Table des matières

Configuration réseau
- Matériel

Configuration réseau

Voir aussi la page adressage

Configuration du réseau dans la baie de Faimaison.

Objectifs :

isolation L2 : en différents VLAN et des machines adhérents entre elles
simplicité (⇒ robustesse) de la partie livraison du transit principal

Matériel

Switch Cisco Catalyst 3750-24TS

Deux exemplaires rackés en baie, un seul est sous tension.

Modèle : Cisco IOS Software, C3750 Software (C3750-IPSERVICESK9-M), Version 15.0(2)SE10a, RELEASE SOFTWARE (fc3)

Manuels :

Utilisation des ports :

tantad#sh int descr                                     
Interface                      Status         Protocol Description
Vl1                            up             down
Vl174                          up             up
Vl1100                         up             up
Gi1/0/1                        up             up       fresk-backbone
Gi1/0/2                        up             up       camber-backbone
Gi1/0/3                        up             up       fresk-cogent
Gi1/0/4                        up             up       camber-cogent
Gi1/0/5                        down           down     gordon-r210-mgmt
Gi1/0/6                        down           down      
Gi1/0/7                        up             up       uplink-cogent
Gi1/0/8                        up             up       interco-procurve
Gi1/0/9                        up             up       dramm-hud
Gi1/0/10                       up             up       mutine
Gi1/0/11                       down           down      
Gi1/0/12                       up             up       pdu-ubiquiti
Gi1/0/13                       down           down      
Gi1/0/14                       down           down      
Gi1/0/15                       down           down      
Gi1/0/16                       down           down      
Gi1/0/17                       down           down      
Gi1/0/18                       down           down      
Gi1/0/19                       down           down      
Gi1/0/20                       down           down      
Gi1/0/21                       down           down      
Gi1/0/22                       down           down      
Gi1/0/23                       down           down      
Gi1/0/24                       down           down      
Gi1/0/25                       admin down     down      
Gi1/0/26                       admin down     down      
Gi1/0/27                       admin down     down      
Gi1/0/28                       admin down     down

Switch HP ProCurve 2510-24

Manuels :

Utilisation des ports :

1
2
3
4
5 : adh : gordon r210
6
7
8
9
10
11 : management (ex: brancher un laptop au DC)
12 : interco switch 3750
13-24 : machines adhérents
- 13 : adh : capslock lap
- 14 : adh : gordon r210
- 15 : rien
- 16 : adh : opi nuc
- 17 : adh : serveur g
- 18 : adh : tetaneutral brix
- 19 : adh : guerby brix
- 20 : adh : kheops lap
- 21 : adh : gozmail lap
- 22
- 23
- 24
25 fresk (Gb/s)
26 camber (Gb/s)

Port de transit

Cogent est connecté sur le port 7 du Cisco 3750. Le vlan d'interco est le vlan 174 (Cogent étant l'AS 174).

L'autonégociation ne fonctionnant pas sur le port d'interco avec Cogent, il faut forcer le port en 100Mbps full duplex.

Linux : ajouter à l'interface concernée la ligne suivante dans /etc/network/interfaces :

  pre-up ethtool -s $IFACE speed 100 duplex full autoneg off

OpenBSD

# ifconfig $IFACE media 100baseTX mediaopt full-duplex

Cisco 3750

tantad#conf t
tantad(config)#int gi 1/0/7
tantad(config-if)#speed 100
tantad(config-if)# duplex full
tantad(config-if)# exit
tantad(config)#exit
tantad#write mem
Building configuration...
[OK]

Switching

FXME schéma à mettre à jour

source

VLANS

174 : COGENT
1100 : MANAGEMENT (dont IPMI)
1200 : BACKBONE
1300 : ADHERENTS

Protected ports

Les machines adhérent (ports 13-24) sont en mode protected-port¹⁾, qui les empêche de discuter entre eux sur le L2²⁾. Ils passent donc par le routeur. Ce dernier doit alors faire office de proxy ARP entre eux pour qu'ils puissent discuter entre eux :

sysctl net/ipv4/conf/eth0.1300/proxy_arp_pvlan=1

proxy_arp_pvlan - BOOLEAN
	Private VLAN proxy arp.
	Basically allow proxy arp replies back to the same interface
	(from which the ARP request/solicitation was received).

	This is done to support (ethernet) switch features, like RFC
	3069, where the individual ports are NOT allowed to
	communicate with each other, but they are allowed to talk to
	the upstream router.  As described in RFC 3069, it is possible
	to allow these hosts to communicate through the upstream
	router by proxy_arp'ing. Don't need to be used together with
	proxy_arp.

	This technology is known by different names:
	  In RFC 3069 it is called VLAN Aggregation.
	  Cisco and Allied Telesyn call it Private VLAN.
	  Hewlett-Packard call it Source-Port filtering or port-isolation.
	  Ericsson call it MAC-Forced Forwarding (RFC Draft).

: et l'IPv6 ?

Filtrage MAC

On utilise un filtrage MAC “automatique” (lean-mode static) pour les ports adhérents (13-24) : seule la première adresse MAC observée sur le port est autorisée à parler.

Afficher l'adresse MAC enregistrée sur un port :

sh port-security 24

Oublier une adresse mac apprise en static, et donc enregistrer et accepter la prochaine machine à parler.

no port-security 24 mac-address 2465ba-b8c06b

Niveau 3

Adressage public

Le détail des attributions IP publiques est conservé administrativement sur coin.

89.234.176.0/24
2a00:5883:4::/36

: subnetting

Interco

Management (dont IPMI)

→ Adresses de management

¹⁾

parfois appellé private VLAN

²⁾

les protected ports ne peuvent discuter qu'avec les unprotected ports