[FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC
Salut, Est-il possible de limiter plusieurs adresses ip sur le même port du switch en fonction de l'adresse mac du serveur ? Je veux que la mac du serveur AA:BB:CC:DD:EE:FF soit utilisable avec les adresses suivantes 192.168.1.1, 192.168.1.2, 1921.168.1.3 connecté sur le port Fa0/7 du switch. sur le port du switch j'active : switchport port-security maximum 4 switchport port-security switchport port-security mac-address aabb.ccdd.eeff ip device tracking maximum 4 ip verify source tracking port-security Par contre je ne peux pas ajouter plusieurs ip source binding Quand j'ajoute ip source binding aabb.ccdd.eeff vlan 3 192.168.1.2 interface Fa0/7 l'ancienne entrée (192.168.1.1) est automatiquement supprimée :( Je fais quoi comme bêtise en fait ? Merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC
Bonjour, Tous les ingés cisco sont en vacances à en croire toutes les réponses :) Aucune idée ou piste qui pourrait m'aider ? En date de : Mar 15.7.14, Antoine Durant antoine.duran...@yahoo.fr a écrit : Objet: [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC À: frnog-t...@frnog.org frnog-t...@frnog.org Date: Mardi 15 juillet 2014, 14h37 Salut, Est-il possible de limiter plusieurs adresses ip sur le même port du switch en fonction de l'adresse mac du serveur ? Je veux que la mac du serveur AA:BB:CC:DD:EE:FF soit utilisable avec les adresses suivantes 192.168.1.1, 192.168.1.2, 1921.168.1.3 connecté sur le port Fa0/7 du switch. sur le port du switch j'active : switchport port-security maximum 4 switchport port-security switchport port-security mac-address aabb.ccdd.eeff ip device tracking maximum 4 ip verify source tracking port-security Par contre je ne peux pas ajouter plusieurs ip source binding Quand j'ajoute ip source binding aabb.ccdd.eeff vlan 3 192.168.1.2 interface Fa0/7 l'ancienne entrée (192.168.1.1) est automatiquement supprimée :( Je fais quoi comme bêtise en fait ? Merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC
Salut Clément, Donc pour utiliser de l'IP Source Guard comme je le voudrais, il faut que je modifie l'adresse mac de chaque interface virtuelle afin d'appliquer une règle spécifique IP/MAC sur le port en question c'est bien ça ?? Si je comprends bien ta réponse...!!! Par contre je ne comprends pas bien l'histoire du ip device tracking... http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swdhcp82.html#wp1339480 En regardant l'exemple, il y a plusieurs IP affectées à la même MAC Le Mercredi 16 juillet 2014 9h00, Clément Michel michel.clemen...@gmail.com a écrit : Hello, Pour moi c'est normal car quand tu fais du ip binding sur du Cisco tu fais de l'IP Source Guard qui vise à mettre une protection sur la relation entre les adresses MAC IP d'un hôte. Et puis, à moins que je me trompe, en IPv4 une MAC ne peut se référer qu'à une seule IP (sans compter la boucle locale en 127.0.0.1). J'espère que cela va t'aider à avancer. Bonne continuation. Clément Michel. Le 16 juillet 2014 08:01, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Tous les ingés cisco sont en vacances à en croire toutes les réponses :) Aucune idée ou piste qui pourrait m'aider ? En date de : Mar 15.7.14, Antoine Durant antoine.duran...@yahoo.fr a écrit : Objet: [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC À: frnog-t...@frnog.org frnog-t...@frnog.org Date: Mardi 15 juillet 2014, 14h37 Salut, Est-il possible de limiter plusieurs adresses ip sur le même port du switch en fonction de l'adresse mac du serveur ? Je veux que la mac du serveur AA:BB:CC:DD:EE:FF soit utilisable avec les adresses suivantes 192.168.1.1, 192.168.1.2, 1921.168.1.3 connecté sur le port Fa0/7 du switch. sur le port du switch j'active : switchport port-security maximum 4 switchport port-security switchport port-security mac-address aabb.ccdd.eeff ip device tracking maximum 4 ip verify source tracking port-security Par contre je ne peux pas ajouter plusieurs ip source binding Quand j'ajoute ip source binding aabb.ccdd.eeff vlan 3 192.168.1.2 interface Fa0/7 l'ancienne entrée (192.168.1.1) est automatiquement supprimée :( Je fais quoi comme bêtise en fait ? Merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC
Oui j'ai une interface eth0, sur celle si j'ai 3 autres interfaces virtuelle eth0:0 :1 :2. Je peux il me semble forcer une MAC spécifique sur chaque interfaces virtuelle via HWADDR=00:0C:29:28:FD:4C dans la configuration de l'interface... Ensuite il ne me reste plus qu'appliquer la configuration sur le port du switch avec l'IP Binding en fonction de la MAC de l'eth virtuelle. Est-ce que j'ai bon ? Le Mercredi 16 juillet 2014 9h28, Clément Michel michel.clemen...@gmail.com a écrit : Si ton serveur à plusieurs interfaces virtuelles, donc plusieurs adresses IP, chaque interface possède sa propre adresse MAC. C'est de cette façon qu'il faut déclarer ton ip binding (enfin si je comprends bien ton raisonnement). Concernant l'IP device tracking, c'est le nombre max d'@ IP statiques par port que le switch peut enregistrer (donc pas de rapport direct avec ta problématique). Bonne continuation. Clément Michel. Le 16 juillet 2014 09:15, Antoine Durant antoine.duran...@yahoo.fr a écrit : Salut Clément, Donc pour utiliser de l'IP Source Guard comme je le voudrais, il faut que je modifie l'adresse mac de chaque interface virtuelle afin d'appliquer une règle spécifique IP/MAC sur le port en question c'est bien ça ?? Si je comprends bien ta réponse...!!! Par contre je ne comprends pas bien l'histoire du ip device tracking... http://www.cisco.com/c/en/us/td/docs/switches/lan/catalyst2960/software/release/12-2_55_se/configuration/guide/scg_2960/swdhcp82.html#wp1339480 En regardant l'exemple, il y a plusieurs IP affectées à la même MAC Le Mercredi 16 juillet 2014 9h00, Clément Michel michel.clemen...@gmail.com a écrit : Hello, Pour moi c'est normal car quand tu fais du ip binding sur du Cisco tu fais de l'IP Source Guard qui vise à mettre une protection sur la relation entre les adresses MAC IP d'un hôte. Et puis, à moins que je me trompe, en IPv4 une MAC ne peut se référer qu'à une seule IP (sans compter la boucle locale en 127.0.0.1). J'espère que cela va t'aider à avancer. Bonne continuation. Clément Michel. Le 16 juillet 2014 08:01, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Tous les ingés cisco sont en vacances à en croire toutes les réponses :) Aucune idée ou piste qui pourrait m'aider ? En date de : Mar 15.7.14, Antoine Durant antoine.duran...@yahoo.fr a écrit : Objet: [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC À: frnog-t...@frnog.org frnog-t...@frnog.org Date: Mardi 15 juillet 2014, 14h37 Salut, Est-il possible de limiter plusieurs adresses ip sur le même port du switch en fonction de l'adresse mac du serveur ? Je veux que la mac du serveur AA:BB:CC:DD:EE:FF soit utilisable avec les adresses suivantes 192.168.1.1, 192.168.1.2, 1921.168.1.3 connecté sur le port Fa0/7 du switch. sur le port du switch j'active : switchport port-security maximum 4 switchport port-security switchport port-security mac-address aabb.ccdd.eeff ip device tracking maximum 4 ip verify source tracking port-security Par contre je ne peux pas ajouter plusieurs ip source binding Quand j'ajoute ip source binding aabb.ccdd.eeff vlan 3 192.168.1.2 interface Fa0/7 l'ancienne entrée (192.168.1.1) est automatiquement supprimée :( Je fais quoi comme bêtise en fait ? Merci ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: Re : [FRnOG] [TECH] Cisco2960 ip source binding avec plusieurs IP sur une MAC
Ok, donc je reviens bien sur mon idée première ! En général avec des alias d'eth la MAC est-celle de la parente donc on à 4 IPs avec la même MAC HW ! Par contre sur le Cisco comment faire pour dire que le port du switch accepte 4 IPs pour la MAC du serveur connecté sur le port du switch ? Je sèche complément... Le Mercredi 16 juillet 2014 11h25, Baptiste Malguy bapti...@malguy.net a écrit : Bonjour, Le 16 juillet 2014 09:00, Clément Michel michel.clemen...@gmail.com a écrit : Et puis, à moins que je me trompe, en IPv4 une MAC ne peut se référer qu'à une seule IP (sans compter la boucle locale en 127.0.0.1). Depuis quand ? L'inverse ooui (1 @IP - 1 @MAC à un instant T), mais on peut parfaitement avoir plusieurs @IP pour une même @MAC, c'est même un usage fréquent. Sous Linux : les sous-interfaces ethX:X (je n'ai _pas_ écrit ethX.X qui est pour les VLAN / tags 802.1q) Sous *BSD : les @IP alias sur une même interface Ceci n'a rien d'incompatible avec l'usage de couples Virtual IP / Virtual MAC au travers d'HSRP, VRRP, CARP and co. Et même là, on peut avoir plusieurs VIP pour une même VMAC. Mes 0,01 cents du mercredi. -- Baptiste MALGUY --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] QOS VOIP CISCO 881
Bonjour, Je vais me pencher sur la mise en place de la QOS sur un cisco 881 pour la VOIP. 1. Je dois appliquer la QOS sur le port WAN du routeur (FastEthernet4) ? 2. Faire une configuration en class-map+policy-map ? ! Class-map match-any VOIP Match protocol sip Match protocol h323 ! Policy-map QOS Class VOIP Priority Set dscp ef Class class-default Fair-queue ! Interface FastEthernet4 Service-policy output QOS Est-ce que cela est correct ? Quelle configuration appliquez-vous pour de la QOS VOIP ? A++ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS VOIP CISCO 881
Bonjour, Merci pour les réponses. Voici mes remarques/questions en fonction de vos différents messages. @OCEANET - Cédric BASSAGET @Ducassou Laurent Ok je viens de regarder DSCP, je ne connais pas du tout. Dans mon cas en regardant un peu le code point DSCP je vois : Voix 46 Viso 34,36,38 Signalisation Voix 26,28,30 Je pars du principe que j'ai des switchs non manageable, donc je dois sur les téléphones SIP taguer une valeur DSCP sur les paquets IP ?? Ensuite le routeur cisco lit le paquet IP et traite en priorité si le paquet est taguer avec une valeur ?? A quoi ressemble la configuration sur un routeur CISCO pour gérer le DSCP ? @Christophe Lucas Qq petites remarques : - il te manque nbar ; - peut être aussi un shaper si tu n'as pas un lien 100m ; - tu n'as fais de la qos que dans le sens CPE - pe ; Tu fais quoi pour le sens pe - CPE ? @Antoine GANCEL Pour autant que je me souvienne, tu base ta QOS sur des ACL et des % de bande passante de disponible. Tu dois donc calculer combien tu veux réserver à la voix et/ou a la visio. tout dépend du codec que tu utilise. par exemple G711 est un codec à 64kbps. Et du nombre de communications simultanées que tu fait passer. Puis le reste pour la data (le ou fair use dans ton cas). Oui je compte environ 100Kbps par utilisateurs, je pense que la fourchette pour la VOIP n'est pas trop mal... @David Ponzone Tu peux ajouter: match protocol rtp audio En fait je pense que la liste doit être celle-ci non ? match protocol h323 match protocol rtcp match protocol rtp match protocol sip --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS VOIP CISCO 881
@ David Ponzone Tu fais quoi pour le sens pe - CPE ? La même chose, sauf si tu comptes avoir des communications téléphoniques dans un seul sens :) Sur mes recherches je n'ai vu que l'output et pas l'input. Tu penses qu'il faut faire ça ? Interface FastEthernet4 Service-policy output QOS Service-policy input QOS Donc il faut que le l'IPBX tague le DSCP pour appliquer en input non ?? La j'ai du mal à comprendre en fait... Tu peux ajouter: match protocol rtp audio En fait je pense que la liste doit être celle-ci non ? match protocol h323 match protocol rtcp match protocol rtp match protocol sip C’est pas bien ça, tu as pas consulté le lien que j’avais mis, dans lequel il était bien expliqué que Cisco ne détectait pas n’importe quel flux RTP avec « match protocole rtp ». En gros, si tu es full-Cisico, y compris pour la voix, ça marchera. Sinon, c’est plus sûr de jouer sur le DSCP ou au pire, l’IP. J'ai pas du bien tout comprendre, je vais m'y repencher... Mais je pense que je vais m'orienter sur DSCP/TOS plus simple à faire j'ai l'impression car je ne suis pas en full cisco !! @OCEANET - Cédric BASSAGET @Ducassou Laurent En fonction des remarques de Laurent cela reviendrait à avoir ça comme config ?? ! class-map match-any VOIP match ip dscp ef match ip dscp af32 ! policy-map CBWFQ class VOIP priority percent 20 class class-default fair-queue bandwidth ! interface FastEthernet4 service-policy output CBWFQ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] network design routeur ipv6
