MIKROTIK Inter-VRF routing using VRF LITE

Bonjour,
Dans ce nouvel article, je vais parler des la mise en place des VRF-LITE cette fois sur une plateforme Mikrotik. Comme vous le savez Mikrotik est une plateforme qui a fait d’énormes progrès dans la stabilisation de son kernel et de l’implémentation des technologies de service provider.
Les instances de routages et de forwarding virtuelles viennent répondre au besoin croissant de sécurité des réseaux, de segmentation des réseaux et sur le besoin de mise en place de solution virtuelles qui sont beaucoup plus moins chère
Les VRF permettent donc de construire des VPN (L3VPN), permettent la sécurisation des ressources et permettent l’utilisation en overlapping des adresses IP du réseau
Dans notre Topologie, nous allons mettre en place le routage inter-VRF sur les plateformes Mikrotik
Nous avons notre PE (Provider Edge qui est le RTR-YAOUNDE) et les autres villes sont des CE, l’ensemble de ces villes auront comme passerelle par défaut le cloud
Les connexions PE-CE sont mises en place grâce à OSPF












Première étape : Configuration des interfaces
Sur les CE (Bafoussam, Garoua, Douala)
Nous avons des adresses des Lan 192.168.x.0/24 les adresses de loopback qui seront utilisées pour les IGP 10.10.10.x

Exemple de configuration sur Bafoussam : 






La configuration est identique sur tous les autres routeurs
Configuration de OSPF au niveau du CE
La configuration de OSPF est des plus simples au niveau du CE, il suffit juste d’annoncer les différents réseaux en utilisant l’instance par défaut et en précisant notre routeur id

Sur Bafoussam, nous avons 













A ce stade comme OSPF n’est pas encore configure eu niveau de Yaounde qui est notre PE, nous ne devrions pas encore encore avoir de l’adjacence0



Configuration de OSPF au Niveau du PE
Contrairement aux routeurs Cisco ou l’ordre dans les configurations des VRF est importante au risque de configurer les interfaces n fois, chez mikrotik nous n’avons pas ce problème
Nous allons comme tout à l’heure commencer par configurer les interfaces 


Nous avons les loopback nécessaire à la mise en place de notre IGP

Configuration des VRF
Ensuite nous allons configurer les VRF













Au final pour tout les autres nous aurions quelque chose









Vous remarquez au niveau des import route Targets de Douala que seul Douala à les routes de tous les autres

Configuration de OSPF en tenant en compte les VRF
Nous allons commencer par créer des instances OSPF différentes


Dans cette instance, vous remarquez le router-id qui est le loopback du routeur que nous avions configuré, le default-information originate version mikrotik pour que les CE ait comme route par défaut l’adresse du PE et les différentes redistributions pour que les route présentent au niveau du PE arrivent au niveau des CE
Ensuite faut lier cette instance à une VRF



Une fois que les mêmes configurations sont appliquées sur les autres PE, nous devrions avoir une table de routage plus généreuse




Cote CE : GAROUA nous avons



VRF LEAKING (routage interVRF)
Nous avons deux façons de le mettre en place
En utilisant le routage statique ou en utilisant le protocole BGP, Pour la beauté j’ai un petit kiff pour BGP
Configuration de BGP
Nous allons donc configurer une instance BGP au niveau du PE



Ensuite nous allons configurer les sessions vpnv4



On peut toujours cocher BGP dans un cas ou la route par défaut par exemple est apprises au travers de BGP ou bien nous avons une session BGP dans cette VRF
Nous avons donc une table de routage au finish encore plus généreuse



Cote CE à DOUALA nous avons :



Test de connectivite
Douala – Bafoussam
Douala – Garoua



Bafoussam – Garoua : Nok



Notre routage inter-VRF est donc effectif
Petit Bonus
Nous allons configurer une VRF INTERNET et recevoir notre route par défaut à l’intérieur
VRF INTERNET 328168 :100

Mettons à jours les VRF



La VRF INTERNET ressemblera donc à ceci :



La VRF DOUALA quant à elle ressemblera à :





Bien vouloir noter les routes par défaut acquises par BGP

Test de connectivité:
Ping sur le nuage à partir de GAROUA



J’espère que ce labo vous aura plu, on se revoit bientôt avec de nouvelles configurations réseaux
Bye













Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

Bloquer l'utilisation de Facebook sur un routeur Mikrotik V6.29

Image
Bonjour chers tous, Aujourd'hui nous verrons comme nous pouvons empêcher de manière efficace à notre réseau  local d'aller sur Facebook L'optimisation de la ressource Internet est une question importante dans la productivité de chaque employé. Si un employé peut aller sur Facebook 24h/24 il va très vite se poser un problème de rendement. Pour palier à cette difficulté nous allons l' implémenter sur un RB1200 powerpc des règles pour bloquer Facebook de 08h30 à 12h CLIENT NTP  Si nous voulons utiliser la fonction, l’idéal est d'utiliser un serveur NTP  LAYER 7 PROTOCOLS # software id = ############## # /ip firewall layer7-protocol add name=FACEBOOK regexp="^.+(facebook).*\$" add name=FACBEOOK regexp="^.*(get|GET).+(facebook).*\$ MANGLE  nous allons marque les connexions en utilisant le le layer7 ainsi que les content "facebook" Nous allons les marquer sur les ports Tcp 80,443 /ip firewall mangle ...
Lire la suite

TRACEROUTE SUR CISCO ASA

Image
Bonjour à tous  Je partage avec vous un ce petit post qui pourra permettre à certains de gagner en temps  Il s'agit de faire fonctionner le traceroute avec un  ASA comme routeur. Quelques Rappels Comment est ce que le trafic traceroute est généré ? Les périphériques Linux et Cisco envoient des paquets UDP à un port pseudo-aléatoire pour construire la carte du réseau, la réponse sera un port ICDP UDP-inaccessible Windows utilise des messages ICMP avec une valeur TTL de 1, puis incrémente le saut par saut jusqu’à la réponse TTL exceeded Voici mon problème : Mon infrastructure est : J’utilise pour mon test les VPN anyCOnnect présent sur les ASA : Les configs : Resulats : En ligne de commande nous avons Avec internet qui est le nameif de mon interface connecté à internet ( sorte de outside) Prochainement nous allons verons  les differentes topologies VPN sur les cisco A...
Lire la suite