Second volet du Skills Assessment ENCOR : même esprit (une topologie imposée à monter de bout en bout dans un temps limité), mais un objectif différent. Cette fois, il ne s'agit plus seulement de faire transiter du trafic, mais de le cloisonner : deux populations d'utilisateurs doivent cohabiter sur la même infrastructure physique sans jamais pouvoir se joindre.

Le scénario

Deux commutateurs de distribution (D1, D2) et trois routeurs de cœur (R1, R2, R3) relient deux sites au travers de deux VLANs : VLAN 13 (« special-users ») et VLAN 8 (« general-users »). Sur chaque routeur, une sous-interface 802.1Q distincte est créée par VLAN et rattachée à sa propre instance VRF-Lite (vrf special-users / vrf general-users) : deux tables de routage indépendantes cohabitent ainsi sur le même équipement, chacune avec son propre plan d'adressage IPv4 et IPv6.

Topologie du scénario 2 : commutateurs D1/D2, routeurs R1/R2/R3, VRF special-users et general-users, et sorties show ip vrf brief / show ip route vrf
Topologie et vérifications : schéma d'adressage des deux VRF et extraits des commandes show ip vrf brief, show ip route vrf et show ipv6 route vrf exécutées sur R2.

Les éléments clés de la topologie

  • Sous-interfaces 802.1Q : chaque liaison inter-routeur porte deux sous-interfaces (.1 pour special-users, .2 pour general-users), chacune encapsulée avec son tag VLAN et rattachée à sa VRF.
  • Étanchéité du routage : les commandes sh ip vrf brief, sh ip route vrf special-users et sh ip route vrf general-users confirment deux tables totalement disjointes : aucune route ne traverse d'une instance à l'autre.
  • Double pile sur chaque VRF : les réseaux 10.0.x.0/24 (IPv4) sont doublés d'équivalents IPv6 en 2001:DB8:ACAD:x::/64, vérifiables via sh ipv6 route vrf.
  • Accès utilisateurs : les commutateurs A1 et D1/D2 distribuent quatre postes (PC1 à PC4), deux par VRF, chacun recevant son adressage du domaine correspondant.

Compétences évaluées

  • Création et affectation d'instances VRF-Lite
  • Sous-interfaces et encapsulation 802.1Q
  • Routage IPv4 et IPv6 cloisonné par VRF
  • Vérification et lecture de tables de routage multiples
  • Conception d'une architecture réseau multi-tenant
  • Plan d'adressage cohérent sur deux domaines parallèles

L'enjeu de ce scénario est moins « est-ce que ça communique ? » que « est-ce que seul ce qui doit communiquer le fait ? », un réflexe de cloisonnement indispensable dès qu'un réseau héberge plusieurs clients, directions ou niveaux de confidentialité sur une même infrastructure.