Bonjour, Je suis en train de monter un LAB pour tester IPV6 en dual-stack. J’ai quelque problème sur la topologie réseau à employer… Je simule un réseau avec un routeur BGP qui a comme préfixe 2001:db8:::/48 J’ai trois routeurs cisco 881 sur lesquels je simule un site. Je veux attribuer une /64 par site : Site_1 : 2001:db8::1000::/48 Site_2: 2001:db8::2000::/48 Site_3 : 2001:db8::3000::/48 Le routeur cisco 881 a une interface WAN qui est raccordé sur le routeur BGP, l’interface LAN (vlan1) est raccordé à un switch interne qui accueille des postes. La ou je bloque : Faut-il que je dédie une /64 (2001:db8::::/48) pour gérer les interconnections entre les ciscos 881 et le routeur BGP : R_BGP = 2001:db8::::/48 R_ Site_1 = 2001:db8::::1/48 R_ Site_2 = 2001:db8::::2/48 R_ Site_3= 2001:db8::::3/48 Donc la configuration du cisco 881 du Site_1 va être : l’interface WAN sera 2001:db8::::1/48 ? l’interface vlan1 prefixe 2001:db8::1000::/48 ? Que me conseillez-vous comme network design ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Différence entre cisco 881-K9 et 881-sec-K9
Bonjour, Je ne parviens pas à trouver la différence fondamentale entre ces deux versions de routeurs. Sur les photos, le boitier est identique 4 ports LAN + 1 WAN. La mémoire est la même sur les deux versions. La version de l'IOS est la même, une licence est en plus sur le sec-K9. Que permet de faire le sec-k9 en plus par rapport au k9 ? A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Différence entre cisco 881-K9 et 881-sec-K9
Merci Fabrice et David ! C'est difficile de suivre le nommage CISCO :p En regardant la table 7 il est écrit que le DHCP est en IPV6 sur Advanced IP Services alors que sur mon 881-K9 j'utilise le DHCP en IPV6 avec ipv6 DHCP pool ipv6-pool --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange
Bonjour, J'utilise la conf ci-dessous sur deux switch Cisco. J'ai un phénomène étrange qui se produit !!! ip dhcp snooping vlan 10-12 no ip dhcp snooping information option ip dhcp snooping ! interface GigabitEthernet0/1 switchport trunk allowed vlan 10,11,12 switchport mode trunk switchport nonegotiate switchport block multicast switchport block unicast ip arp inspection trust storm-control broadcast level 80.00 storm-control multicast level 80.00 ip dhcp snooping trust ! Lorsque je configure un port sur le switch N°1 le ping ne passe plus (pendant quelque seconde) sur les machines du second switch. En gros les machines sur le second switch ne sont plus joignable pendant quelque seconde ! Même phénomène si je configure un port sur le switch N°2, les machines du switch N°1 tombent... Le problème survient lorsque j'active les commandes suivantes sur les uplink : switchport block multicast switchport block unicast Sans, je n'ai pas de problème tout fonctionne... J'ai l'intention de désactiver cela de mes uplinks mais en revanche de le laisser sur les ports ou il y a pas de trunk (machines). Est-ce un comportement normal ?? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange
Non je trouve rien sur google... Oupss ! switch 2960 avec IOS 15 (les deux avec le même IOS) Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1) De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Lundi 29 décembre 2014 20h15 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Quels switchs ? Quel IOS/CatOS ? T’as vérifié sur le site de Cisco s’il y avait un bug connu ? Le 29 déc. 2014 à 20:06, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, J'utilise la conf ci-dessous sur deux switch Cisco. J'ai un phénomène étrange qui se produit !!! ip dhcp snooping vlan 10-12 no ip dhcp snooping information option ip dhcp snooping ! interface GigabitEthernet0/1 switchport trunk allowed vlan 10,11,12 switchport mode trunk switchport nonegotiate switchport block multicast switchport block unicast ip arp inspection trust storm-control broadcast level 80.00 storm-control multicast level 80.00 ip dhcp snooping trust ! Lorsque je configure un port sur le switch N°1 le ping ne passe plus (pendant quelque seconde) sur les machines du second switch. En gros les machines sur le second switch ne sont plus joignable pendant quelque seconde ! Même phénomène si je configure un port sur le switch N°2, les machines du switch N°1 tombent... Le problème survient lorsque j'active les commandes suivantes sur les uplink : switchport block multicast switchport block unicast Sans, je n'ai pas de problème tout fonctionne... J'ai l'intention de désactiver cela de mes uplinks mais en revanche de le laisser sur les ports ou il y a pas de trunk (machines). Est-ce un comportement normal ?? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange
Je connais pas CCO, je vais regarder... Et d'après toi il faut utiliser ou pas le block multi/uni cast sur les uplinks ? De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Lundi 29 décembre 2014 20h25 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Faut plutôt utiliser les outils CCO en fait. Le 29 déc. 2014 à 20:21, Antoine Durant antoine.duran...@yahoo.fr a écrit : Non je trouve rien sur google... Oupss ! switch 2960 avec IOS 15 (les deux avec le même IOS) Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1) De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Lundi 29 décembre 2014 20h15 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Quels switchs ? Quel IOS/CatOS ? T’as vérifié sur le site de Cisco s’il y avait un bug connu ? Le 29 déc. 2014 à 20:06, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, J'utilise la conf ci-dessous sur deux switch Cisco. J'ai un phénomène étrange qui se produit !!! ip dhcp snooping vlan 10-12 no ip dhcp snooping information option ip dhcp snooping ! interface GigabitEthernet0/1 switchport trunk allowed vlan 10,11,12 switchport mode trunk switchport nonegotiate switchport block multicast switchport block unicast ip arp inspection trust storm-control broadcast level 80.00 storm-control multicast level 80.00 ip dhcp snooping trust ! Lorsque je configure un port sur le switch N°1 le ping ne passe plus (pendant quelque seconde) sur les machines du second switch. En gros les machines sur le second switch ne sont plus joignable pendant quelque seconde ! Même phénomène si je configure un port sur le switch N°2, les machines du switch N°1 tombent... Le problème survient lorsque j'active les commandes suivantes sur les uplink : switchport block multicast switchport block unicast Sans, je n'ai pas de problème tout fonctionne... J'ai l'intention de désactiver cela de mes uplinks mais en revanche de le laisser sur les ports ou il y a pas de trunk (machines). Est-ce un comportement normal ?? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange
Bonjour à tous, Justement j'ai désactivé le spanning-tree sur les deux switchs pour que le port soit UP immédiatement Donc voici la configuration des ports host des switchs (est-ce que la conf est foireuse ?) : ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access switchport nonegotiate ip arp inspection limit rate 100 storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/45 switchport access vlan 10 switchport mode access switchport nonegotiate switchport port-security switchport port-security mac-address bc40.5adb.b120 ip arp inspection limit rate 100 storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown spanning-tree portfast spanning-tree bpduguard enable ip verify source port-security ! - quand on filtre unknown-unicast, on a des ennuis. switchport block est à virer. - storm-control ET switchport block ? Le storm-control est la bonne démarche, pas le block. Ok donc je ne vais plus utiliser le block mais garder le storm-control... Tu peux facilement vérifier en faisant un show mac address-table juste avant de modifier un port et juste après. Je vais regarder ça !! De : Olivier Benghozi olivier.bengh...@wifirst.fr À : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Mardi 30 décembre 2014 3h51 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Pourquoi pas normal? J'imagine qu'il y a du spanning-tree (par défaut, bonne idée d'ailleurs), donc il faut RTFM: http://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/12013-17.html#portfastcommandhttp://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/12013-17.html#portfastcommand 1) un nouveau port (non-edge) est up dans le vlan, un TCN est généré, les MAC sont expirées. 2) en principe il y a donc pendant quelques secondes de l'unknown unicast en masse, c'est rapidement réappris, et c'est réglé. Sauf qu'ont été configurés moults filtrages peu pertinents, du coup cet unknown unicast est filtré et donc le réapprentissage se passe mal (comme expliqué par David). Conclusion la conf est mauvaise et par conséquent: - sur les ports access vers des hosts, il faut configurer un spanning-tree portfast. J'imagine que ce ne doit pas être le cas. - quand on filtre unknown-unicast, on a des ennuis. switchport block est à virer. - storm-control ET switchport block ? Le storm-control est la bonne démarche, pas le block. Le 30 déc. 2014 à 00:52, David Ponzone david.ponz...@gmail.com a écrit : Ben à y regarder de plus près, le block unicast pourrait être responsable de ton problème en fait. Par défaut, les unknown unicast sont forwardés sur tous les ports d’un Catalyst, ce qui permet de trouver rapidement les hôtes « silencieux » dont l’adresse MAC n’est plus dans la table des adresses MAC (car expirée). Avec le block, les unknown unicast sont filtrés. Donc pour que le paquet soit forwardé, il faudra attendre que l’adresse MAC de l’hôte destination soit de nouveau présente dans la table MAC. Cela ne pourra arriver que quand l’hôte destination aura essayer d’envoyer un paquet unicast (pas unknown) ou broadcast. En fonction de ce que font tes machines, il se peut que tu aies à attendre 2 ou 3 secondes avant qu’un tel paquet soit émis. Dans ton cas précis, pourquoi cela arrive quand tu modifies la conf d’un port ? Cela semblerait signifier que quand tu changes la conf d’un port, le switch fait un clear mac address-table. A priori, pas normal. Tu peux facilement vérifier en faisant un show mac address-table juste avant de modifier un port et juste après. En espérant que ça te donne des pistes. Le 29 déc. 2014 à 21:00, Antoine Durant antoine.duran...@yahoo.fr a écrit : Je connais pas CCO, je vais regarder... Et d'après toi il faut utiliser ou pas le block multi/uni cast sur les uplinks ? De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Lundi 29 décembre 2014 20h25 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Faut plutôt utiliser les outils CCO en fait. Le 29 déc. 2014 à 20:21, Antoine Durant antoine.duran...@yahoo.fr a écrit : Non je trouve rien sur google... Oupss ! switch 2960 avec IOS 15 (les deux avec le même IOS) Cisco IOS Software, C2960 Software (C2960-LANBASEK9-M), Version 15.0(2)SE5, RELEASE SOFTWARE (fc1) De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Lundi 29 décembre 2014 20h15 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Quels switchs ? Quel IOS/CatOS ? T’as
Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange
