Project-Id-Version: Trac 0.12
Report-Msgid-Bugs-To: trac-dev@googlegroups.com
POT-Creation-Date: 2013-01-27 11:21+0900
PO-Revision-Date: 2010-07-19 23:05+0200
Last-Translator: Jeroen Ruigrok van der Werven <asmodai@in-nomine.org>
Language-Team: en_US <trac-dev@googlegroups.com>
Plural-Forms: nplurals=2; plural=(n != 1)
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Generated-By: Babel 0.9.6

Discussion/Routage – Trac ResEl
wiki:Discussion/Routage

Les Réseaux existants au ResEl

Les réseaux dans des Vlans

  • Vlan 990 Vlan d'interco avec l'école, et pool d'ips publiques
    • Rennes
      • 10.35.5.0/24 : interco privée Rennes entre Pessac (10.35.5.2) et l'ASR (10.35.5.1)
      • 192.44.77.64/29 : pool d'ips publiques Rennes :
        • 192.44.77.65 : flux propre Rennes porté par Peach
        • 192.44.77.66 : flux sale Rennes porté par Peach
        • 192.44.77.67 : services ResEl Rennes porté par Peach
        • 192.44.77.68 : Proxmox Rennes
        • 192.44.77.69 : Ader
        • 192.44.77.70 : Pessac dans le vlan 990 (avec une VRF dmz)
    • Brest
      • 10.29.5.0/24 : interco privée Brest entre GrandOurs? (10.29.5.2) et l'ASR (10.29.5.1)
      • 192.108.116.128/29 : pool d'ips publique Brest :
        • 192.108.116.129 : flux propre Brest porté par Loli
        • 192.108.116.130 : flux sale Brest porté par Loli
        • 192.108.116.131 : services ResEl porté par Loli
        • 192.108.116.132 : Golf
        • 192.108.116.133 : Marité (VM), le reverse-proxy pour les sites admin
        • 192.108.116.134 : GrandOurs? dans le vlan 990 (dans une VRF dmz)
  • Vlan 991 / Brest Pas d'IP : Vlan pour l'export AoE sur Brest
  • Vlan 994 : Vlan IP publiques serveurs (.pub)
    • 172.22.42.0/23 à Brest
    • 172.23.42.0/23 à Rennes
  • Vlan 995 : Vlan inscription
    • 172.22.224.0/23 à Brest
    • 172.23.224.0/23 à Rennes (non mis en prod)
  • Vlan 996 : Vlan décontamination
    • 172.22.230.0/23 à Brest
    • 172.23.230.0/23 à Rennes
  • Vlan 997 : Vlan d'administration des serveurs (.adm)
    • 172.22.2.0/23 à Brest
    • 172.23.2.0/23 à Rennes
  • Vlan 998 : Vlan d'administration des équipements réseaux (.sw)
    • 172.22.0.0/23 à Brest
      • 172.22.0.0/24 - IP de switch
      • 172.22.1.0/24 - IP d'AP
    • 172.23.0.0./23 à Rennes
  • Vlan 999 : Vlan Utilisateurs Brest
    • 172.22.192.0/19 :
      • 172.22.199.0/24 : (.cop) serveurs avec une patte dans le 999 (echelon, TV )
      • 172.22.200.1 à 172.22.223.254 : plage des ips utilisateurs enregistrés
      • 172.22.226.0/22 : plage des ips utilisateurs non inscrits, sur le 999 (ie inscription via ethernet ou WLAN ResEl secure)
      • 172.22.228.0/23 : réseau invité (non mis en prod)
  • Vlan 168 : Vlan Utilisateurs Rennes
    • 172.23.199.0/24 : (.cop) serveurs avec une patte dans le 999 (echelon, TV )
    • 172.23.200.1 à 172.22.223.254 : plage des ips utilisateurs enregistrés
    • 172.23.224.0/22 : plage des ips utilisateurs non enregistré (ie inscription vlan 995)
    • 172.23.228.0/23 : réseau invité (pas en prod)

Reseaux dédiés sans Vlan

  • 172.22.150.0/24 : Interco Rennes-Brest tunnel GRE

Archi physique L2

Le Routage au ResEl

"Je vous parle d'un temps que les moins de 20 ans ne peuvent pas connaître." Voir le ticket Nouvelle DMZ / VRF / routage ResEl<->école

Brest

Le routeur par défaut des machines est grandours (172.22.43.254) pour les serveurs ayant une patte dans le vlan 994 (.pub).
Pour les serveurs ayant une patte uniquement dans le 997(.adm), la passerelle par defaut est go.adm (172.22.3.254). La route par défaut de GrandOurs? est Loli (172.22.42.1) sauf dans la VRF dmz (vlan 990) ou la route par défaut est 10.29.5.1 (l'ASR DISI).

