3635
Commentaire:
|
← Version 62 à la date du 2018-03-23 17:28:33 ⇥
4638
|
Texte supprimé. | Texte ajouté. |
Ligne 1: | Ligne 1: |
= Bureau afrique centrale et des grands lacs = <<TableOfContents(2)>> |
|
Ligne 2: | Ligne 4: |
= Campus Numérique Francophone de YAOUNDE (BAC + CNF) = | |
Ligne 5: | Ligne 6: |
Responsable technique régional et local : WillyManga | |
Ligne 6: | Ligne 8: |
'''Le schéma global du réseau au BAC est le suivant:''' | '''Le schéma global du réseau à la DRACGL est le suivant:''' |
Ligne 9: | Ligne 12: |
Internet Sattelite/ \ F.O. Rés. pub1 / \ Rés. pub. 2 Rés. pub 1bis Creolink Camtel / ___\_____________________ | | | -----------------------------------parefeu1--------parefeu2 visio | | | | | | | ---------------------------------- | | | | | | | Serveur backup Tests | | | | | | | | ---------------------------- | | | | | | ----- ---- ------ ---- ------- Personnel CAI S.Formation Profs S.FOAD |
Camtel ------ | |(195.24.196.113 - réseau 195.24.196.112/28) et (195.24.195.224/29) || 2001:4268:1a1:1000::/52 +-----0------+ | Cisco 1921 | +-----0------+ | 192.168.200.1 | | | 192.168.200.2 +------0------+ supervision backup2 | | | | | PAREFEU | .254 |.1 |.6 10.45.0.0/24 || 2001:4268:1a1:1210::/64 (RPV-SVR) | 0----------0-----------------------------------------------------------~ | | | | SONDE 17901 | | .254 | .12 192.168.35.0/24 || 2001:4268:1a1:1320::/64 (Sonde RIPE) | 0----------0----------------------------------------------------------~ | | | | .225 195.24.195.224/29 (DMZ PUB 2) | 0---------------------------------------------------------------------~ | | | | | 0----------0---------------------------------------------------------~ | | .1 | .5 192.168.0.0/24 (Usager-svr) | | +-----0----+ | | | | | | | pfsense | | | | | | | +-----0----+ AP1.NOMADE AP2.NOMADE | | | .5 |.10 |.11 ... 192.168.34.0/24 || 2001:4268:1a1:1501::/64 (nomade) | 0----------0-------------0-----------------------------~ | | | | | | | | dns radius sql3 adu smtp amavis mx | |.1 |.3 |.15 |.12 |.11 |.5 |.6 |.7 ... 192.168.10.0/24 || 2001:4268:1a1:1310::/64(DMZ Prive) | 0------0------0------0--------0-------0--------0-------0-----------------~ | | | | SOGo asterisk Visio0 Visio Visio2 | |.113 |.116 |.117 |.124 |.125 |.126 ... 195.24.196.112/28 || 2001:4268:1a1:1300::/64 (DMZ PUB) | 0--------0-------0--------0--------0---------0----------------------------------~ | | | | NFS | | .1 |.11 10.45.1.0/24 || 2001:4268:1a1:1410::/64 (RPV personnel) | 0--------0------------------------------------------------------------~ | | | | |.254 |.1 192.168.30.0/24 || 2001:4268:1a1:1450::/64 (Salle formation) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.31.0/24 || 2001:4268:1a1:1440::/64 (Fablab) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.32.0/24 || 2001:4268:1a1:1420::/64 (Salle prof) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.33.0/24 || 2001:4268:1a1:1430::/64 (Salle foad) | PAREFEU 0--------0----------------------------------------------------------------------------~ | | | | | |.254 192.168.36.0/24 || 2001:4268:1a1:1502::/64 (Extérieur) | 0-------------------------------------------------------------------------------------~ | | | | |_____________| |