Bonsoir, Merci pour vos retours et pistes. J'ai désactivé les switch block unicast/multicast et je n'ai plus le problème que j'avais au début !!! Après quelque test de modification de port plus de soucis si les uplinks ne sont plus en block uni/multi cast... Donc faut pas croire tout ce que l'on trouve sur le net concernant les méthodes sécurisation... Bonne fête de fin d'année !! De : Florent Nolot florent.no...@univ-reims.fr À : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Mardi 30 décembre 2014 14h19 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Le 30/12/2014 10:28, Antoine Durant a écrit : Bonjour à tous, Justement j'ai désactivé le spanning-tree sur les deux switchs pour que le port soit UP immédiatement Salut, Pour être plus précis, le portfast ne désactive pas le spanning tree (heureusement) mais permet juste de passer le port en forward dès qu'une connexion est détectée et ainsi gagner les 50 s. d'attente en STP ou les 35 en RSTP. Comme rien n'est précisé sur le spanning tree, c'est une attente de 50s que tu dois avoir. Si le temps est inférieur, cela doit provenir du temps de propagation des ARP. Fait un show span vlan 10 pour voir l'état de tes ports quand tu fais une modification et faire du show mac ou show mac add vlan 10 pour vérifier les MAC connus sur le vlan 10. Effectivement il faut éviter, comme là dit David, le switch block sinon, l'apprentissage des MAC n'aura lieu que si l'hôte envoie une trame. Bon courage dans ton tshoot F. Nolot Donc voici la configuration des ports host des switchs (est-ce que la conf est foireuse ?) : ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access switchport nonegotiate ip arp inspection limit rate 100 storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown spanning-tree portfast spanning-tree bpduguard enable ! interface FastEthernet0/45 switchport access vlan 10 switchport mode access switchport nonegotiate switchport port-security switchport port-security mac-address bc40.5adb.b120 ip arp inspection limit rate 100 storm-control broadcast level 60.00 storm-control multicast level 60.00 storm-control action shutdown spanning-tree portfast spanning-tree bpduguard enable ip verify source port-security ! - quand on filtre unknown-unicast, on a des ennuis. switchport block est à virer. - storm-control ET switchport block ? Le storm-control est la bonne démarche, pas le block. Ok donc je ne vais plus utiliser le block mais garder le storm-control... Tu peux facilement vérifier en faisant un show mac address-table juste avant de modifier un port et juste après. Je vais regarder ça !! De : Olivier Benghozi olivier.bengh...@wifirst.fr À : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Mardi 30 décembre 2014 3h51 Objet : Re: [FRnOG] [TECH] Cisco commande block multicast/unicast phénomène étrange Pourquoi pas normal? J'imagine qu'il y a du spanning-tree (par défaut, bonne idée d'ailleurs), donc il faut RTFM: http://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/12013-17.html#portfastcommandhttp://www.cisco.com/c/en/us/support/docs/lan-switching/spanning-tree-protocol/12013-17.html#portfastcommand 1) un nouveau port (non-edge) est up dans le vlan, un TCN est généré, les MAC sont expirées. 2) en principe il y a donc pendant quelques secondes de l'unknown unicast en masse, c'est rapidement réappris, et c'est réglé. Sauf qu'ont été configurés moults filtrages peu pertinents, du coup cet unknown unicast est filtré et donc le réapprentissage se passe mal (comme expliqué par David). Conclusion la conf est mauvaise et par conséquent: - sur les ports access vers des hosts, il faut configurer un spanning-tree portfast. J'imagine que ce ne doit pas être le cas. - quand on filtre unknown-unicast, on a des ennuis. switchport block est à virer. - storm-control ET switchport block ? Le storm-control est la bonne démarche, pas le block. Le 30 déc. 2014 à 00:52, David Ponzone david.ponz...@gmail.com a écrit : Ben à y regarder de plus près, le block unicast pourrait être responsable de ton problème en fait. Par défaut, les unknown unicast sont forwardés sur tous les ports d’un Catalyst, ce qui permet de trouver rapidement les hôtes « silencieux » dont l’adresse MAC n’est plus dans la table des adresses MAC (car expirée). Avec le block, les unknown unicast sont filtrés. Donc pour que le paquet soit forwardé, il faudra attendre que l’adresse MAC de l’hôte destination soit de nouveau présente dans la table MAC. Cela ne pourra arriver que quand l’hôte destination aura essayer d’envoyer un paquet unicast (pas unknown) ou broadcast. En fonction de ce que font tes machines, il se peut que tu aies à attendre 2 ou 3 secondes avant qu’un
Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Merci pour les retours je commence à comprendre !!! Donc en EFM il n'y pas besoin de routeur avec port SHDSL; un router de type 881 série fait largement l'affaire en connectant l'entrée RJ45 sur le port WAN puis en configurant le port comme normalement ? Donc aucune référence a du sdhdsl controller a faire en EFM sur le port WAN ? Donc en mode quadripaire cela ne fait qu'un seul RJ45 a brancher aussi sur le port WAN? --- Liste de diffusion du FRnOG http://www.frnog.org/
Réf.: Re: Réf.: Re: [FRnOG] [TECH] sdsl atm vs efm
Oui David ne t'enerve surtout pas :) Je n'ai pas les docs d'orange... Je me pose juste la question du fonctionnement rien de plus. Sur mes recherches j'ai trouvé aussi en efm du ovh nerim axione etc... merci beaucoup et bonne soirée. -- Le mer. 14 janv. 2015 17:28 HNEC, David Ponzone a écrit : Scrogneugneu, faut lire les docs de Cisco et d’Orange, c’est quand même très clair :) Pas besoin de port SHDSL si tu fais livrer ton lien SDSL en Ethernet, ce qui est possible aussi bien en ATM qu’en PTM (EFM), mais ça coute des sous en plus tous les mois. Orange met pas un RAD à 1000€ à disposition gratuitement. Quand tu es en livraison Ethernet, tu ne t’occupes pas du nombre de paires, à part pour passer la commander. Orange pose un modem RAD LA-210 qui lui est connecté par 4 paires au DSLAM, et tu te mets sur son port ethernet. Pour résumer: C888EA = C881+LA-210 Le 14 janv. 2015 à 17:17, Antoine Durant antoine.duran...@yahoo.fr a écrit : Merci pour les retours je commence à comprendre !!! Donc en EFM il n'y pas besoin de routeur avec port SHDSL; un router de type 881 série fait largement l'affaire en connectant l'entrée RJ45 sur le port WAN puis en configurant le port comme normalement ? Donc aucune référence a du sdhdsl controller a faire en EFM sur le port WAN ? Donc en mode quadripaire cela ne fait qu'un seul RJ45 a brancher aussi sur le port WAN? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [FRoNG][TECH]TLD et performances.
Salut, Merci pour le site https://www.diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver ! Je me suis aussi posé la question il y a quelques jours par quoi remplacer les DNS de Google... Quesque vous utilisez comme resolveur open et qui fonctionne ultra bien (respect the privacy) ? De : frnog.kap...@antichef.net frnog.kap...@antichef.net À : frnog@frnog.org Envoyé le : Samedi 10 janvier 2015 16h43 Objet : Re: [FRnOG] [FRoNG][TECH]TLD et performances. Bonjour Eugène, Par performance, je suppose que tu parles de rapidité à résoudre un nom de domaine vers l'adresse IP correspondante. Le facteur qui peut impacter la performance de la résolution DNS c'est le serveur DNS configuré du côté du client. Puisque ta question porte sur l'amélioration des performances de résolution DNS, voici un exemple relativement courant: un internaute utilise le serveur DNS fourni par son FAI mais n'est pas satisfait de la qualité de service de celui-ci, alors il le remplace par un résolveur DNS tierce comme openDNS ou ceux de google (alors qu'il ferait mieux d'en prendre en dans cette liste: https://www.diyisp.org/dokuwiki/doku.php?id=technical:dnsresolver). Peu importe le TLD ou l'hébergement, si le client utilise un serveur DNS moisi, les performances seront moisies et tu ne peux rien y faire. On Saturday 10 January 2015 12:25:41 Eugène Ngontang - sympav...@gmail.com wrote: Bjr les experts. Savez-vous s'il y a une une différence point de vue performance par rapport au TLD(cm, fr ou com par exlpe) des noms de domaines ou ça dépend uniquement de l'hébergement ? Merci. Eugène NG --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] sdsl atm vs efm
Bonjour la liste, Je regarde la différence entre un SDSL ATM/EFM côté branchement et configuration niveau routeur abonné, je me penche sur du cisco... Sur mes recherches je trouve pas mal de cisco 888 qui dispose d’un port SHDSL RJ45. Quel autre produit peut être utilisé dans la gamme des 800 aussi ? J’ai vu que le 888 est livré avec un câble RJ45 ayant deux extrémités RJ11, donc j’en conclu que : -si on branche l’extrémité RJ11 N°1 on utilise un SDSL mono-paire ATM ? - si on branche l’extrémité RJ11 N° et N°2 on utilise un SDSL bi-paire ATM ? Comment cela fonctionne t’il en EFM ? J’ai cru comprendre que les SDSL EFM mono/bi-paire peuvent être livrés en mode Ethernet avec un connecteur RJ45 au lieu du RJ11 ? Dans ce cas là, il suffit de brancher un câble RJ45 sur le connecteur SDSL puis de le relier à la prise SHDSL RJ45 du 888 ? Merci pour l’éclairage ! --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Cisco interface output errors
Bonjour, Sur un cisco 881 j'ai une interface que je trouve bizare : 4078688 packets output, 410931415 bytes, 0 underruns 147866 output errors, 31696 collisions, 9 interface resets Pourquoi en sortie j'ai autant d'errors, collisions et reset ?? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Configuration hardware serveur BGP quagga
Bonsoir, Merci pour les retours d'expérience ! Je constate que beaucoup d'entre vous me déconseille cette machine à cause de son processeur trop faible :( Donc voici les processeurs que je peux monter, lequel selon est le plus approprié ? Pentium® B915CCore™ i3-2115CXeon® E3 1105CXeon® E5 1125C (Sandy Bridge Gladden) Pentium® B925CCore™ i3-3115CXeon® E3 1105v2Xeon® E3 1125v2 Concernant mes transitaires, j'ai deux interfaces à 100Mb. Je suis un peux surpris sur les réponses, car il y a deux ans environ pas mal de monde parlé d'un ALLNET ayant un proc Intel ATOM N270, 1.60 GHz --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Exemple de config pour wifi cisco881W
Bonjour, Je recherche un exemple de configuration du module wifi d'un Cisco 881W. J'essaye de me faire la main sur le service wifi en ligne de commande pour une utilisation en access point... Je trouve quelque doc mais la config est trop poussée, je cherche un truc simple afin de voir comment cela se configure. Quelqu'un a une conf plus ou moins basique à me faire parvenir ? Merci d'avance ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Configuration hardware serveur BGP quagga
Salut, Je viens de récupérer une machine ayant 4Go de RAM DDR3 avec comme processeur un Intel Celeron 725C (1.30 Ghz) avec plusieurs RJ45 Intel 1G. Je compte en faire un routeur sous quagga pour gérer mon BGP (ipv4 et ipv6) ayant deux transitaires en full view et gestion de VLAN sur les uplinks des switchs. Est-ce que d'après vous cette configuration vous semble viable ? Merci pour votre retour. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Règle IP Nat Cisco
Bonjour, Je suis en train de tripatouiller un Cisco serie 800 avec des règles NAT, mais j'ai un petit problème... Sur le CISCO (A.B.C.D) j'ai connecté un pare-feu (192.168.1.100). Je redirige tout ce qui rentre sur le Cisco vers le pare-feu avec la règle suivante : ip nat inside source static 192.168.1.100 A.B.C.D extendable Avec cette règle je perds évidement mon accès SSH du Cisco. Si j'essaye d'ajouter la règle suivante j'ai l'erreur : ip nat inside source static tcp A.B.C.D 22 A.B.C.D 22% similar static entry (192.168.1.100 - A.B.C.D) already exists Comment faire pour autoriser SSH sur l'adresse A.B.C.D ? Merci :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de route pour un ping !
