routes: 8K
10 number of directly-connected IPv4 hosts: 6K
11 number of indirect IPv4 routes: 2K
12 number of IPv6 multicast groups: 0
13 number of directly-connected IPv6 addresses: 0
14 number of indirect IPv6 unicast routes: 0
15 number of IPv4 policy based routing aces: 0
16 number of IPv4/MAC qos aces: 0.5K
17 number of IPv4/MAC security aces: 1K
18 number of IPv6 policy based routing aces: 0
19 number of IPv6 qos aces: 20
20 number of IPv6 security aces: 25
Attention, le changement de ce mode va également modifier beaucoup de choses sur votre équipement ! Comme le nombre d'adresses MAC utilisable ou encore le nombre d'hôte directement connecté. De mon côté j'ai réalisé des études avant de faire de changement. Je précise également qu'il faudra reload
l'équipement, et que de mon côté je n'ai eu aucune perte de configuration.
Il faut maintenant passer en mode configuration sur l'équipement et lancer le changement :
1configure terminal
2sdm prefer routing
3exit
4reload
Après le reload
, vérifiez que vous avez bien accès à votre équipement et relancez la commande show sdm prefer
, le résultat devrait être différent de la première fois :
1ROUTER-3# show sdm prefer
2 The current template is "desktop routing" template.
3 The selected template optimizes the resources in
4 the switch to support this level of features for
5 8 routed interfaces and 1024 VLANs.
6
7 number of unicast mac addresses: 3K
8 number of IPv4 IGMP groups + multicast routes: 1K
9 number of IPv4 unicast routes: 11K
10 number of directly-connected IPv4 hosts: 3K
11 number of indirect IPv4 routes: 8K
12 number of IPv6 multicast groups: 0
13 number of directly-connected IPv6 addresses: 0
14 number of indirect IPv6 unicast routes: 0
15 number of IPv4 policy based routing aces: 0.5K
16 number of IPv4/MAC qos aces: 0.5K
17 number of IPv4/MAC security aces: 1K
18 number of IPv6 policy based routing aces: 0
19 number of IPv6 qos aces: 20
20 number of IPv6 security aces: 25
On voit bien maintenant que nous pouvons réaliser des policy based routing
.
Vu que cette politique est basée sur une ACL, on va commencer par la créer :
1configure terminal
2ip access-list extended ACL_TEST
3permit ip 192.168.20.0 0.0.0.255 any
Maintenant il faut vérifier que l'ACL est bien présente :
1do sh access-list
2 Extended IP access list ACL_TEST
3 10 permit ip 192.168.20.0 0.0.0.255
On va maintenant créer la politique et attribuer le prochain saut :
1route-map TEST permit 10
2match ip address ACL_TEST
3set ip next-hop 10.2.0.2 (IP du Routeur-2)
Il suffit maintenant d'attribuer cette politique à notre VLAN 20, et c'est la fin de la configuration :
1interface vlan 20
2ip policy route-map TEST
On peut maintenant sauvegarder la configuration avec commande copy running-config startup-config
(en dehors du monde configuration).
Les tests
On peut maintenant tester l'accès depuis le réseau 10 avec un traceroute
:
1 1 1 ms 1 ms 1 ms 192.168.10.254
2 2 <1 ms <1 ms <1 ms 10.1.0.2
3 3 14 ms <1 ms <1 ms X.X.X.X
Et par le réseau 20 :
1 1 1 ms 1 ms 1 ms 192.168.20.254
2 2 <1 ms <1 ms <1 ms 10.2.0.2
3 3 14 ms <1 ms <1 ms X.X.X.X
Sources
- https://www.cisco.com/c/en/us/td/docs/ios-xml/ios/iproute_pi/configuration/15-mt/iri-15-mt-book/iri-pbr.html
- https://chinnychukwudozie.com/2013/09/08/configuring-policy-based-routing-on-cisco-ios-12/
Conclusion
Et voilà, la politique est en place et fonctionne de mon côté ! Je dois dire que cela m'a beaucoup aidé dans le cadre d'une migration, et que ça fonctionne très bien sur mon infrastructure.
J’espère que cet article vous aura plu, si vous avez des questions ou des remarques sur ce que j’ai pu écrire n’hésitez pas à réagir avec moi par mail ou en commentaire, surtout que je ne suis vraiment pas expert en réseau ! N’hésitez pas à me dire également si ce genre d’article vous plaît !
Merci pour votre lecture et à bientôt !