Ligne 33: | Ligne 80: |
* réseau publique IPv4 195.24.196.112/28 et 195.24.195.224/29 * réseau IPv6 2001:4268:1a1:1000::/52 * Serveur de virtualisation : * [[ZAC/Yaoundé/Configuration/ServeurVirtualisation2Abui | abui]] KVM |
|
Ligne 34: | Ligne 85: |
SuiviTechniqueBAC | <<Include(ZAC/Yaoundé/TableauAllocationIPPubliques)>> |
Ligne 36: | Ligne 88: |
<<Include(ZAC/Yaoundé/TableauAllocationIPPrivées)>> | |
Ligne 37: | Ligne 90: |
== Dialplan pour la VOIP == Voir la page ProjetVoIPNumerotationV0 |
<<Include(ZAC/Yaoundé/IPv6)>> |
Ligne 40: | Ligne 92: |
== Autres pages == | |
Ligne 41: | Ligne 94: |
== Installation du nouveau serveur == 2 disques durs scsi: 1 de 36 Go et 1 de 146 Go Debian GNU/Linux Sarge 3.1r1 avec noyau 2.6.8 ||Partionnement |Partition|Taille|Occupé|Disponible|Pourcentage|Point de montage|Usage| |/dev/sda1|449M|127M|313M|29%| / | Racine| |tmpfs|252M|4,0K|252M|1%|/dev/shm| | |/dev/sdb1|34Go|33M|33Go|1%|/mirror|Miroirs Debian et Ubuntu| |/dev/sda7|129Go|38Go|89Go|30%|/srv|Données + courriels| |/dev/sda3|449M|9,0Mo|430Mo|3%|/tmp| | |/dev/sda5|1,8Go|395Mo|1,4Go|23%|/usr| | |/dev/sda6|2,8Go|377Mo|2,4Go|14%|/var| | || == Services déployés == - Serveur web (Apache) - Messagerie ( Postfix 2.2.8 + Amavisd-new + Clamav + Spamhaus + Postgrey) - Stats de mails: Mailgraph - Webmail (IMP4 / Horde3/ PHP4, etc) - Miroir Debian et Ubuntu (à venir) - Authentifications: NIS / NFS - Pour l'authentification des usagers depuis les postes publics sous Linux (Ubuntu et/ou Debian) - DHCP - CAI (192.168.1.0/24 et 192.168.3.0/24) - Auto Formation (192.168.2.0/24) - Salle des profs (192.168.4.0/24) - Formation (192.168.5.0/24) - Gestion des impressions: Cupsys - Bind chrooté - Serveur de BD: Mysql - Courier-imap, Courier-pop - Serveur FTP: ProFTPD - Gestion des quotas: Quota - Serveur d'heure: NTP - Gestion des onduleurs: Apcupsd - Gestionnaire de Listes de diffusion: Mailman - Outils de gestion des comptes (création, état, mise à jour, recherche, etc) - Supervision: nagios == Postes Clients == Postes du CNF sous Linux + Postes du personnel sous Windows - Poste Linux: - Debian Sarge - authentification NIS / NFS - montage du /home par NFS - Postes Windows autonomes == Plan d'adressage == Réseau publique 1: 41.223.30.172 - 41.223.30.174; GW1: 41.223.30.161 Masque: 255.255.255.240 Réseau publique 1bis: 41.223.30.178 -41.223.30.179; GW2: 41.223.30.177 Réseau publique 2: 195.24.196.112/28 RPV: 10.45.0.0/16 CAI 1: 192.168.1.0/24 CAI 2: 192.168.3.0/24 Autoformation (S. FOAD): 192.168.2.0/24 Salle des profs: 192.168.4.0/24 Formation: 192.168.5.0/24 |
* [[/Configuration]] * [[/Vlan]] * [[/Contacts]] * [[/Configuration/ContrôleDuTraffic]] |
Bureau afrique centrale et des grands lacs
Sommaire
Réseau
Responsable technique régional et local : WillyManga
Le schéma global du réseau à la DRACGL est le suivant:
Camtel ------ | |(195.24.196.113 - réseau 195.24.196.112/28) et (195.24.195.224/29) || 2001:4268:1a1:1000::/52 +-----0------+ | Cisco 1921 | +-----0------+ | 192.168.200.1 | | | 192.168.200.2 +------0------+ supervision backup2 | | | | | PAREFEU | .254 |.1 |.6 10.45.0.0/24 || 2001:4268:1a1:1210::/64 (RPV-SVR) | 0----------0-----------------------------------------------------------~ | | | | SONDE 17901 | | .254 | .12 192.168.35.0/24 || 2001:4268:1a1:1320::/64 (Sonde RIPE) | 0----------0----------------------------------------------------------~ | | | | .225 195.24.195.224/29 (DMZ PUB 2) | 0---------------------------------------------------------------------~ | | | | | 0----------0---------------------------------------------------------~ | | .1 | .5 192.168.0.0/24 (Usager-svr) | | +-----0----+ | | | | | | | pfsense | | | | | | | +-----0----+ AP1.NOMADE AP2.NOMADE | | | .5 |.10 |.11 ... 192.168.34.0/24 || 2001:4268:1a1:1501::/64 (nomade) | 0----------0-------------0-----------------------------~ | | | | | | | | dns radius sql3 adu smtp amavis mx | |.1 |.3 |.15 |.12 |.11 |.5 |.6 |.7 ... 192.168.10.0/24 || 2001:4268:1a1:1310::/64(DMZ Prive) | 0------0------0------0--------0-------0--------0-------0-----------------~ | | | | SOGo asterisk Visio0 Visio Visio2 | |.113 |.116 |.117 |.124 |.125 |.126 ... 195.24.196.112/28 || 2001:4268:1a1:1300::/64 (DMZ PUB) | 0--------0-------0--------0--------0---------0----------------------------------~ | | | | NFS | | .1 |.11 10.45.1.0/24 || 2001:4268:1a1:1410::/64 (RPV personnel) | 0--------0------------------------------------------------------------~ | | | | |.254 |.1 192.168.30.0/24 || 2001:4268:1a1:1450::/64 (Salle formation) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.31.0/24 || 2001:4268:1a1:1440::/64 (Fablab) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.32.0/24 || 2001:4268:1a1:1420::/64 (Salle prof) | 0--------0----------------------------------------------------------------------~ | | | | |.254 |.1 192.168.33.0/24 || 2001:4268:1a1:1430::/64 (Salle foad) | PAREFEU 0--------0----------------------------------------------------------------------------~ | | | | | |.254 192.168.36.0/24 || 2001:4268:1a1:1502::/64 (Extérieur) | 0-------------------------------------------------------------------------------------~ | | | | |_____________|
- réseau publique IPv4 195.24.196.112/28 et 195.24.195.224/29
- réseau IPv6 2001:4268:1a1:1000::/52
- Serveur de virtualisation :
abui KVM
- Serveur de virtualisation :
Tableau d'allocation des adresses IP publiques
Légende
n |
Adresse IP utilisée |
m |
Adresse IP non utilisée |
p |
Adresse IP réservée pour du NAT |
x |
Adresse réseau ou broadcast |
Le tableau
_195.24.196.112/28_
112 |
113 |
114 |
115 |
116 |
117 |
118 |
119 |
120 |
121 |
122 |
123 |
124 |
125 |
126 |
127 |
_195.24.195.224/29_
224 |
225 |
226 |
227 |
228 |
229 |
230 |
231 |
Par serveur
IP |
Hostname |
Description |
195.24.195.226 |
|
utils3 |
195.24.195.228 |
|
listes |
195.24.196.113 |
fw |
|
195.24.196.114 |
|
smtp.cm.auf.org , smtp.cm.refer.org, dns |
195.24.196.115 |
web |
frontal,miroir |
195.24.196.116 |
SOGo |
|
195.24.196.117 |
VOIP |
|
195.24.196.118 |
|
smtp-sortant.cm.auf.org, mail.cm.auf.org |
195.24.196.119 |
|
SNAT personnel |
195.24.196.120 |
|