Oui... voila la configuration ultra basique de RTR_B (RTR_C a aussi la même conf, sauf que l'IP du NAT change 192.168.1.200 et l'ip d'interco n'est pas la même...) version 15.2 no service pad service tcp-keepalives-in service tcp-keepalives-out service timestamps debug datetime msec service timestamps log datetime msec service password-encryption ! hostname RTR_B ! boot-start-marker boot-end-marker ! ! no logging console ! no aaa new-model memory-size iomem 10 ! ! no ip source-route no ip gratuitous-arps ! ! ! ! no ip bootp server no ip domain lookup ip domain name lab.local ip cef ! ! ! interface Loopback0 ip address 192.168.1.100 255.255.255.255 ! interface FastEthernet0 no ip address ! interface FastEthernet1 no ip address ! interface FastEthernet2 no ip address ! interface FastEthernet3 no ip address ! interface FastEthernet4 ip address 10.0.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex full speed 100 ! interface Vlan1 ip address 172.16.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path ! ip forward-protocol nd no ip http server no ip http secure-server ! ! ip nat inside source list 100 interface Loopback0 overload ip nat inside source list 101 interface Loopback0 overload ip route 0.0.0.0 0.0.0.0 10.0.1.2 ! access-list 100 permit ip 10.0.1.0 0.0.0.3 any access-list 101 permit ip 172.16.1.0 0.0.0.255 any no cdp run ! control-plane ! ! ! De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 23 juin 2015 21h15 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! On a atteint le stade où j’arrête de réfléchir sans avoir les confs devant les yeux :)Ca peut être un détail, ça peut être que ce que tu veux faire est impossible, ça peut être que tu ne le fais pas de la bonne manière! Le 23 juin 2015 à 21:13, Antoine Durant antoine.duran...@yahoo.fr a écrit : Oui j'ai du NAT dans le bazar...Oui pour la conf tu as raison mais comme il n'y a que quelque ligne j'avais oublié que l'ACL pouvais poser soucis ! MEACULPA !! J'ai déjà essayé la configuration plus ou moins identique que tu donnes mais cela ne fonctionne pas ! Si je peux pinguer l'exterieur, l'Ip d'interco n'est plus joignable... L'inverse aussi je pingue l'IP d'interco mais pas l'exterieur De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 23 juin 2015 20h49 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! Ah t’as du NAT dans le bazar…. C’est pas faute d’avoir demandé la conf… Il doit y avoir une erreur dans ton copier/coller, car une access-list numérotée 10 est une ACL standard, dans laquelle on ne peut préciser que la source, et pas le protocole ou la destination. Si tu fais donc une ACL extended, 100 par exemple, tu peux faire un NAT partiel avec: ip nat inside source list 100 interface Loopback0 overload access-list 100 deny ip 10.0.1.0 0.0.0.3 10.0.0.0 0.0.0.255 access-list 100 permit ip 10.0.1.0 0.0.0.3 any Adapte en fonction de ton cas, je ne me rappelle pas de la conf précise. Le 23 juin 2015 à 20:30, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, Le problème est identifié avec l'aide de Marc sur la liste, merci. J'utilise une règle de NAT qui pose problème sur la réponse du ping ! Si j'essaye de ping 10.0.1.2 celui essaye de partir depuis le NAT 192.168.1.100 ip nat inside source list 10 interface Loopback0 overload access-list 10 permit ip 10.0.1.0 0.0.0.3 any le problème est que je n'arrive pas à écrire la bonne règle de nat pour que le ping passe vers le monde exterieur et que l'Ip d'interco soit aussi pinguable depuis le réseau d'interco interne. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de route pour un ping !
Bonjour, Le problème est identifié avec l'aide de Marc sur la liste, merci. J'utilise une règle de NAT qui pose problème sur la réponse du ping ! Si j'essaye de ping 10.0.1.2 celui essaye de partir depuis le NAT 192.168.1.100 ip nat inside source list 10 interface Loopback0 overload access-list 10 permit ip 10.0.1.0 0.0.0.3 any le problème est que je n'arrive pas à écrire la bonne règle de nat pour que le ping passe vers le monde exterieur et que l'Ip d'interco soit aussi pinguable depuis le réseau d'interco interne. --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] problème de route pour un ping !
Salut :) J'ai une question qui va vous sembler peut être toute bête, mais avec la fatigue je n'arrive pas à trouver :'( RTR_A = IP 192.168.1.254/24PC192.168.1.1/24 (GW 192.168.1.254)RTR_A = IP 10.0.1.2/30RTR_B10.0.1.1/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.2)RTR_A = IP 10.0.1.6/30RTR_C10.0.1.5/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.6) Depuis le PC (192.168.1.1/24) j'arrive à pinguer l'IP d'interco des deux routeurs (10.0.1.2/30 et 10.0.1.6/30)Par contre je n'arrive pas à pinguer la seconde IP d'interco des deux routeurs (10.0.1.1/30 et 10.0.1.5/30) Depuis RTR_A je pingue n'importe quelle IP ! Pour résoudre le problème du PING est-ce que je dois par exemple monter une session BGP sur RTR_A afin de lui spécifier les différents /30 ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de route pour un ping !
Bonjour à tous, En fait la configuration des routeurs est ultra simple voir vide :) RTR_A annonce en BGP 192.168.1.0/24 192.168.2.0/24 etcRTR_A a ça comme conf ROUTE: ip route 192.168.1.100/32 10.0.1.1 RTR_B est un simple routeur avec une interco en 10.0.1.1/30 utilisant en loopback une adresse 192.168.1.X Le ping sur les IPs 192.168.1.100 fonctionne correctement, en revanche depuis le PC 192.168.1.1 je voudrais bien pinguer l'IP d'interco WAN/10.0.1.1 du routeur B, mais cela ne fonctionne pas !! J'ai eu des retours en OFF (merci ;) ) me disant de rajouter une route sur les RTR_A et RTR_B vers le reseau 192.168.1.X ! Ce que je ne pige pas c'est que j'utilise dans le RTR_A ip route 0.0.0.0 0.0.0.0 10.0.1.2 et j'arrive à pinguer une IP extérieure (1.1.1.100) connectée sur un RTR_X ayant une interco avec le RTR_A. Est-ce que cela est plus clair ? Merci. De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Jeudi 18 juin 2015 18h18 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! A mon avis, ça aiderait de voir les confs complètes de chaque routeur, mais vu que c’est jeudi, c’est pas gratuit (puisque pas permis). Le 18 juin 2015 à 16:45, Antoine Durant antoine.duran...@yahoo.fr a écrit : Salut :) J'ai une question qui va vous sembler peut être toute bête, mais avec la fatigue je n'arrive pas à trouver :'( RTR_A = IP 192.168.1.254/24PC192.168.1.1/24 (GW 192.168.1.254)RTR_A = IP 10.0.1.2/30RTR_B10.0.1.1/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.2)RTR_A = IP 10.0.1.6/30RTR_C10.0.1.5/30 (ip route 0.0.0.0 0.0.0.0 10.0.1.6) Depuis le PC (192.168.1.1/24) j'arrive à pinguer l'IP d'interco des deux routeurs (10.0.1.2/30 et 10.0.1.6/30)Par contre je n'arrive pas à pinguer la seconde IP d'interco des deux routeurs (10.0.1.1/30 et 10.0.1.5/30) Depuis RTR_A je pingue n'importe quelle IP ! Pour résoudre le problème du PING est-ce que je dois par exemple monter une session BGP sur RTR_A afin de lui spécifier les différents /30 ? --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de route pour un ping !
Salut David ! ip nat inside source list 100 interface Loopback0 overload access-list 100 permit ip 10.0.1.0 0.0.0.3 any Là, par contre, j’ai un problème. Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit être: ip nat outside source list 100 interface Loopback0 overload et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de FE4, ou l’interface de RTR_A qui porte 10.0.1.2. J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal placée ne serait pas la cause de ton problème. Oui comme tu le précise mon problème est sur l'ACL n°100 (je n'ai pas de problème avec la 101) J'ai placé volontairement cette ACL pour pouvoir depuis le RTR pinguer des adresses extérieures en sortant avec l'IP de la loopback0 Celle ci me pose problème car le ping sur les intercos ne fonctionne pas.Si j'enlève l'ACL 100 je peux pinguer mes IPs d'interco mais pas une IP dans le WAN De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 24 juin 2015 1h06 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! Voilà déjà un truc qui me plait pas: interface FastEthernet4 ip address 10.0.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex full speed 100 ! interface Vlan1 ip address 172.16.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path ip nat inside source list 101 interface Loopback0 overload access-list 101 permit ip 172.16.1.0 0.0.0.255 any ! Ca, c’est ok. Les paquets arrivant par VLAN1 avec 172.16.1.0/24 comme IP source et qui ressortent par FE4 (la default) vont être NATés en 192.168.1.100. ip nat inside source list 100 interface Loopback0 overload access-list 100 permit ip 10.0.1.0 0.0.0.3 any Là, par contre, j’ai un problème. Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit être: ip nat outside source list 100 interface Loopback0 overload et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de FE4, ou l’interface de RTR_A qui porte 10.0.1.2. J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal placée ne serait pas la cause de ton problème. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] problème de route pour un ping !
