====== Le réseau chez Faimaison ======
~~TOC 2-5 ~~
===== Adresses IP =====

Le détail des attributions d'IP publiques aux membres est conservé administrativement sur [[https://moncoin.faimaison.net|coin]].

Le plan d'adressage de l'association est ici : [[adminsys:reseau:adressage]]. Oui, il s'agit bien d'un wikipam. :)

===== Routage =====

BGP et OSPF sont deux protocoles utilisés sur les routeurs de l'association. Actuellement il y en a deux : fresk et camber. Les deux utilisent le logiciel quagga.

Nous n'avons qu'un seul transitaire vers le reste d'Internet : Cogent, qui est aussi le bailleur de notre demi-baie au datacenter Cogent, sur l'île de Nantes. Nous sommes membres d'un point d'échange local nommé Ouest.Network.
Nous utilisons le protocole BGP pour communiquer avec ces entités.

Les adresses IP d'interconnexion BGP avec Cogent et Ouest.Network sont documentées sur [[adminsys:reseau:adressage|la page adressage]].

Le guide utilisateur de Cogent est [[https://www.cogentco.com/files/docs/customer_service/guide/global_cogent_customer_user_guide.pdf|disponible ici]].

==== Interconnexions entre les réseaux IP ====

FIXME schéma réseau pas à jour
{{ :adminsys:fma-network.svg |}}

===== Equipements réseaux =====
==== Routeurs ====

FIXME

==== Switches ====

Les switches nous permettent d'interconnecter les routeurs, les hyperviseurs et les machines physiques et virtuelles des adhérent-e-s. D'un point de vue logique les machines sont connectées à des sous-réseaux IP séparés grâce à des VLANS.

=== VLANS ===

  * 44 : IX OUEST.NETWORK
  * 174 : COGENT
  * 1100 : MANAGEMENT
  * 1200 : BACKBONE
  * 1300 : ADHERENTS
  * 1301 : ADHERENT OUEST.NETWORK
  * 1401 : PROXMOX
  * 1402 : PROXMOX VM FMA
  * 1403 : PROXMOX VM Adhérents

=== Switch Cisco Catalyst 3750-24TS ===

Deux exemplaires rackés en baie. L'un est en actif, en production, l'autre est éteint et sert de rechange (spare).
Ces switches sont dotés de 24 ports Ethernet 1 Gigabit/s, dont 4 ports SFP (pour fibre otique etc).

Modèle : ''Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE10a, RELEASE SOFTWARE (fc3)''

Manuels :
  * [[http://www.cisco.com/c/en/us/support/switches/catalyst-3750-24ts-switch/model.html|Accueil Catalyst 3750-24TS]]
  * [[ http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst3750/software/release/12-2_35_se/configuration/guide/scg.pdf|Software Configuration Guide]]

{{ :adminsys:switches-catalyst-3750-24ts-switch.jpg| }}
Utilisation des ports :
:!: NDLR : liste probablement pas à jour
<code>
tantad#sh int descr                                     
Interface                      Status         Protocol Description
Vl1                            up             down
Vl174                          up             up
Vl1100                         up             up
Gi1/0/1                        up             up       fresk-backbone
Gi1/0/2                        up             up       camber-backbone
Gi1/0/3                        up             up       fresk-cogent
Gi1/0/4                        up             up       camber-cogent
Gi1/0/5                        down           down     gordon-r210-mgmt
Gi1/0/6                        down           down      
Gi1/0/7                        up             up       uplink-cogent
Gi1/0/8                        up             up       interco-procurve
Gi1/0/9                        up             up       dramm-hud
Gi1/0/10                       up             up       mutine
Gi1/0/11                       down           down      
Gi1/0/12                       up             up       pdu-ubiquiti
Gi1/0/13                       down           down      
Gi1/0/14                       down           down      
Gi1/0/15                       down           down      
Gi1/0/16                       down           down      
Gi1/0/17                       down           down      
Gi1/0/18                       down           down      
Gi1/0/19                       down           down      
Gi1/0/20                       down           down      
Gi1/0/21                       down           down      
Gi1/0/22                       down           down      
Gi1/0/23                       down           down      
Gi1/0/24                       down           down      
Gi1/0/25                       admin down     down      
Gi1/0/26                       admin down     down      
Gi1/0/27                       admin down     down      
Gi1/0/28                       admin down     down
</code>

== Port de transit ==

Cogent est connecté sur le port 25 du Cisco 3750. Le vlan d'interco est le vlan 174 (Cogent étant l'AS 174).