Contextes de routage / VRF

Voir la page routage par VRF

Filtrage réseau admin

Pour filtrer le vlan 997 il y a des ACLs sur GO

grandours#sh ip access-lists
Extended IP access list FROM_ADM_NETWORK
    10 permit ip 172.22.2.0 0.0.1.255 172.23.2.0 0.0.1.255
    20 permit ip 172.22.2.0 0.0.1.255 172.22.0.0 0.0.1.255
    30 permit ip 172.22.2.0 0.0.1.255 host 172.22.3.254 (13229 matches)
    40 permit ip 172.22.2.0 0.0.1.255 host 172.22.42.1
    50 permit ip 172.22.2.0 0.0.1.255 host 172.16.23.2
    60 permit ip 172.22.2.0 0.0.1.255 host 172.22.199.232
    70 permit ip 172.22.2.0 0.0.1.255 host 193.50.97.146
    80 permit ip host 172.22.3.254 host 224.0.0.2 (4 matches)
    90 permit ip host 172.22.43.254 host 224.0.0.2
    100 permit tcp host 172.22.2.25 host 192.108.118.121
    110 permit tcp 172.22.2.0 0.0.1.255 172.22.92.0 0.0.0.255
    120 permit ip 172.22.2.0 0.0.1.255 172.23.0.0 0.0.1.255
    130 deny ip any any log (1664 matches)

on autorise donc en entrée de ce Vlan c'est a dire les paquets a autoriser a rentré sur l'interface go.adm

  • 997 brest -> 997 rennes
  • 997 brest -> 998 brest
  • 997 brest -> go.adm
  • 997 brest -> loli.pub
  • 997 brest
  • 997 brest

Le routage entre Rennes et Brest

Voila pour mémo les commandes qui vont bien pour monter les tunnels
sur Pessac :

ip tunnel add to_brest mode gre remote 192.44.76.8 local 192.44.77.81 ttl 255
ip link set to_brest up
ip addr add 172.22.150.35 dev to_brest 
iptables -A ext_to_gw -p gre -s 192.44.76.8 -j ACCEPT
iptables -A gw_to_ext -p gre -d 192.44.76.8 -j ACCEPT

iptables -N int_to_brest
iptables -N brest_to_int

iptables -A int_to_brest -j ACCEPT
iptables -A brest_to_int -j ACCEPT

iptables -o to_brest -A FORWARD -j int_to_brest
iptables -o to_brest -A OUTPUT -j int_to_brest

iptables -i to_brest -A FORWARD -j brest_to_int
iptables -i to_brest -A INPUT -j brest_to_int

ip route add 172.22.150.29 dev to_brest

sur loli

ip tunnel add to_rennes mode gre remote 192.44.77.65 local 192.44.76.8 ttl 255
ip link set to_rennes up
ip addr add 172.22.150.29 dev to_rennes
iptables -A ext_to_gw -p gre -s 192.44.77.81 -j ACCEPT
iptables -A gw_to_ext -p gre -d 192.44.77.81 -j ACCEPT

iptables -N int_to_rennes
iptables -N rennes_to_int

iptables -A int_to_rennes -j ACCEPT
iptables -A rennes_to_int -j ACCEPT

iptables -o to_rennes -A FORWARD -j int_to_rennes
iptables -o to_rennes -A OUTPUT -j int_to_rennes

iptables -i to_rennes -A FORWARD -j rennes_to_int
iptables -i to_rennes -A INPUT -j rennes_to_int


ip route add 192.168.0.0/24 dev to_rennes
ip route add 172.22.150.35 dev to_rennes

Une page bien: http://www.linux.com/howtos/Adv-Routing-HOWTO/lartc.tunnel.gre.shtml

Routage à Rennes

Comme à Brest le routage est effectué par un routeur : Pessac.

Les ACL sur GO

Visualiser les rejets

Exemple sur l'inteface Vlan997 :

interface Vlan997
 ip accounting access-violations

Utiliser la commande terminal monitor pour activer l'affichage du debug dans la fenêtre du terminal

grandours#show ip accounting access-violations
   Source           Destination              Packets               Bytes   ACL

Ce qu'il faudrait faire

  • Avoir un vrai firewall entre les VLAN, Grandours n'est pas statefull ce qui limite pas mal de chose. Il faudrait un PIX/ASA pour porter les Vlan et pouvoir faire un vrai Firewall :). Sinon une solution moins coûteuse serai de :
    • Virer la veille DMZ du reseau 10 (migrer baal donc)
    • Passez l'interface interne de Lily en trunk, creer les EthX:N pour chaque Vlan de facon a retirer le routage de Grandours pour le deporter du lily
    • Faire les regles IP tables qui vont bien
  • La solution "Lily" pose un problème, c'est un SPOF de plus, si elle tombe plus rien ne fonctionne (par contre on peut reintroduire le check du couple mac/ip). Il faut donc soit:
    • Une seconde machine "Lily" (voir les metres en Haute Dispo). Voir si la seconde Lily ne peut pas etre GO en utilisant HSRP/VRRP
    • Que Lily et GO fasse du routage dynamique de facon a ce que GO redevienne 'maitre' du routage si lily n'est plus la.

Page créée par jebabin et modifiée par tdelaby le 07/08/2016 14:48:15

Last modified 22 months ago Last modified on Aug 7, 2016, 2:48:15 PM

Attachments (3)

Download all attachments as: .zip