Merci David !! Tu vas pouvoir passer une bonne soirée ta solution fonctionne :) Bravo et encore merci ! De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 24 juin 2015 20h23 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! Ah ok, je comprends mieux. Donc c’est bien un ip nat inside qu’il faut mais tu veux pas NATer vers 192.168.1.0/24 pour que la réponse au ping fonctionne: ip nat inside source list 100 interface Loopback0 overload access-list 100 deny ip 10.0.1.0 0.0.0.3 192.168.1.0 0.0.0.255 access-list 100 permit ip 10.0.1.0 0.0.0.3 any Allez, dis-moi que ça marche, que je passe une bonne soirée, et qu’on passe à autre chose :) Le 24 juin 2015 à 19:54, Antoine Durant antoine.duran...@yahoo.fr a écrit : Salut David ! ip nat inside source list 100 interface Loopback0 overload access-list 100 permit ip 10.0.1.0 0.0.0.3 any Là, par contre, j’ai un problème. Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit être: ip nat outside source list 100 interface Loopback0 overload et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de FE4, ou l’interface de RTR_A qui porte 10.0.1.2. J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal placée ne serait pas la cause de ton problème. Oui comme tu le précise mon problème est sur l'ACL n°100 (je n'ai pas de problème avec la 101) J'ai placé volontairement cette ACL pour pouvoir depuis le RTR pinguer des adresses extérieures en sortant avec l'IP de la loopback0 Celle ci me pose problème car le ping sur les intercos ne fonctionne pas.Si j'enlève l'ACL 100 je peux pinguer mes IPs d'interco mais pas une IP dans le WAN De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Frnog-tech frnog-t...@frnog.org Envoyé le : Mercredi 24 juin 2015 1h06 Objet : Re: [FRnOG] [TECH] problème de route pour un ping ! Voilà déjà un truc qui me plait pas: interface FastEthernet4 ip address 10.0.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path duplex full speed 100 ! interface Vlan1 ip address 172.16.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path ip nat inside source list 101 interface Loopback0 overload access-list 101 permit ip 172.16.1.0 0.0.0.255 any ! Ca, c’est ok. Les paquets arrivant par VLAN1 avec 172.16.1.0/24 comme IP source et qui ressortent par FE4 (la default) vont être NATés en 192.168.1.100. ip nat inside source list 100 interface Loopback0 overload access-list 100 permit ip 10.0.1.0 0.0.0.3 any Là, par contre, j’ai un problème. Si tu veux NATer les paquets qui rentrent par l’interface « ip nat outside » FE4 et qui vont vers « ip nat inside » VLAN1, l’inverse donc, la règle doit être: ip nat outside source list 100 interface Loopback0 overload et avec ton ACL 100, tu le ferais que pour les paquets qui viennent de l’IP de FE4, ou l’interface de RTR_A qui porte 10.0.1.2. J’ai du mal à voir l’intérêt, et je me demande si cette règle en inside mal placée ne serait pas la cause de ton problème. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP publique sur équipement interne via routeur cisco
Bonjour, En fait je n'ai pas besoin du support du FAI. Je cherche à comprendre comment on fait ce genre de chose. Donc je voudrais essayer de reproduire une maquette chez moi, afin de pouvoir utiliser ce fonctionnement... De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : frnog-t...@frnog.org frnog-t...@frnog.org Envoyé le : Jeudi 28 mai 2015 12h33 Objet : Re: [FRnOG] [TECH] IP publique sur équipement interne via routeur cisco Internet regorge d’exemples de configuration de ce type, mais avant tout, il faut savoir comment le FAI gère le routage du subnet (un /29 j’imagine) vers les équipements du client. Et finalement, le support du FAI est là pour vous aider. Le 28 mai 2015 à 12:22, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonjour, J'ai remarqué qu'il est possible d'utiliser une IP publique sur un équipement situé en interne par exemple pour mon firewall. le FAI m'a fournit un pool d'IP publique qu'il est possible d'adresser directement sur mes équipements. En face j'ai un routeur Cisco 881 qui gère le routage, comment fait on pour configurer un Cisco 881 afin d'accepter d'utiliser un pool d'IP publique défini ? J'aimerai pouvoir reproduire cette configuration sur mon Cisco aussi. Avez vous un exemple de configuration ? Merci pour le retour. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] IP publique sur équipement interne via routeur cisco
Bonjour, J'ai remarqué qu'il est possible d'utiliser une IP publique sur un équipement situé en interne par exemple pour mon firewall. le FAI m'a fournit un pool d'IP publique qu'il est possible d'adresser directement sur mes équipements. En face j'ai un routeur Cisco 881 qui gère le routage, comment fait on pour configurer un Cisco 881 afin d'accepter d'utiliser un pool d'IP publique défini ? J'aimerai pouvoir reproduire cette configuration sur mon Cisco aussi. Avez vous un exemple de configuration ? Merci pour le retour. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Salut ! @antoine Si tu as des infos sur le choix ou orientation vers les équipements fait moi signe stp. @SébastienOn me conseille largement d'utiliser du matériel ubiquity notamment la gamme des antennes airMax Sector et des nanoStation CPE. https://www.ubnt.com/products/ @TousSi je veux diffuser la connexion SDSL depuis chez moi vers le clocher (point haut) quelle antenne dois-je mettre chez moi ?SDSL===UBNT(lequel ??)===AIRMAX-Sector===nanoStation Faut t'il faire une déclaration à la préfecture concernant l'existence des antennes ? La l33.1 est elle exigée afin de pouvoir faire ça ?Légalement que dois-je faire pour être en conformité avec la loi (asso minimum?) ? A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Hello :) On va partir sur pour l'aventure ubiquiti, quelle boutique en ligne vous me recommanderiez afin de passer commande ? J'ai regardé le site ubnt.com pour la france, lequel revendeur vous me conseillez ? Je vais avoir besoin de cable réseau extérieur anti_UV, ou faut-il se fournir ? Merci. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Si tu te tiens dans un rayon de 1km et que tout est à vue, les Nanostations seront amplement suffisantes. Evite les Nanobeam M5-16 et 19 comme la peste, c'est plus joli et pratique à poser mais ça chie dans les grandes largeurs. Je vais regarder les nanostations, tu parles bien de https://www.ubnt.com/airmax/nanostationm/ ?? Si tu as besoin de 100Mbps, oriente toi vers les Nanobeam 5AC.Est-ce le modèle suivant : https://www.ubnt.com/airmax/nanobeam-ac/ ?? Si tu dois faire du backhaul 3km, airgrid M5-HP (s'il y a bcp de vent)https://www.ubnt.com/airmax/airgridm/ ?? ou Nanobeam M5-400 (si ça souffle pas)https://www.ubnt.com/airmax/litebeam-m5/ ?? Il y a plusieurs modèles que se soit en 2.4 ou 5, je ne voudrais pas me tromper, c'est pour cela que je demande confirmation afin de ne pas acheter un truc qui va pas marcher :\ Après, c'est pas une obligation, mais te rapprocher de www.ffdn.org pourrait être bénéfique pour tous :) Oui c'est une bonne idée ! Merci :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Bonjour, Actuellement j'ai une ADSL qui est utilisé pour monter un VPN vers un autre bureau afin d'utiliser les ressources de là bas. Le problème est que de temps en temps ça rame un peux quand on utilise le VPN et qu'on surf en même temps. Je voudrais rajouter une seconde ADSL qui serait uniquement utilisé pour le surf/mail. L'ADSL 1 serait utilisée pour le VPN et l'ADSL 2 serait utilisée pour le reste du trafic. Déjà est-ce que cela est possible a faire ? Il va falloir que j'intercalle un routeur en dessous de mes deux box ADSL afin de créer une route VPN vers la BOX1 et le reste vers la BOX2. Est-ce que c'est faisable ? Quel routeur CISCO me conseillez vous (très petit budget - de 500€) Merci pour vos retours. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Routeur intermediaire pour aiguiller le trafic vers différentes adsl
Hello :) Merci pour les retours. Je cherche à monter une solution CISCO car je ne veux pas m'embêter à monter un PC ou autre chose pour réaliser ça. En tout cas les solutions sont pertinentes !! Le VPN est configuré dans la box d'orange. L'ADSL risque de migrer sur une SDSL ou une fibre quand cela sera possible, donc c'est pour cela que je préfère aussi monter un router un peu de marque pour ne pas avoir de problème dans le futur... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] extention wifi, quel matériel ?
Bonsoir la liste, Avec un groupe d’ami et de personne nous allons monter pendant nos vacances un réseau wifi afin de pouvoir nous connecter à internet en haut débit (trop la classe !!). Etant dans une zone blanche en campagne, l’arrivée de la fibre n’est pas prévu, donc on se débrouille comme on peut. La techno du wifi à donc pour nous du sens et surtout de pouvoir espérer plus de 2M... Nous allons agréger plusieurs abonnements ADSL afin de les diffuser via le wifi sur un point central situé en hauteur. Nous avons certaines maisons à « connecter » qui se trouve dans un rayon de 500 m. = Faut-t’il mettre une antenne qui arrose à 360° ou alors faire du point à point avec plusieurs antennes émettrices ?= Quel matériel vous me conseillez pour ce genre de pratique ainsi que son prix d'achat ? = Préférez-vous utiliser du wifi 2.4Ghz ou du 5Ghz ? Merci pour vos retours d’expérience et astuce. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Saut, Je vais regarder pour le GMAP, mais en attendant j'aurais bien aimé avoir une idée du matos pouvant faire l'affaire, ce ci afin de me documenter sur les produits et de faire un estimatif du prix. Ensuite la solution du clochet n'est pas définitive car je ne sais pas encore si l'accès au clochet nous sera autorisé (j'anticipe les solutions). Seconde solution est de chercher la maison la plus proche du NRA afin de reproduire le système clochet de mon image d'hier. Que ce soit le clochet/maison émettrice, nous sommes dans une grandeur de 500m à 1Km pour le raccordement des abonnées --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] extention wifi, quel matériel ?
Bonsoir et merci pour les infos :) Je vais me tourner vers du matériel UBNT car tout le monde me le conseille ! Si j'utilise du matériel UBNT 5Ghz je suis en mode HIPERLAN ou pas du tout ? Est-ce la même chose ? J'ai regardé les produits UBNT, il y en a beaucoup, je suis un peu perdu sur mes choix... Quel matériel utiliseriez vous (de préférence en 5Ghz ou vu des recommandations) pour le cas pratique (voir image du schéma) suivant : http://www.ariase.com/fr/guides/media/reseau/wifi.png = Quel matériel mettre en antenne émettrice du clochet en haut à gauche ?= Quel matériel mettre en antenne relais wifi du clochet en bas à droite ?= Quel matériel mettre sur les abonnées en bas à droite ? L'idée est quand même d'avoir du bon matériel wifi, car nous allons essayer de monter des SDSL et ou VDSL :) Merci et bonne soirée --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Bonjour, Voici le contexte :Une box ADSL connecté (192.168.1.1) sur un switch 2960Le switch 2960 à deux VLAN :vlan1 = 192.168.1.0/24vlan2 = 192.168.2.0/24 Sur le switch 2960 j'ai changé le sdm pour le routing, j'ai activé le mode ip routing sur le switch. Mon problème est que le vlan2 ne peux pas sortir sur internet depuis une adresse 192.168.2.XDepuis le switch pas de problème je ping une adresse internet (ip route 0.0.0.0 0.0.0.0 192.168.1.1)Je ne peux rien toucher sur la box ADSL... Je me dis que cela est normal le 2960 étant un layer2 il n'est pas possible de faire du NAT pour faire sortir 192.168.2.X via 192.168.1.X. Au cas ou, je pose la question, est-ce possible de faire quelque chose (ACL? autre...) pour que le vlan2 puisse surfer ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
Oui c'est bien ce que je me disais aussi... Le 2960 ne sait pas faire du NAT non plus :\ De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h06 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl Aucune chance alors, il te faut du NAT pour 192.168.2.0/24 Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl
MDR ! Oui bonne idée, par contre je cherche le 6500 au format 1U... De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h21 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl non, tu achètes un 6500, qqun en vendait un pour pas cher il y a quelques jours sur la liste :) Le 21 juil. 2015 à 20:09, Antoine Durant antoine.duran...@yahoo.fr a écrit : Oui c'est bien ce que je me disais aussi... Le 2960 ne sait pas faire du NAT non plus :\ De : David Ponzone david.ponz...@gmail.com À : Antoine Durant antoine.duran...@yahoo.fr Cc : Sebastien Lecomte sebastien.leco...@pacwan.net; Frnog-tech frnog-t...@frnog.org Envoyé le : Mardi 21 juillet 2015 20h06 Objet : Re: [FRnOG] [TECH] cisco 2960 deux vlan et une box adsl Aucune chance alors, il te faut du NAT pour 192.168.2.0/24 Le 21 juil. 2015 à 20:04, Antoine Durant antoine.duran...@yahoo.fr a écrit : Bonsoir :) Je n'ai pas la main sur la box c'est pour ça que j'essaye de mettre un 2960 afin de faire un montage/test/bidouille pour sortir sur internet avec le VLAN2. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Doublon dans règle NAT CISCO ??