[[https://fr.wikipedia.org/wiki/Auto-n%C3%A9gociation_%28ethernet%29|L'autonégociation]] ne fonctionnant pas sur le port d'interco avec Cogent, il faut forcer le port en 1000Mbps full duplex.

   * Cisco 3750
<code>
interface GigabitEthernet1/0/25
 description uplink-cogent-fibre
 switchport access vlan 174
 switchport mode access
 speed nonegotiate
</code>

===  Switch HP ProCurve 2510-24 ===

Manuels :
  * [[http://www.hp.com/rnd/support/manuals/2510.htm|home]]
  * [[http://cdn.procurve.com/training/Manuals/2510-MgmtCfg-Jan2008-59914761.pdf|manuel général]]
  * [[http://cdn.procurve.com/training/Manuals/2510-Security-Jul2008-59914763.pdf|security]]
  * [[http://cdn.procurve.com/training/Manuals/2510-AdvTrafficMgmt-Jan2008-59914762.pdf|QoS]]

{{ :adminsys:kommutator_hp_procurve_2510-24_j9019b.jpg?800 |}}

Utilisation des ports (probablement pas à jour) :
  * 1
  * 2
  * 3
  * 4
  * 5 : adh
  * 6
  * 7
  * 8
  * 9
  * 10
  * 11 : management (ex: brancher un laptop au DC)
  * 12 : interco switch 3750
  * 13-24 : machines adhérents
  * 25 fresk (Gb/s)
  * 26 camber (Gb/s)

== Protected ports ==

Les machines adhérent (ports 13-24) sont en [[https://fr.wikipedia.org/wiki/VLAN_priv%C3%A9|mode protected-port]]((parfois
appellé private VLAN)), qui les empêche de discuter entre eux sur le L2((les
//protected ports// ne peuvent discuter qu'avec les //unprotected ports//)). 
Ils passent
donc par le routeur. Ce dernier doit alors faire office
de proxy ARP entre eux pour qu'ils puissent discuter entre eux en IPv4 :

<code>
sysctl net/ipv4/conf/eth0.1300/proxy_arp_pvlan=1
</code>

<code>
proxy_arp_pvlan - BOOLEAN
	Private VLAN proxy arp.
	Basically allow proxy arp replies back to the same interface
	(from which the ARP request/solicitation was received).

	This is done to support (ethernet) switch features, like RFC
	3069, where the individual ports are NOT allowed to
	communicate with each other, but they are allowed to talk to
	the upstream router.  As described in RFC 3069, it is possible
	to allow these hosts to communicate through the upstream
	router by proxy_arp'ing. Don't need to be used together with
	proxy_arp.

	This technology is known by different names:
	  In RFC 3069 it is called VLAN Aggregation.
	  Cisco and Allied Telesyn call it Private VLAN.
	  Hewlett-Packard call it Source-Port filtering or port-isolation.
	  Ericsson call it MAC-Forced Forwarding (RFC Draft).
</code>

Pour IPv6, pas besoin de paramètre sysctl sur le routeur. Vu qu'on donne un sous-réseau différent à chaque machine, elle passera naturellement par le routeur pour contacter les autres machines physiques.

== Filtrage MAC ==

On utilise un filtrage MAC "automatique" (//learn-mode static//) pour les ports adhérents (13-24) : seule la première adresse MAC observée sur le port est autorisée à parler.

Afficher l'adresse MAC enregistrée sur un port :
<code>
sh port-security 24
</code>

Oublier une adresse mac apprise en //static//, et donc enregistrer et accepter la prochaine machine à parler.

<code>
no port-security 24 mac-address 2465ba-b8c06b
</code>