ns3 (dnssec) |
195.24.196.121 |
|
DMZ_partenaire |
195.24.196.122 |
|
|
195.24.196.123 |
|
NAT usager nomade |
195.24.196.124 |
visio |
visio directeur |
195.24.196.125 |
visio |
salle de réunion |
195.24.196.126 |
visio |
salle de formation |
Sommaire
Tableau d'allocation des adresses IP privées
DMZ
IP |
Hostname |
Description |
192.168.10.1 |
fw |
parefeu |
192.168.10.3 |
ns1 |
serveur DNS principal |
192.168.10.4 |
sql |
MySQL |
192.168.10.5 |
smtp |
smtp frontal |
192.168.10.6 |
amavis |
analyse intégrité courriel:spamassassin + clamav |
192.168.10.7 |
mx |
mail, smtp sortant |
192.168.10.8 |
frontal |
serveur web frontal |
192.168.10.9 |
listes |
serveur de listes |
192.168.10.10 |
nfs |
serveur NFS |
192.168.10.11 |
webmail |
webmail BACGL |
192.168.10.13 |
sql2 |
MySQL (issu de l'ancien vz dont les db sont à migrer/supprimer progressivement |
192.168.10.14 |
documents |
documents.cm.auf.org |
192.168.10.15 |
radius |
webmail BACGL |
192.168.10.17 |
asterisk-test |
|
192.168.10.18 |
git.cm.auf.org |
|
192.168.10.19 |
coursenligne.cm.auf.org |
|
192.168.10.20 |
afripedia.cm.auf.org |
|
RPV
10.45.0.0/24
IP |
Hostname |
Description |
10.45.0.1 |
supervision |
supervision, monitoring, log |
10.45.0.2 |
abui |
|
10.45.0.6 |
backup2 |
serveur de sauvegarde |
10.45.0.7 |
ns1 |
CT DNS |
10.45.0.8 |
radius |
|
10.45.0.9 |
vz4 |
serveur kvm |
10.45.0.254 |
fw |
|
10.45.1.0/24
IP |
Hostname |
Description |
10.45.1.10 |
nfs |
serveur NFS |
10.45.1.12 |
switch SV |
switch salle serveur |
10.45.1.13 |
switch salle prof |
|
10.45.1.14 |
switch2 SF |
switch 2 salle formation |
10.45.1.15 |
RTR |
... |
10.45.1.16 |
switch1 SFOAD |
switch 1 salle foad |
10.45.1.17 |
switch1 SCOMMIS |
switch 1 salle commis |
10.45.1.18 |
switch2 SCOMMIS |
switch 2 salle commis |
10.45.1.19 |
switch1 SF |
switch 1 salle formation |
10.45.1.20 |
imprimante3 |
imprimante laser couleur |
10.45.1.25 |
scanner |
|
10.45.1.51 |
imprimante1 |
|
10.45.1.53 |
imprimante2 |
|
10.45.1.[30-80] |
IP personnel |
adresses attribuées automatiquement aux personnels AUF |
10.45.1.[81-100] |
IP portables |
adresses attribuées automatiquement aux portables AUF |
10.45.1.[101-120] |
IP anonymes |
adresses attribuées automatiquement par DHCP à d'autres postes |
10.45.1.181 |
sql |
sql (CT sql) |
10.45.1.182 |
ns2 |
ns2.cm.auf (CT DNS) |
10.45.1.183 |
serveur de virtualisation |
|
10.45.1.184 |
documents.cm.auf |
serveur de partage de fichiers : sftp + webftp(ajaXplorer) |
10.45.1.185 |
cache |
cache web |
Salle Formation
IP |
Hostname |
Description |
192.168.30.1 |
nfs |
serveur NFS |
192.168.30.[30-120] |
ip attribuée |
adresses attribuées automatiquement par DHCP |
Salle Prof
IP |
Hostname |
Description |
192.168.32.1 |
nfs |
serveur NFS |
192.168.32.[30-120] |
ip attribuée |
adresses attribuées automatiquement par DHCP |
Salle FOAD
IP |
Hostname |
Description |
192.168.30.1 |
nfs |
serveur NFS |
192.168.33.[30-200] |
ip attribuée |
adresses attribuées automatiquement par DHCP |
Usage d'IPv6
Les développements présentés sur redmine #10712 .
- Préfixe assigné par le FAI , CAMTEL 2001:4268:1a1::/48 .