Bonjour, Il me semble que j’ai un doublon sur une règle de NAT concernant les règles suivantes : = ip nat inside source list 101 interface Loopback0 overload = access-list 101 permit ip 172.16.1.252 0.0.0.3 any ET = ip nat inside source static 172.16.1.253 192.168.1.10 extendable A mon avis si je laisse la règle : = ip nat inside source static 172.16.1.253 192.168.1.10 extendable Et que je supprime les deux : = ip nat inside source list 101 interface Loopback0 overload = access-list 101 permit ip 172.16.1.252 0.0.0.3 any est-ce que cela reviendrait t’il pas au même Pour schématiser le routeur 172.16.1.254 envoi tout le trafic sur le pare-feux 172.16.1.253 et inverssement. Il n'y a que deux hotes dans le réseau 172.16.1.252/30 Config du Cisco : ! interface Loopback0 ip address 192.168.1.10 255.255.255.255 ! interface FastEthernet4 ip address 10.0.0.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in ip verify unicast reverse-path ! interface Vlan1 ip address 172.16.1.254 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ip verify unicast reverse-path ! ip nat inside source list 100 interface Loopback0 overload ip nat inside source list 101 interface Loopback0 overload ip nat inside source static 172.16.1.253 192.168.1.10 extendable ip route 0.0.0.0 0.0.0.0 10.0.0.2 ! access-list 100 deny ip 10.0.0.0 0.0.0.3 192.168.1.0 0.0.0.255 access-list 100 permit ip 10.0.0.0 0.0.0.3 any access-list 101 permit ip 172.16.1.252 0.0.0.3 any Merci pour le retour :) --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] QOS voix switch cisco
Bonjour, Je veux appliquer une QOS voix sur un switch cisco 2960 avec l’IOS 15. Le contexte est le suivant : 1)le 2960 est connecté sur le routeur internet 2) j’ai plusieurs petits switch (non managable) sur les quels il y a PC et téléphones de connectés. 3)les petits switch sont connectés sur le cisco (fa0/1 => switch 1 ; fa0/2 => switch2) Comment faire pour appliquer la QOS lorsqu’il y a trafic data+voix sur le port « uplink » (fa0/1 ; fa0 /2 ) du 2960 ? Un exemple de configuration et retour d’expérience serait la bienvenue. En vous remerciant. A+ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Hello, Que me conseillez-vous comme orientation sur le choix de la configuration ? QOS sur le routeur ou QOS sur les uplink du switch ? A++ De : Antoine Durant <antoine.duran...@yahoo.fr> À : Simon Perreault <sperrea...@jive.com>; David Ponzone <david.ponz...@gmail.com> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 27 octobre 2015 16h46 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers connectés sur les sous-switch non managable. Pour info je me suis servie du post FRNOG pour la limitation de trafic http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960 Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les ports uplink afin que la voix soit prioritaire par rapport au flux donnée. Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de récupérer un cisco 1800 série si besoin... Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les ports uplink ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Le 2960 intègre une limitation de bande passante sur les ports uplink (fa0/1 ; fa0/2) afin que la sortie vers internet ne soit pas monopolisé par les usagers connectés sur les sous-switch non managable. Pour info je me suis servie du post FRNOG pour la limitation de trafic http://frnog.frnog.narkive.com/NITJ2twZ/tech-limitation-trafic-entre-deux-mac-sur-2960 Maintenant par précaution, je veux mettre en place la QOS sur la voix sur les ports uplink afin que la voix soit prioritaire par rapport au flux donnée. Le routeur pour l'accès internet est aussi un cisco 800 série, je viens de récupérer un cisco 1800 série si besoin... Est-ce que "mls qos trust cos" et "auto qos voip trust" est suffisant sur les ports uplink ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"-tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir impossible sur du trafic UDP"Parceque sur le switch il n'est pas possible de faire en OUPUT... "-tu « polices » l’AUDIO ? Généralement, l’idée est plutôt de « policer » le reste pour être sur que l’audio ait de la place"Oui, j'ai lu cela à plusieurs reprise sur des configurations Donc à la place de POLICE il faut utiliser quoi alors ? une réservation de bande passante ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 3 novembre 2015 19h15 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco 2 commentaires: -tu fais du policy en INPUT, alors que c’est là que c’est le plus délicat, voir impossible sur du trafic UDP-tu « polices » l’AUDIO ? Généralement, l’idée est plutôt de « policer » le reste pour être sur que l’audio ait de la place > Le 3 nov. 2015 à 19:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonsoir :) > Voici la configuration que je pense être "bonne", est-ce que pour vous cela > semble OK pour la QOS VOIX ?? > Le port fa0/1 est un uplink connecté à un switch non managable (sur celui-ci > il ya des postes + téléphone IP non cisco)le port fa0/10 est l'uplink vers le > routeur internet > > !mls qos > ! > class-map match-all SIGNALING > match access-group name SIGNALING > class-map match-all AUDIO > match access-group name AUDIO > ! > policy-map QOS > class AUDIO > set ip dscp ef > police 48000 8000 exceed-action drop > class SIGNALING > set ip dscp af31 > police 1 8000 exceed-action drop > ! > interface FastEthernet0/1 > description * uplink sous-switch * > switchport access vlan 10 > switchport mode access > switchport nonegotiate > mls qos trust cos > spanning-tree portfast > service-policy input QOS > ! > interface FastEthernet0/10 > description * uplink vers ROUTEUR WAN * > switchport trunk allowed vlan 10,11 > switchport mode trunk > mls qos trust cos ?? > spanning-tree portfast > service-policy input QOS > ! > ip access-list extended AUDIO > permit udp any any range 16384 32767 > ip access-list extended SIGNALING > permit tcp any any range 2000 2002 > permit tcp any any range 5060 5061 > ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
J'ai pas tout compris :\ "Presque ça, sauf que là, tu shapes le trafic voix à 2Mbps :)Ce que tu veux, c’est shaper ta data à 200*0.9 par exemple, donc 1.8Mbps, pour laisser 200Kbps minimum pour la voix."Oui je veux limiter la data pour laisser place à la voix. par exemple sur un lien 4M je veux laisser 2M pour la voix. Comment tu fais le shape pour exclure la data pour laisser prio la voix ? A quoi correspond le 0.9 ? "Les Service Policy de Cisco, c’est quand même un gros gros bordel, il y a X manières de faire les choses, dont un certain nombre qui ne marchent pas sur tel ou tel hardware et/ou IOS."Oui la je m'arrache le peu de cheveux qui me reste "Personnellement, je vais au plus simple."C'est quoi alors le plus simple selon toi? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"Sur le switch, je pense que je me contenterais de faire du trust cos sur tous les postes, si bien entendu les flux SIGNALING et AUDIO sont correctement taggés par tes endpoints."Donc si je comprend ton avis, il faut que j'active *mls qos trust cos* sur tout les ports du switch à conditions que mes téléphones taguent bien le COS/SDCP ?? "Ensuite sur le routeur, je ferais du « shape average » de la data en output sur le lien WAN afin de garder X% pour la voix, et de même sur le port qui va vers le switch (ce qui correspond à l’INPUT du WAN)."Comment tu réalise le shape average sur le routeur ?? ! mls qos ! class-map match-all SIGNALING match access-group name SIGNALING class-map match-all AUDIO match access-group name AUDIO ! policy-map QOS class AUDIO set ip dscp ef shape average 200 class SIGNALING set ip dscp af31 shape average 200 ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 ! interface WAN mls qos trust cos service-policy output QOS ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour Stars Wars 7 :D Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du switch vers les sous switchs non manageable. Il faut aussi que j'applique cette police en input sur le switch non ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h43 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera la casse pour ce qui est de TCP :) Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
>Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
David, je crois que l'on est pas sur la même longueure d'onde :\ Un accès internet 4M est partagé entre deux bureaux. J'ai un routeur cisco qui est connecté à un switch 2960 port fa0/24. Sous le 2960 sur le port fa0/1 j'ai un switch non manageable du bureau 1 (192.168.1.0/24) et sur le port fa0/2 un switch non manageable du bureau 2 (192.168.2.0/24). Les deux bureaux n'ont pas à se voir ou échanger des données entre eux (VLAN 10 -> Bureau1 / VLAN 11 -> Bureau2). Dans chaque bureau ils peuvent échanger entre eux à 100M via leur switch non manageable. Dans chaque bureau il faut limiter la bande passante vers le routeur pour l'accès internet 2Mb UP/2Mb Down. Pour cela sur le switch 2960 sur le port fa0/1 (idem pour fa0/2) j'ai : ! mls qos ! class-map match-all UP match access-group name ACLUP2M class-map match-all DOWN match access-group name ACLDOWN2M ! policy-map BP_UP class-map match-all ACLUP2M police 200 100 exeed-action drop policy-map BP_DOWN class-map match-all ACLDOWN2M police 200 100 exeed-action drop ! interface Fa0/1 swicthport access vlan 10 switchport mode access swicthport nonegociate spanning-tree portfast service-policy input BP_UP ! interface Fa0/24 swicthport trunk allowed vlan 10,11 switchport mode trunk swicthport nonegociate spanning-tree portfast service-policy input BP_DOWN ! ip access-list extended ACLUP2M permit ip any 192.168.1.0 0.0.0.255 permit ip any 192.168.2.0 0.0.0.255 deny ip any any ip access-list extended ACLDOWN2M permit ip 192.168.1.0 0.0.0.255 any permit ip 192.168.2.0 0.0.0.255 any deny ip any any ! Donc maintenant, je me demande s'il ne faut pas AUSSI rajouter une QOS pour la VOIX sur fa0/1,fa0/2 et fa0/24 afin de ne pas avoir un problème de saturation via les uplink du 2960... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
> B oui mais pas pour limiter à 4mbps! Celle-là, c’est pour éviter la > saturation du switch lors d’un gros échange data entre 2 ports, mais bon, ça > devrait pas saturer un switch récent correct. Saturation tout dépend de comment on l'interprète... J'ai un lien internet 4Mb; j'ai deux sous-switch non manageable sur le quel je veux limiter l'accès internet a 2Mb en UP et 2M en down. Je me sert donc du switch 2960 pour faire la limitation de BP, maintenant je veux que l'uplink entre le siwtch 2960 et les switchs non manageable soit pas impactés pour la VOIX > Normalement, demander au switch de respecter la COS des paquets voix sur tous > les ports devait suffire.Oui en activant mls qos trust cos sur les ports > uplink du 2960 raccordant les sous switchs (qui eux ne taguent rien...) >Tu peux en plus activer les mécanismes de storm control et autres du >switch.Oui mais je ne sais pas trop quelle valeur du level est à mettre quand >on limite la BP à 2Mb sur un port... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
En fait c'est la question que je me pose ! A) Faut-il appliquer la QOS (en input) sur le port switch connecté au port du routeur LAN (qui lui aura la QOS en output) ?B) Faut-il appliquer la QOS (en input) sur e port du switch connecté au port du sous-switch non manageable ? Faire A et B ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h58 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco INPUT venant du routeur ?Pas trop la peine puisque tu as limité côté routeur en OUTPUT. Le 5 nov. 2015 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Ok en output pour le LAN coté routeur :) J'ai encore un peux de temps pour Stars Wars 7 :D Suite à mon premier message, j'ai une limitation en up/down sur les uplinks du switch vers les sous switchs non manageable. Il faut aussi que j'applique cette police en input sur le switch non ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 5 novembre 2015 10h43 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, output aussi sur le LAN, ce qui correspond à l’input du WAN.Ca sera pas parfait en cas de téléchargement de Star Wars 7 sur Torrent, mais ça limitera la casse pour ce qui est de TCP :) Le 5 nov. 2015 à 10:38, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >Ensuite sur le routeur, je ferais du « shape average » de la data en output >sur le lien WAN afin de garder X% pour la >voix, et de même sur le port qui va >vers le switch (ce qui correspond à l’INPUT du WAN). Je reprends le point ci-dessus... Je dois appliquer le shape average en output sur l'interface WAN via ! interface WAN mls qos trust cos service-policy output QOS! et sur l'interface du routeur qui connecte le switch via ! interface LAN mls qos trust cos service-policy input QOS ! C'est bien ça ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
