Modifications entre les versions 61 et 62

Bureau afrique centrale et des grands lacs

Sommaire

Bureau afrique centrale et des grands lacs

Réseau

Responsable technique régional et local : WillyManga

Le schéma global du réseau à la DRACGL est le suivant:

      Camtel
      ------
        |
        |(195.24.196.113 - réseau 195.24.196.112/28) et (195.24.195.224/29) || 2001:4268:1a1:1000::/52
  +-----0------+ 
  | Cisco 1921 |
  +-----0------+
        | 192.168.200.1
        |
        |
        | 192.168.200.2
 +------0------+        supervision       backup2
 |             |          |                 |
 | PAREFEU     | .254     |.1               |.6                   10.45.0.0/24 || 2001:4268:1a1:1210::/64 (RPV-SVR)
 |             0----------0-----------------------------------------------------------~
 |             |
 |             |       SONDE 17901
 |             | .254     |  .12                                   192.168.35.0/24 || 2001:4268:1a1:1320::/64 (Sonde RIPE)
 |             0----------0----------------------------------------------------------~
 |             |
 |             | .225                                               195.24.195.224/29 (DMZ PUB 2)
 |             0---------------------------------------------------------------------~
 |             |
 |             |
 |             0----------0---------------------------------------------------------~
 |             | .1       |  .5                                        192.168.0.0/24 (Usager-svr)
 |             |    +-----0----+
 |             |    |          |
 |             |    | pfsense  |
 |             |    |          |
 |             |    +-----0----+    AP1.NOMADE       AP2.NOMADE
 |             |          | .5          |.10             |.11   ... 192.168.34.0/24 ||  2001:4268:1a1:1501::/64 (nomade)
 |             0----------0-------------0-----------------------------~
 |             |
 |             |
 |             |
 |             |     dns  radius  sql3      adu     smtp    amavis    mx
 |             |.1    |.3    |.15   |.12     |.11    |.5      |.6     |.7        ...       192.168.10.0/24  || 2001:4268:1a1:1310::/64(DMZ Prive)
 |             0------0------0------0--------0-------0--------0-------0-----------------~
 |             |
 |             |       SOGo   asterisk   Visio0   Visio     Visio2
 |             |.113    |.116   |.117    |.124     |.125    |.126              ...        195.24.196.112/28 || 2001:4268:1a1:1300::/64 (DMZ PUB)
 |             0--------0-------0--------0--------0---------0----------------------------------~
 |             |
 |             |       NFS
 |             | .1     |.11                                      10.45.1.0/24 || 2001:4268:1a1:1410::/64 (RPV personnel)
 |             0--------0------------------------------------------------------------~
 |             |        |
 |             |.254    |.1                                        192.168.30.0/24 || 2001:4268:1a1:1450::/64 (Salle formation)
 |             0--------0----------------------------------------------------------------------~ 
 |             |        |
 |             |.254    |.1                                       192.168.31.0/24 || 2001:4268:1a1:1440::/64 (Fablab) 
 |             0--------0----------------------------------------------------------------------~
 |             |        |
 |             |.254    |.1                                       192.168.32.0/24 || 2001:4268:1a1:1420::/64 (Salle prof)
 |             0--------0----------------------------------------------------------------------~
 |             |        |
 |             |.254    |.1                                       192.168.33.0/24 || 2001:4268:1a1:1430::/64 (Salle foad)
 |  PAREFEU    0--------0----------------------------------------------------------------------------~
 |             |
 |             |         
 |             |.254                                              192.168.36.0/24 || 2001:4268:1a1:1502::/64 (Extérieur)
 |             0-------------------------------------------------------------------------------------~
 |             |
 |             |
 |_____________|

réseau publique IPv4 195.24.196.112/28 et 195.24.195.224/29
réseau IPv6 2001:4268:1a1:1000::/52
- Serveur de virtualisation :
  - abui KVM

Tableau d'allocation des adresses IP publiques

Légende

n	Adresse IP utilisée
m	Adresse IP non utilisée
p	Adresse IP réservée pour du NAT
x	Adresse réseau ou broadcast