- Sur Yaoundé nous allons utiliser 2001:4268:1a1:1000::/52
la liaison avec le routeur de CAMTEL s'effectue à travers l'adresse de lien-local 1
- extrait fichier d'interfaces sur la passerelle
auto eth0.2 iface eth0.2 inet static address 192.168.200.2 netmask 255.255.255.0 vlan-raw-device eth0 up ip route add default via 192.168.200.1 dev $IFACE src 195.24.196.113 up ip route replace 10.36.0.0/16 via 192.168.200.1 src 10.45.0.254 up ip -6 addr add 2001:4268:1a1:1000::1/64 dev eth0.2 up ip -6 route add default via FE80::DA67:D9FF:FEC2:5761 dev eth0.2 # Vlan personnel # v6 CAMTEL 2001:4268:1a1:1410::/64 auto eth0.20 iface eth0.20 inet static address 10.45.1.1 netmask 255.255.255.0 vlan-raw-device eth0 up ip -6 addr add 2001:4268:1a1:1410::1/64 dev eth0.20 down ip -6 addr del 2001:4268:1a1:1410::1/64 dev eth0.20
adressage via radvd . Extrait
#salle formation #v6 CAMTEL # 2001:4268:1a1:1450::/64 interface eth0.30 { AdvSendAdvert on; RDNSS 2001:4268:1a1:1310::2 {}; prefix 2001:4268:1a1:1450::/64 { }; };};
éviter l'autoconf d'une interface ? Dans /etc/sysctl.d/local.conf par exemple
net.ipv6.conf.ethxx.autoconf=0 net.ipv6.conf.ethxx.accept_ra=0
Répartition
- On prend notre /52 qu'on découpe en plusieurs /56
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:1X00::/56 |
2001:4268:1a1:1100:/56 |
VOIP |
2001:4268:1a1:1200::/56 |
RPV_SVR , réseau d'administration |
|
2001:4268:1a1:1300::/56 |
DMZ |
|
2001:4268:1a1:1400::/56 |
(Usagers: personnel, prof,étudiants) |
|
2001:4268:1a1:1500::/56 |
Nomade |
|
2001:4268:1a1:1600::/56 |
... |
|
... |
... |
A l'exception du réseau des usagers et nomades, tous les autres ont ou auront des adresses attribuées statiquement.
Portail captif de pfSense ne supporte pas (encore) IPv6 2
Réseau Usagers
- Dans chaque réseau on prend le premier /64 disponible...
L'adressage via SLAAC (radvd) partout .
Préfixe générique |
Réseau |
Usage |
2001:4268:1a1:14X0::/60 |
2001:4268:1a1:1410:/60 |
Personnel |
2001:4268:1a1:1420::/60 |
Prof |
|
2001:4268:1a1:1430::/60 |
Foad |
|
2001:4268:1a1:1440::/60 |
Biblio |
|
2001:4268:1a1:1450::/60 |
Formation |
Firewall
- Le principe étant d'avoir des règles s'appliquant à l'ensemble des groupes de réseaux. Si besoin de régles précises pour un réseau particulier, le déclarer avant les régles plus globales
laisser passer ICMPv6 partout !!(ou du moins certaines options3 ) C'est pour cela qu'on a ceci dans le script du parefeu
for t in 'echo-request' 'echo-reply' 'no-route' 'packet-too-big' 'time-exceeded' 'parameter-problem' do $IPF -A INPUT -p icmpv6 --icmpv6-type $t -j ACCEPT $IPF -A FORWARD -p icmpv6 --icmpv6-type $t -j ACCEPT done
Reverse DNS
Délégation de gestion du préfixe 2001:4268:1a1::/48 obtenue et mise en place par CAMTEL et AFRINIC ce 16.01.2017 . Détails #10476
Extrait de whois -h whois.afrinic.net -d 2001:4268:1a1::/48
% Information related to '1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa' domain: 1.a.1.0.8.6.2.4.1.0.0.2.ip6.arpa descr: Reverse DNS for AUF Network descr: Yaounde for IPv6 org: ORG-IA6-AFRINIC admin-c: JN1000-AFRINIC admin-c: WM11-AFRINIC tech-c: JN1000-AFRINIC tech-c: WM11-AFRINIC zone-c: WM11-AFRINIC nserver: ns1.cm.auf.org mnt-by: CAMTEL-MNT mnt-lower: CAMTEL-MNT source: AFRINIC # Filtered
Qos
Une piste intéressante communiquée après discussion sur lartc AT vger.kernel.org est que je dois revoir un de mes filtres de QoS. Au lieu de protocol ip prio 1 qui ne prend en compte qu'ipv4 je dois avoir plutôt avoir all match u32 0 0 !