"Tu fais une ACL basée sur des deny, plutôt que des permit."OK... Je vois ! Quelque chose comme ça alors ?? ! mls qos ! class-map match-all VOIP match access-group name SIGNALING match access-group name AUDIO ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 ! policy-map wan-queue-policy class VOIP priority 180 class class-default fair-queue random-detect ! policy-map wan-shape-policy class class-default shape average 200 service-policy wan-queue-policy ! interface WAN service-policy out wan-shape-policy ! "J’ai pris une valeur d’exemple, qui consisterait à limiter la data à 90% du lien."D'accord oui c'est fonction du nombre d'appel que je veux pouvoir assurer sur le lien. "Certains diraient qu’on perd de la capa max pour la data, même quand il n’y a pas d’appels VoIP."Ha ha je savais pas !? Donc en fait la QOS n'est pas dynamique, c'est à dire que à un instant X si pas de VOIP il ne sera pas possible d'utiliser toute la capacité du tuyau ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] QOS voix switch cisco
Quel soft existe pour tester si la réservation de la QOS VOIX est fonctionnelle ?? Je pensai lancer un iperf pour monopoliser le lien en data mais ensuite je ne sais pas comment lancer le test pour la VOIX Je suis en test je ne touche pas encore au matos de production! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Salut, Bon je vais faire confiance à mon Asterisk puisque cela fonctionne bien !! Je vais rien toucher sur le Cisco... De : David Ponzone <david.ponz...@gmail.com> À : Duchet Rémy <r...@duchet.eu> Cc : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 9 octobre 2015 18h45 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur +1 Mais si ça fonctionne aussi en le désactivant, je le vire. Le 9 oct. 2015 à 18:31, Duchet Rémy <r...@duchet.eu> a écrit : > Salut, > > J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA. > Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider > SIP ne le supporte pas. > Si ça fonctionne, pourquoi changer ? > > Rémy > Message d'origine > De: Antoine Durant > Envoyé: vendredi 9 octobre 2015 18:22 > À: frnog-t...@frnog.org > Répondre à: Antoine Durant > Objet: [FRnOG] [TECH] SIP ALG sur routeur > > Salut ! > Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des > routeurs : > http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ > J'utilise et administre un serveur ASTERISK sur un serveur présent dans un > centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont > chercher/connecter l'ASTERISK. > Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" > ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues > avec mon ASTERISK... > Quel est votre avis d'expert sur SIP ALG en mode centrex ? > Bon WE :) > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Salut, C'est justement ma question... En faisant une recherche sur gooogle on trouve que notamment sur les Cisco il le désactive... J'ai du mal à cerner quand faut t'il le désactiver... De : Duchet Rémy <r...@duchet.eu> À : Antoine Durant <antoine.duran...@yahoo.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 9 octobre 2015 18h31 Objet : Re: [FRnOG] [TECH] SIP ALG sur routeur Salut, J'ai les 2 cas de figure. Sur un Asterisk aucun soucis derrière du ASA. Sur le même type de FW, il m'a fallu désactiver le ALG parce que le provider SIP ne le supporte pas. Si ça fonctionne, pourquoi changer ? Rémy Message d'origine De: Antoine Durant Envoyé: vendredi 9 octobre 2015 18:22 À: frnog-t...@frnog.org Répondre à: Antoine Durant Objet: [FRnOG] [TECH] SIP ALG sur routeur Salut ! Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des routeurs : http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ J'utilise et administre un serveur ASTERISK sur un serveur présent dans un centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont chercher/connecter l'ASTERISK. Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec mon ASTERISK... Quel est votre avis d'expert sur SIP ALG en mode centrex ? Bon WE :) --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] SIP ALG sur routeur
Salut ! Je viens de tomber sur l'article concernant la désactivation SIP ALG sur des routeurs : http://docs.keyyo.com/telephonie-fixe/expert/desactivation-optimisation-sip-routeur-wan/ J'utilise et administre un serveur ASTERISK sur un serveur présent dans un centre de données, j'ai quelque poste en centrex derrière un Cisco qui vont chercher/connecter l'ASTERISK. Est-ce que je dois désactiver SIP ALG "no ip nat service sip udp port 5060" ?Je ne rencontre aucun problème à ce jour pour que mes téléphones dialogues avec mon ASTERISK... Quel est votre avis d'expert sur SIP ALG en mode centrex ? Bon WE :) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] SIP ALG sur routeur
Intéressant ! Quel est la valeur du timeout UDP ? --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] fibre versus agrégat adsl
Hello, J’ai une question auquel je n’arrive pas vraiment à trouver de réponse dans ma quête pour avoir du haut débit ! J’ai le choix entre deux techno : cuivre/fibre optique. Cas n°1 : Deux ADSL que j’agrège, pour obtenir un débit théorique de presque 40M en réception et 2M en émission. Cas n°2 : Une fibre 10M symétrique. Sur le papier je vois 40M contre 10M, donc le choix peut être fait rapidement !!! Mais…. Moi j’aime bien le n°2 car moins de latence que le cuivre, plus grande stabilité, j’en oublie… Quelle solution prendriez-vous et pourquoi l'une plutôt que l'autre ? Bonne soirée !! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] fibre versus agrégat adsl
>Et pas de souci de contention dès que tu uploades des donnéesQue veux tu dire >par contention ? >C'est aussi une question de pérennité. Perso je n'ai jamais vraiment >trop fait confiance au cuivre pour transporter de l'ADSL, et ça va sans >doute pas s'améliorer avec le temps.Je plussoii --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] fibre versus agrégat adsl
EFM c'est de la Sdsl ? >A moins que tu ne sois en train de regarder des offres résidentielles, auquel >cas ce n'est pas mon métier.Je regarde les deux...Chui pas fermé :p --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas ! J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande enregistrée. Donc c'est l'un ou l'autre De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h18 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même un Technicolor à 30€ en fait 5 fois plus. Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Oui c'est pas génial je dois dire là ! Mais bon avec ma technique via DHCP binding j'arrive à me débrouiller mais il faut que je m'y prenne en deux fois quoi :\ De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h48 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ouais, c’est ce que je disais: DHCP sur Cisco, faut oublier. David Ponzone Direction Techniqueemail: david.ponzone@ipeva.frtel: 01 74 03 18 97gsm: 06 66 98 76 34 Service Client IPevatel: 0811 46 26 26www.ipeva.fr - www.ipeva-studio.com Ce message et toutes les pièces jointes sont confidentiels et établis à l'intention exclusive de ses destinataires. Toute utilisation ou diffusion non autorisée est interdite. Tout message électronique est susceptible d'altération. IPeva décline toute responsabilité au titre de ce message s'il a été altéré, déformé ou falsifié. Si vous n'êtes pas destinataire de ce message, merci de le détruire immédiatement et d'avertir l'expéditeur. Le 28 juin 2016 à 13:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Non car le fait d'utiliser host 192.168.1.1 255.255.255.255 ne plait pas ! J'avais essayé de mettre client-id + hw-add mais il garde la dernière commande enregistrée. Donc c'est l'un ou l'autre De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mardi 28 juin 2016 13h18 Objet : Re: [FRnOG] [TECH] Incompréhension DHCP Cisco Ben tu peux pas mettre les 2 dans un pool /32 ?Ou sinon tu peux pas faire 2 pool /32 pour la même IP, un avec client-id et l’autre avec hw-add ?J’avoue que je joue pas trop avec ça, les limitations du DHCP de Cisco me dépriment. Même un Technicolor à 30€ en fait 5 fois plus. Le 28 juin 2016 à 13:15, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Incompréhension DHCP Cisco
Bonjour :) Je n'arrive pas à figer une adresse ip sur le Cisco en utilisant hardware-address d'un PC sous Windows 7. ip dhcp pool portable-acer host 192.168.1.1 255.255.255.0 hardware-address e840.f2ab.5db8 Le routeur ne me donne pas l'adresse 192.168.1.1 mais la suivante 192.168.1.2. La sortie du ip DHCP binding est la suivante : 192.168.1.1 e840.f2ab.5db8 Infinite Manual 192.168.1.2 01e8.40f2.ab5d.b8 Jun 29 2016 11:07 AM Automatic Si j'utilise client-identifier 01e8.40f2.ab5d.b8 me semble que je vais pas avoir de pb. J'ai du mal à comprendre hardware-address vs client-identifier Comment faire pour utiliser l'adresse MAC pour la réservation d'adresse ? Merci --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Incompréhension DHCP Cisco
Oui c'est vraiment pénible :) En regardant sur Google j'ai vu que je ne suis pas le seul c'est rassurant mais je ne suis pas vraiment tombé sur un article détaillé... Pour savoir si je dois appliquer Client-ID ou HA, je laisse le DHCP du routeur fournir une adresse à la machine et ensuite je clear le binding puis j'ajoute le pool en fonction de ce que me retourne ip DHCP binding (Client ou hardware) Je ne sais pas si c'est la bonne méthode mais dans mon cas j'arrive à faire la réservation --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Salut, Je dois en conclure que j'ai juste, ou, alors tout faux ? C'est pas évident de trouver une autocorrection sur le web car il y a plein de choses contradictoires. Il est difficile de me faire une idée si j'ai bon ou pas... Merci Hello, Suite à vos différentes remarques et conseils, voici la configuration que je vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711. ! class-map match-all VOIP_AUDIO match access-group name AUDIO class-map match-all VOIP_SIGNALING match access-group name SIGNALING ! policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue ! interface FastEthernet4 service-policy output QOS ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 permit udp any any range 5060 5061 ! Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du fournisseur pour le sens PE > CPE Merci et bonne journée à tous ! --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Hello, Suite à vos différentes remarques et conseils, voici la configuration que je vais mettre en place concernant la QOS pour 4 appels utilisant le codec g711. ! class-map match-all VOIP_AUDIO match access-group name AUDIO class-map match-all VOIP_SIGNALING match access-group name SIGNALING ! policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue ! interface FastEthernet4 service-policy output QOS ! ip access-list extended AUDIO permit udp any any range 16384 32767 ip access-list extended SIGNALING permit tcp any any range 2000 2002 permit tcp any any range 5060 5061 permit udp any any range 5060 5061 ! Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du fournisseur pour le sens PE > CPE Merci et bonne journée à tous ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
