====== Le réseau chez Faimaison ======
~~TOC 2-5 ~~
===== Adresses IP =====
Le détail des attributions d'IP publiques aux membres est conservé administrativement sur [[https://moncoin.faimaison.net|coin]].
Le plan d'adressage de l'association est ici : [[adminsys:reseau:adressage]]. Oui, il s'agit bien d'un wikipam. :)
===== Routage =====
BGP et OSPF sont deux protocoles utilisés sur les routeurs de l'association. Actuellement il y en a deux : fresk et camber. Les deux utilisent le logiciel quagga.
Nous n'avons qu'un seul transitaire vers le reste d'Internet : Cogent, qui est aussi le bailleur de notre demi-baie au datacenter Cogent, sur l'île de Nantes. Nous sommes membres d'un point d'échange local nommé Ouest.Network.
Nous utilisons le protocole BGP pour communiquer avec ces entités.
Les adresses IP d'interconnexion BGP avec Cogent et Ouest.Network sont documentées sur [[adminsys:reseau:adressage|la page adressage]].
Le guide utilisateur de Cogent est [[https://www.cogentco.com/files/docs/customer_service/guide/global_cogent_customer_user_guide.pdf|disponible ici]].
==== Interconnexions entre les réseaux IP ====
FIXME schéma réseau pas à jour
{{ :adminsys:fma-network.svg |}}
===== Equipements réseaux =====
==== Routeurs ====
FIXME
==== Switches ====
Les switches nous permettent d'interconnecter les routeurs, les hyperviseurs et les machines physiques et virtuelles des adhérent-e-s. D'un point de vue logique les machines sont connectées à des sous-réseaux IP séparés grâce à des VLANS.
=== VLANS ===
* 44 : IX OUEST.NETWORK
* 174 : COGENT
* 1100 : MANAGEMENT
* 1200 : BACKBONE
* 1300 : ADHERENTS
* 1301 : ADHERENT OUEST.NETWORK
* 1401 : PROXMOX
* 1402 : PROXMOX VM FMA
* 1403 : PROXMOX VM Adhérents
=== Switch Cisco Catalyst 3750-24TS ===
Deux exemplaires rackés en baie. L'un est en actif, en production, l'autre est éteint et sert de rechange (spare).
Ces switches sont dotés de 24 ports Ethernet 1 Gigabit/s, dont 4 ports SFP (pour fibre otique etc).
Modèle : ''Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE10a, RELEASE SOFTWARE (fc3)''
Manuels :
* [[http://www.cisco.com/c/en/us/support/switches/catalyst-3750-24ts-switch/model.html|Accueil Catalyst 3750-24TS]]
* [[ http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_35_se/configuration/guide/scg.pdf|Software Configuration Guide]]
{{ :adminsys:switches-catalyst-3750-24ts-switch.jpg| }}
Utilisation des ports :
:!: NDLR : liste probablement pas à jour
tantad#sh int descr
Interface Status Protocol Description
Vl1 up down
Vl174 up up
Vl1100 up up
Gi1/0/1 up up fresk-backbone
Gi1/0/2 up up camber-backbone
Gi1/0/3 up up fresk-cogent
Gi1/0/4 up up camber-cogent
Gi1/0/5 down down gordon-r210-mgmt
Gi1/0/6 down down
Gi1/0/7 up up uplink-cogent
Gi1/0/8 up up interco-procurve
Gi1/0/9 up up dramm-hud
Gi1/0/10 up up mutine
Gi1/0/11 down down
Gi1/0/12 up up pdu-ubiquiti
Gi1/0/13 down down
Gi1/0/14 down down
Gi1/0/15 down down
Gi1/0/16 down down
Gi1/0/17 down down
Gi1/0/18 down down
Gi1/0/19 down down
Gi1/0/20 down down
Gi1/0/21 down down
Gi1/0/22 down down
Gi1/0/23 down down
Gi1/0/24 down down
Gi1/0/25 admin down down
Gi1/0/26 admin down down
Gi1/0/27 admin down down
Gi1/0/28 admin down down
== Port de transit ==
Cogent est connecté sur le port 25 du Cisco 3750. Le vlan d'interco est le vlan 174 (Cogent étant l'AS 174).
[[https://fr.wikipedia.org/wiki/Auto-n%C3%A9gociation_%28ethernet%29|L'autonégociation]] ne fonctionnant pas sur le port d'interco avec Cogent, il faut forcer le port en 1000Mbps full duplex.
* Cisco 3750
interface GigabitEthernet1/0/25
description uplink-cogent-fibre
switchport access vlan 174
switchport mode access
speed nonegotiate
=== Switch HP ProCurve 2510-24 ===
Manuels :
* [[http://www.hp.com/rnd/support/manuals/2510.htm|home]]
* [[http://cdn.procurve.com/training/Manuals/2510-MgmtCfg-Jan2008-59914761.pdf|manuel général]]
* [[http://cdn.procurve.com/training/Manuals/2510-Security-Jul2008-59914763.pdf|security]]
* [[http://cdn.procurve.com/training/Manuals/2510-AdvTrafficMgmt-Jan2008-59914762.pdf|QoS]]
{{ :adminsys:kommutator_hp_procurve_2510-24_j9019b.jpg?800 |}}
Utilisation des ports (probablement pas à jour) :
* 1
* 2
* 3
* 4
* 5 : adh
* 6
* 7
* 8
* 9
* 10
* 11 : management (ex: brancher un laptop au DC)
* 12 : interco switch 3750
* 13-24 : machines adhérents
* 25 fresk (Gb/s)
* 26 camber (Gb/s)
== Protected ports ==
Les machines adhérent (ports 13-24) sont en [[https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9|mode protected-port]]((parfois
appellé private VLAN)), qui les empêche de discuter entre eux sur le L2((les
//protected ports// ne peuvent discuter qu'avec les //unprotected ports//)).
Ils passent
donc par le routeur. Ce dernier doit alors faire office
de proxy ARP entre eux pour qu'ils puissent discuter entre eux en IPv4 :
sysctl net/ipv4/conf/eth0.1300/proxy_arp_pvlan=1
proxy_arp_pvlan - BOOLEAN
Private VLAN proxy arp.
Basically allow proxy arp replies back to the same interface
(from which the ARP request/solicitation was received).
This is done to support (ethernet) switch features, like RFC
3069, where the individual ports are NOT allowed to
communicate with each other, but they are allowed to talk to
the upstream router. As described in RFC 3069, it is possible
to allow these hosts to communicate through the upstream
router by proxy_arp'ing. Don't need to be used together with
proxy_arp.
This technology is known by different names:
In RFC 3069 it is called VLAN Aggregation.
Cisco and Allied Telesyn call it Private VLAN.
Hewlett-Packard call it Source-Port filtering or port-isolation.
Ericsson call it MAC-Forced Forwarding (RFC Draft).
Pour IPv6, pas besoin de paramètre sysctl sur le routeur. Vu qu'on donne un sous-réseau différent à chaque machine, elle passera naturellement par le routeur pour contacter les autres machines physiques.
== Filtrage MAC ==
On utilise un filtrage MAC "automatique" (//learn-mode static//) pour les ports adhérents (13-24) : seule la première adresse MAC observée sur le port est autorisée à parler.
Afficher l'adresse MAC enregistrée sur un port :
sh port-security 24
Oublier une adresse mac apprise en //static//, et donc enregistrer et accepter la prochaine machine à parler.
no port-security 24 mac-address 2465ba-b8c06b