====== Configuration réseau ======
Voir aussi la page [[adminsys:reseau:adressage|adressage]]
Configuration du réseau dans la baie de Faimaison.
Objectifs :
* **isolation** L2 : en différents VLAN et des machines adhérents entre elles
* **simplicité** (=> robustesse) de la partie livraison du transit principal
===== Matériel =====
==== Switch Cisco Catalyst 3750-24TS ====
Deux exemplaires rackés en baie, un seul est sous tension.
Modèle : ''Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE10a, RELEASE SOFTWARE (fc3)''
Manuels :
* [[http://www.cisco.com/c/en/us/support/switches/catalyst-3750-24ts-switch/model.html|Accueil Catalyst 3750-24TS]]
* [[ http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_35_se/configuration/guide/scg.pdf|Software Configuration Guide]]
{{ :adminsys:switches-catalyst-3750-24ts-switch.jpg| }}
Utilisation des ports :
tantad#sh int descr
Interface Status Protocol Description
Vl1 up down
Vl174 up up
Vl1100 up up
Gi1/0/1 up up fresk-backbone
Gi1/0/2 up up camber-backbone
Gi1/0/3 up up fresk-cogent
Gi1/0/4 up up camber-cogent
Gi1/0/5 down down gordon-r210-mgmt
Gi1/0/6 down down
Gi1/0/7 up up uplink-cogent
Gi1/0/8 up up interco-procurve
Gi1/0/9 up up dramm-hud
Gi1/0/10 up up mutine
Gi1/0/11 down down
Gi1/0/12 up up pdu-ubiquiti
Gi1/0/13 down down
Gi1/0/14 down down
Gi1/0/15 down down
Gi1/0/16 down down
Gi1/0/17 down down
Gi1/0/18 down down
Gi1/0/19 down down
Gi1/0/20 down down
Gi1/0/21 down down
Gi1/0/22 down down
Gi1/0/23 down down
Gi1/0/24 down down
Gi1/0/25 admin down down
Gi1/0/26 admin down down
Gi1/0/27 admin down down
Gi1/0/28 admin down down
==== Switch HP ProCurve 2510-24 ====
Manuels :
* [[http://www.hp.com/rnd/support/manuals/2510.htm|home]]
* [[http://cdn.procurve.com/training/Manuals/2510-MgmtCfg-Jan2008-59914761.pdf|manuel général]]
* [[http://cdn.procurve.com/training/Manuals/2510-Security-Jul2008-59914763.pdf|security]]
* [[http://cdn.procurve.com/training/Manuals/2510-AdvTrafficMgmt-Jan2008-59914762.pdf|QoS]]
{{ :adminsys:kommutator_hp_procurve_2510-24_j9019b.jpg?800 |}}
Utilisation des ports :
* 1
* 2
* 3
* 4
* 5 : adh : gordon r210 :?:
* 6
* 7
* 8
* 9
* 10
* 11 : management (ex: brancher un laptop au DC)
* 12 : interco switch 3750
* 13-24 : machines adhérents
* 13 : adh : capslock lap
* 14 : adh : gordon r210
* 15 : rien
* 16 : adh : opi nuc
* 17 : adh : serveur g
* 18 : adh : tetaneutral brix
* 19 : adh : guerby brix
* 20 : adh : kheops lap
* 21 : adh : gozmail lap
* 22
* 23
* 24
* 25 fresk (Gb/s)
* 26 camber (Gb/s)
==== Port de transit ====
Cogent est connecté sur le port 7 du Cisco 3750. Le vlan d'interco est le vlan 174 (Cogent étant l'AS 174).
[[https://fr.wikipedia.org/wiki/Auto-n%C3%A9gociation_%28ethernet%29|L'autonégociation]] ne fonctionnant pas sur le port d'interco avec Cogent, il faut forcer le port en 100Mbps full duplex.
* Linux : ajouter à l'interface concernée la ligne suivante dans ///etc/network/interfaces// :
pre-up ethtool -s $IFACE speed 100 duplex full autoneg off
* OpenBSD
# ifconfig $IFACE media 100baseTX mediaopt full-duplex
* Cisco 3750
tantad#conf t
tantad(config)#int gi 1/0/7
tantad(config-if)#speed 100
tantad(config-if)# duplex full
tantad(config-if)# exit
tantad(config)#exit
tantad#write mem
Building configuration...
[OK]
==== Switching ====
FXME schéma à mettre à jour
{{ :adminsys:l1-2.svg?500 |}}
{{:adminsys:l1-2.dot.gz|source}}
=== VLANS ===
* 174 : COGENT
* 1100 : MANAGEMENT (dont IPMI)
* 1200 : BACKBONE
* 1300 : ADHERENTS
=== Protected ports ===
Les machines adhérent (ports 13-24) sont en [[https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9|mode protected-port]]((parfois
appellé private VLAN)), qui les empêche de discuter entre eux sur le L2((les
//protected ports// ne peuvent discuter qu'avec les //unprotected ports//)).
Ils passent
donc par le routeur. Ce dernier doit alors faire office
de proxy ARP entre eux pour qu'ils puissent discuter entre eux :
sysctl net/ipv4/conf/eth0.1300/proxy_arp_pvlan=1
proxy_arp_pvlan - BOOLEAN
Private VLAN proxy arp.
Basically allow proxy arp replies back to the same interface
(from which the ARP request/solicitation was received).
This is done to support (ethernet) switch features, like RFC
3069, where the individual ports are NOT allowed to
communicate with each other, but they are allowed to talk to
the upstream router. As described in RFC 3069, it is possible
to allow these hosts to communicate through the upstream
router by proxy_arp'ing. Don't need to be used together with
proxy_arp.
This technology is known by different names:
In RFC 3069 it is called VLAN Aggregation.
Cisco and Allied Telesyn call it Private VLAN.
Hewlett-Packard call it Source-Port filtering or port-isolation.
Ericsson call it MAC-Forced Forwarding (RFC Draft).
FIXME: et l'IPv6 ?
=== Filtrage MAC ===
On utilise un filtrage MAC "automatique" (//lean-mode static//) pour les ports adhérents (13-24) : seule la première adresse MAC observée sur le port est autorisée à parler.
Afficher l'adresse MAC enregistrée sur un port :
sh port-security 24
Oublier une adresse mac apprise en //static//, et donc enregistrer et accepter la prochaine machine à parler.
no port-security 24 mac-address 2465ba-b8c06b
==== Niveau 3 =====
=== Adressage public ===
Le détail des attributions IP publiques est conservé administrativement sur [[https://moncoin.faimaison.net|coin]].
* 89.234.176.0/24
* 2a00:5883:4::/36
FIXME: subnetting
=== Interco ===
FIXME
=== Management (dont IPMI) ===
-> [[adminsys:reseau:adressage|Adresses de management]]