Le tableau

_195.24.196.112/28_

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

_195.24.195.224/29_

224

225

226

227

228

229

230

231

Par serveur

IP	Hostname	Description
195.24.195.226		utils3
195.24.195.228		listes
195.24.196.113	fw
195.24.196.114		smtp.cm.auf.org , smtp.cm.refer.org, dns
195.24.196.115	web	frontal,miroir
195.24.196.116	SOGo
195.24.196.117	VOIP
195.24.196.118		smtp-sortant.cm.auf.org, mail.cm.auf.org
195.24.196.119		SNAT personnel
195.24.196.120		ns3 (dnssec)
195.24.196.121		DMZ_partenaire
195.24.196.122		sonde ATLAS
195.24.196.123		NAT usager nomade
195.24.196.124	visio	visio directeur
195.24.196.125	visio	salle de réunion
195.24.196.126	visio	salle de formation

Sommaire

Tableau d'allocation des adresses IP privées

Tableau d'allocation des adresses IP privées

DMZ

IP	Hostname	Description
192.168.10.1	fw	parefeu
192.168.10.3	ns1	serveur DNS principal
192.168.10.4	sql	MySQL
192.168.10.5	smtp	smtp frontal
192.168.10.6	amavis	analyse intégrité courriel:spamassassin + clamav
192.168.10.7	mx	mail, smtp sortant
192.168.10.8	frontal	serveur web frontal
192.168.10.9	listes	serveur de listes
192.168.10.10	nfs	serveur NFS
192.168.10.11	webmail	webmail BACGL
192.168.10.13	sql2	MySQL (issu de l'ancien vz dont les db sont à migrer/supprimer progressivement
192.168.10.14	documents	documents.cm.auf.org Partage de fichiers sécurisé: sftp + https (avec ajaXplorer)
192.168.10.15	radius	webmail BACGL
192.168.10.17	asterisk-test
192.168.10.18	git.cm.auf.org
192.168.10.19	coursenligne.cm.auf.org
192.168.10.20	afripedia.cm.auf.org

RPV

10.45.0.0/24

IP	Hostname	Description
10.45.0.1	supervision	supervision, monitoring, log
10.45.0.2	abui	serveur de virtualisation
10.45.0.6	backup2	serveur de sauvegarde
10.45.0.7	ns1	CT DNS
10.45.0.8	radius
10.45.0.9	vz4	serveur kvm
10.45.0.254	fw

10.45.1.0/24

IP	Hostname	Description
10.45.1.10	nfs	serveur NFS
10.45.1.12	switch SV	switch salle serveur
10.45.1.13	switch salle prof
10.45.1.14	switch2 SF	switch 2 salle formation
10.45.1.15	RTR	...
10.45.1.16	switch1 SFOAD	switch 1 salle foad
10.45.1.17	switch1 SCOMMIS	switch 1 salle commis
10.45.1.18	switch2 SCOMMIS	switch 2 salle commis
10.45.1.19	switch1 SF	switch 1 salle formation
10.45.1.20	imprimante3	imprimante laser couleur
10.45.1.25	scanner
10.45.1.51	imprimante1
10.45.1.53	imprimante2
10.45.1.[30-80]	IP personnel	adresses attribuées automatiquement aux personnels AUF
10.45.1.[81-100]	IP portables	adresses attribuées automatiquement aux portables AUF
10.45.1.[101-120]	IP anonymes	adresses attribuées automatiquement par DHCP à d'autres postes
10.45.1.181	sql	sql (CT sql)
10.45.1.182	ns2	ns2.cm.auf (CT DNS)
10.45.1.183	leo	serveur de virtualisation
10.45.1.184	documents.cm.auf	serveur de partage de fichiers : sftp + webftp(ajaXplorer)
10.45.1.185	cache	cache web

Salle Formation

IP	Hostname	Description
192.168.30.1	nfs	serveur NFS
192.168.30.[30-120]	ip attribuée	adresses attribuées automatiquement par DHCP

Salle Prof

IP	Hostname	Description
192.168.32.1	nfs	serveur NFS
192.168.32.[30-120]	ip attribuée	adresses attribuées automatiquement par DHCP

Salle FOAD

IP	Hostname	Description
192.168.30.1	nfs	serveur NFS
192.168.33.[30-200]	ip attribuée	adresses attribuées automatiquement par DHCP

Sommaire

Usage d'IPv6

Usage d'IPv6

Les développements présentés sur redmine #10712 .

Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local ¹
extrait fichier d'interfaces sur la passerelle

auto eth0.2
iface eth0.2 inet static
        address 192.168.200.2
        netmask 255.255.255.0
        vlan-raw-device eth0
        up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113
        up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254
        up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2
        up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2

# Vlan personnel
# v6 CAMTEL 2001:4268:1a1:1410::/64
auto eth0.20
iface eth0.20 inet static
        address 10.45.1.1
        netmask 255.255.255.0
        vlan-raw-device eth0
 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20
 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20

adressage via radvd . Extrait

#salle formation
#v6 CAMTEL
# 2001:4268:1a1:1450::/64
interface eth0.30
{
   AdvSendAdvert on;
   RDNSS 2001:4268:1a1:1310::2  {};
   prefix 2001:4268:1a1:1450::/64
   {
   };
};};

éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple

net.ipv6.conf.ethxx.autoconf=0
net.ipv6.conf.ethxx.accept_ra=0

Répartition

On prend notre /52 qu'on découpe en plusieurs /56

Préfixe générique	Réseau	Usage
2001:4268:1a1:1X00::/56	2001:4268:1a1:1100:/56	VOIP
	2001:4268:1a1:1200::/56	RPV_SVR , réseau d'administration
	2001:4268:1a1:1300::/56	DMZ
	2001:4268:1a1:1400::/56	(Usagers: personnel, prof,étudiants)
	2001:4268:1a1:1500::/56	Nomade
	2001:4268:1a1:1600::/56	...
	...	...

A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.
$/!\$ Portail captif de pfSense ne supporte pas (encore) IPv6 ²

Réseau Usagers

Dans chaque réseau on prend le premier /64 disponible...
L'adressage via SLAAC (radvd) partout .

Préfixe générique	Réseau	Usage
2001:4268:1a1:14X0::/60	2001:4268:1a1:1410:/60	Personnel
	2001:4268:1a1:1420::/60	Prof
	2001:4268:1a1:1430::/60	Foad
	2001:4268:1a1:1440::/60	Biblio
	2001:4268:1a1:1450::/60	Formation

Firewall

Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options³ ) C'est pour cela qu'on a ceci dans le script du parefeu

for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem'
do
    $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT
    $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT
done

Reverse DNS

Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails #10476

Extrait de whois -h whois.afrinic.net -d 2001:4268:1a1::/48

% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa'

domain:         1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa
descr:          Reverse DNS for AUF Network
descr:          Yaounde for IPv6
org:            ORG-IA6-AFRINIC
admin-c:        JN1000-AFRINIC
admin-c:        WM11-AFRINIC
tech-c:         JN1000-AFRINIC
tech-c:         WM11-AFRINIC
zone-c:         WM11-AFRINIC
nserver:        ns1.cm.auf.org
mnt-by:         CAMTEL-MNT
mnt-lower:      CAMTEL-MNT
source:         AFRINIC # Filtered

Qos

Une piste intéressante communiquée après discussion sur lartc AT vger.kernel.org est que je dois revoir un de mes filtres de QoS. Au lieu de protocol ip prio 1 qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir all match u32 0 0 !

Autres pages

RFC7404 pour vous édifier à ce propos (1)
Regardez qui avait écrit le premier commentaire pour cette tâche (2)
Recommandations du RIPE NCC pour un équipement de bordure Voir «Advanced IPv6 - training course» . Avril 2016. p. 170 .
Lire les RFC 4890 et 7084 (3)

-  ⇤ ← Version 61 à la date du 2017-04-21 20:15:52 → 
  Taille: 4512
  Éditeur: WillyManga
  Commentaire:
+   ← Version 62 à la date du 2018-03-23 17:28:33 → ⇥
  Taille: 4638
  Éditeur: WillyManga
  Commentaire:
-Texte supprimé.
+Texte ajouté.
 Ligne 8:
-'''Le schéma global du réseau au BACGL est le suivant:'''
+'''Le schéma global du réseau à la DRACGL est le suivant:'''
 Ligne 15:
- |(195.24.196.113 - réseau 195.24.196.112/28) et (195.24.195.224/29)
+ |(195.24.196.113 - réseau 195.24.196.112/28) et (195.24.195.224/29) || 2001:4268:1a1:1000::/52
 Ligne 25:
- | PAREFEU     | .254     |.1               |.6                   10.45.0.0/24 (RPV-SVR)
+ | PAREFEU     | .254     |.1               |.6                   10.45.0.0/24 || 2001:4268:1a1:1210::/64 (RPV-SVR)
 Ligne 29:
- |             | .254     |  .12                                   192.168.35.0/24 (Sonde RIPE)
+ |             | .254     |  .12                                   192.168.35.0/24 || 2001:4268:1a1:1320::/64 (Sonde RIPE)
 Ligne 35:
- |             |       acsi.cm.refer.org  adifoad.cm.refer.org
 |             | .1       |  .11              | .10                   192.168.11.0/24 (DMZ Partenaire)
 |             0----------0-----------------------------------------------------------~
-Ligne 46:
+Ligne 43:
- |             |          | .5          |.10             |.11   ... 192.168.34.0.24 (nomade)
+ |             |          | .5          |.10             |.11   ... 192.168.34.0/24 ||  2001:4268:1a1:1501::/64 (nomade)
-Ligne 52:
+Ligne 49:
- |             |.1    |.3    |.15   |.12     |.11    |.5      |.6     |.7        ...       192.168.10.0/24 (DMZ Prive)
+ |             |.1    |.3    |.15   |.12     |.11    |.5      |.6     |.7        ...       192.168.10.0/24  || 2001:4268:1a1:1310::/64(DMZ Prive)
-Ligne 56:
+Ligne 53:
- |             |.113    |.116   |.117    |.124     |.125    |.126              ...        195.24.196.112/28 (DMZ PUB)
+ |             |.113    |.116   |.117    |.124     |.125    |.126              ...        195.24.196.112/28 || 2001:4268:1a1:1300::/64 (DMZ PUB)
-Ligne 60:
+Ligne 57:
- |             | .1     |.11                                      10.45.1.0/24 (RPV personnel)
+ |             | .1     |.11                                      10.45.1.0/24 || 2001:4268:1a1:1410::/64 (RPV personnel)
-Ligne 63:
+Ligne 60:
- |             |.254    |.1                                        192.168.30.0/24 (Salle formation)
+ |             |.254    |.1                                        192.168.30.0/24 || 2001:4268:1a1:1450::/64 (Salle formation)
-Ligne 66:
+Ligne 63:
- |             |.254    |.1                                       192.168.31.0/24 (Salle CAI)
+ |             |.254    |.1                                       192.168.31.0/24 || 2001:4268:1a1:1440::/64 (Fablab)
-Ligne 69:
+Ligne 66:
- |             |.254    |.1                                       192.168.32.0/24 (Salle prof)
+ |             |.254    |.1                                       192.168.32.0/24 || 2001:4268:1a1:1420::/64 (Salle prof)
-Ligne 72:
+Ligne 69:
- |             |.254    |.1                                       192.168.33.0/24 (Salle foad)
+ |             |.254    |.1                                       192.168.33.0/24 || 2001:4268:1a1:1430::/64 (Salle foad)
-Ligne 74:
+Ligne 71:
+ |             |
 |             |         
 |             |.254                                              192.168.36.0/24 || 2001:4268:1a1:1502::/64 (Extérieur)
 |             0-------------------------------------------------------------------------------------~
 |             |
-Ligne 78:
+Ligne 80:
- * réseau publique 195.24.196.112/28 et 195.24.195.224/29
 * Les serveurs physiques sont mentionnés en ''majuscules'' tandis que les serveurs virtualisés sont écrits en ''minuscules''.
+ * réseau publique IPv4 195.24.196.112/28 et 195.24.195.224/29
 * réseau IPv6  2001:4268:1a1:1000::/52
-Ligne 81:
+Ligne 83:
-   * [[ZAC/Yaoundé/Configuration/ServeurVirtualisationLeo| LEO]] : proxmox
-Ligne 83:
+Ligne 84:
- * Caches web :
  * Un dans le serveur de bureautique pour les réseaux des usagers
-Ligne 99:
+Ligne 97:
+ * [[/Configuration/ContrôleDuTraffic]]

WikiTeki / Modifications de « ZAC/Yaoundé »

Bureau afrique centrale et des grands lacs

Réseau

Tableau d'allocation des adresses IP publiques

Tableau d'allocation des adresses IP privées

DMZ

RPV

10.45.0.0/24

10.45.1.0/24

Salle Formation

Salle Prof

Salle FOAD

Usage d'IPv6

Répartition

Réseau Usagers

Firewall

Reverse DNS

Qos

Autres pages