Bonjour Saïd, Merci pour ton aide. Pour le moment je suis sur une sdsl de 2M. Quand tu me dit de rajouter policy-map WANshape_Qos sur l'interface interface FastEthernet4, j'ai déjà un service Policy il n'est pas possible d'en avoir deux non ? Si je fais ca est-ce que c'est bon ? policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default --->shape average 1843000 fair-queue De : Said Ahmed Sambe <said.sa...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 11 février 2016 11h29 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Bonjour, A première lecture ton implémentation me semble correcte en tout cas pour la gestion de la COS pour les flux voix. Seule remarque ton CBR en sortie de ton port interface fastEthernet 0 est il de 10 M 100 M ou 2 M ou autres. Si oui faudra adapter ton policy-map en définissant la vraie valeur sur laquelle sera appliquée la politique de (QOS) en cas de congestion. Ce la reviendrait à faire du HFQ. exemple tu crées un policy-map parent dans lequel tu appelles ta politique QOS exemple policy-map WANshape_Qos class class-default shape average 1843000 <-- la bande passante de mon interface de sortie est de 1,8M et poussière service-policy WANoutQoS Le 11 février 2016 à 10:53, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > Salut, > Je dois en conclure que j'ai juste, ou, alors tout faux ? > C'est pas évident de trouver une autocorrection sur le web car il y a > plein de choses contradictoires. Il est difficile de me faire une idée si > j'ai bon ou pas... > Merci > > > Hello, > Suite à vos différentes remarques et conseils, voici la configuration que > je vais mettre en place concernant la QOS pour 4 appels utilisant le codec > g711. > ! > class-map match-all VOIP_AUDIO > match access-group name AUDIO > class-map match-all VOIP_SIGNALING > match access-group name SIGNALING > ! > policy-map QOS > class VOIP_AUDIO > set ip dscp ef > priority 320 > class VOIP_SIGNALING > set ip dscp af31 > bandwidth 16 > class class-default > fair-queue > ! > interface FastEthernet4 > service-policy output QOS > ! > ip access-list extended AUDIO > permit udp any any range 16384 32767 > ip access-list extended SIGNALING > permit tcp any any range 2000 2002 > permit tcp any any range 5060 5061 > permit udp any any range 5060 5061 > ! > Pour rappel, je ne peux agir que sur mon routeur (CPE) et non sur celui du > fournisseur pour le sens PE > CPE > Merci et bonne journée à tous ! > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > -- Saïd Ahmed SAMBE. Ingénieur Support Technique VPN- Data - Bouygues Telecom 1 B, rue Achille Martinet 75018 Paris Tel: 06 69 31 98 27 "Be not afraid of greatness : some are born great, some achieve greatness, and some have greatness thrust upon them." William Shakespeare "If you see me in a fight with the bear, pray for the bear". Kobe Briant --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
La QOS pour le débit descendant Internet > Routeur CPE est à appliquer par le FAILa QOS pour le débit montant CPE > Internet est à appliquer par moi via l'interface fa4 c'est bien ca ? Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien (1843000) ? --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] QOS voix switch cisco
D'accord oui je vois le truc ! Si j'ai tout compris, le cisco va allouer 320K (priority 320) pour l'audio et 16K (bandwidth 16) pour le signaling dans les 1,8M disponible sur le lien (1843000) ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Said Ahmed Sambe <said.sa...@gmail.com>; frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 11 février 2016 12h15 Objet : Re: [FRnOG] [TECH] QOS voix switch cisco Non, je crois que c’est obligatoirement l’inverse, comme Saïd t’a dit parce que le Cisco ne peut faire de QoS que sur une interface dont il gère le shaping. C’est expliqué plus ou moins bien sur des documents de Cisco. Donc: policy-map WANshape_Qos class class-default shape average 1843000 service-policy QOS policy-map QOS class VOIP_AUDIO set ip dscp ef priority 320 class VOIP_SIGNALING set ip dscp af31 bandwidth 16 class class-default fair-queue Et tu appliques WANshape_Qos sur FE4. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Bonjour Xavier, Je vais dans un premier temps éviter le VPN, je suis en train de regarder NAT NVI comme suggéré par David...mais c'est assez compliqué au premier abord... Je vais avoir besoin de plusieurs boites d'aspirines !!! De : Xavier ROCA <x.r...@sdi.fr> À : frnog-t...@frnog.org Envoyé le : Vendredi 8 avril 2016 15h04 Objet : RE: [FRnOG] [TECH] IP Nat sur Cisco Bonjour, Je ne sais pas ton objectif final donc voici une idée mais pas forcément adaptée mais relativement simple. VPN entre R1 et R2. Puis un double NAT sur R1 et R2 pour passer par le VPN, ca le fait. Xavier -Message d'origine- De : Antoine Durant [mailto:antoine.duran...@yahoo.fr] Envoyé : vendredi 8 avril 2016 14:23 À : David Ponzone Cc : frnog-t...@frnog.org Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et vlan102 ca va passer ? NAT NVI je ne connais pas je vais regarder Google ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h13 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING. Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 > j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème > est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je > n'arrive pas à résoudre ça :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant > <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" > <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : > Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :R1 => LAN_1 > > :R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > insid
Re: [FRnOG] [TECH] IP Nat sur Cisco
Bonjour David, Je comprend ta remarque et me doute bien que vous avez tous des occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour avoir un coup de pouce... Voici le schéma : http://hpics.li/82254e6 Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 connecté derrière R1, donc le NAT/access-list fonctionne. Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça :( Merci d'avance à tous. De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 12h48 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Antoine, je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs pour comprendre l’archi, ça prend tout de suite un peu plus de temps. Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit schéma par exemple ? > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs > pour le test : > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > : > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > :R1 => LAN_1 > :R2 => LAN_2 > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais > accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir > via 1.1.1.2. > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > inside/access-list. > Une petite idée ? j'ai épuisé toute mes solutions... Merci > ROUTEUR-TEST > interface FastEthernet4 > ip address 172.16.3.30 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > duplex auto > speed auto > ! > interface Vlan1 > ip address 1.1.1.100 255.255.255.128 > ! > ip forward-protocol nd > no ip http server > no ip http secure-server > ! > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > ROUTEUR-NAT > interface Loopback0 > ip address 1.1.1.1 255.255.255.255 > ! > interface Loopback1 > ip address 1.1.1.2 255.255.255.255 > ! > interface FastEthernet0 > description * UPLINK R1 * > switchport access vlan 101 > no ip address > ! > interface FastEthernet1 > description * UPLINK R2 * > switchport access vlan 102 > no ip address > ! > interface FastEthernet4 > description ** UPLINK ROUTEUR-TEST ** > ip address 172.16.3.29 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat outside > ip virtual-reassembly in > duplex auto > speed auto > ! > interface Vlan101 > ip address 10.0.1.2 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > ! > interface Vlan102 > ip address 10.0.1.6 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > ! > ip forward-protocol nd > no ip http server > no ip http secure-server > ! > ip nat inside source list 101 interface Loopback0 overload > ip nat inside source list 102 interface Loopback1 overload > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > ip nat inside source static 10.0.1.5 1.1.1.2 extendable > ip route 0.0.0.0 0.0.0.0 172.16.3.30 > ! > access-list 101 permit ip 10.0.1.0 0.0.0.3 any > access-list 102 permit ip 10.0.1.4 0.0.0.3 any > R1 > ip dhcp pool LOCAL-192.168.1.0 > network 192.168.1.0 255.255.255.0 > default-router 192.168.1.254 > domain-name lan1.local > lease infinite > ! > ip cef > no ip bootp server > no ip domain lookup > no ipv6 cef > ! > interface FastEthernet0/0 > ip address 10.0.1.1 255.255.255.252 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat outside > ip virtual-reassembly in > duplex auto > speed auto > ! > interface FastEthernet0/1 > ip address 192.168.1.254 255.255.255.0 > no ip redirects > no ip unreachables > no ip proxy-arp > ip nat inside > ip virtual-reassembly in > duplex auto > speed au
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 et vlan102 ca va passer ? NAT NVI je ne connais pas je vais regarder Google ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h13 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ton problème est vieux comme le monde :) Ca s’appelle le NAT HAIRPINNING. Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT 1-to-1: ip nat inside source static 10.0.1.1 1.1.1.1 extendable L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour va le modifier en 192.168.1.1 (server0). Le paquet retour va partir de 192.168.1.1 (server0) à destination de 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de VLAN101 vers VLAN102. Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait envoyé un paquet à 1.1.1.1. En fait, c’est le problème fondamental qui consiste à accéder à une IP publique qui donne accès à une ressource interne grâce à du NAT, en étant soi-même pas de l’autre côté du NAT, mais en interne. Prends de l’aspirine et: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Pour moi tu as 2 solutions: -DNS split-horizon -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu d’aspirine pour par pondre une grosse bouse > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour David, > > Je comprend ta remarque et me doute bien que vous avez tous des occupations. > J'ai cherché mais en vain, c'est pour cela que je m'adresse à frnog pour > avoir un coup de pouce... > > Voici le schéma : http://hpics.li/82254e6<http://hpics.li/82254e6> > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > connecté derrière R1, donc le NAT/access-list fonctionne. > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon avis > situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à résoudre ça > :( > > Merci d'avance à tous. > > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 12h48 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Antoine, > > je pense que plusieurs sur cette liste pourront te régler ce problème en 3/5 > minutes max, mais ils ont comme beaucoup un métier et un patron (ou pas de > patron, mais des clients et une femme, ou pas de patron, pas de femme, pas de > clients, mais un banquier, etc….) et donc s’il faut se plonger dans tes confs > pour comprendre l’archi, ça prend tout de suite un peu plus de temps. > > Tu peux juste détailler un peu mieux qui est connecté à quoi, par un petit > schéma par exemple ? > > > > Le 8 avr. 2016 à 11:32, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 > > routeurs pour le test : > > ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) > > : > > ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 > > :R1 => LAN_1 > > :R2 => LAN_2 > > Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au > > serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je > > voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui > > doit sortir via 1.1.1.2. > > Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat > > inside/access-list. > > Une petite idée ? j'ai épuisé toute mes solutions... Merci > > ROUTEUR-TEST > > interface FastEthernet4 > > ip address 172.16.3.30 255.255.255.252 > > no ip redirects > > no ip unreachables > > no ip proxy-arp > > duplex auto > > speed auto > > ! > > interface Vlan1 > > ip address 1.1.1.100 255.255.255.128 > > ! > > ip forward-protocol nd > > no ip http server > > no ip http secure-server > > ! > > ip route 1.1.1.1 255.255.255.255 172.16.3.29 > > ip route 1.1.1.2 255.255.255.255 172.16.3.29 > > ROUTEUR-NAT > > interface Loopback0 > > ip address 1.1.1.1 255.255.255.255 > > ! > > interface Loopback1 > > ip addr
[FRnOG] [TECH] IP Nat sur Cisco
Bonjour,J'essaye de reproduire un réseau en employant du NAT, j'ai 4 routeurs pour le test : ROUTEUR-TEST => Une machine est derrière lui (1.1.1.10) : ROUTEUR-NAT => Celui interconnecte deux autres routeurs R1/R2 :R1 => LAN_1 :R2 => LAN_2 Depuis une machine (1.1.1.10) sur le ROUTEUR-TEST j'arrive à acceder au serveur web (1.1.1.1) branché derrière le routeur R1. Maintenant je voudrais accéder au serveur web 1.1.1.1 depuis le LAN_2 du routeur R2 qui doit sortir via 1.1.1.2. Cela ne fonctionne pas, je n'arrive pas à trouver le bon réglage sur ip nat inside/access-list. Une petite idée ? j'ai épuisé toute mes solutions... Merci ROUTEUR-TEST interface FastEthernet4 ip address 172.16.3.30 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp duplex auto speed auto ! interface Vlan1 ip address 1.1.1.100 255.255.255.128 ! ip forward-protocol nd no ip http server no ip http secure-server ! ip route 1.1.1.1 255.255.255.255 172.16.3.29 ip route 1.1.1.2 255.255.255.255 172.16.3.29 ROUTEUR-NAT interface Loopback0 ip address 1.1.1.1 255.255.255.255 ! interface Loopback1 ip address 1.1.1.2 255.255.255.255 ! interface FastEthernet0 description * UPLINK R1 * switchport access vlan 101 no ip address ! interface FastEthernet1 description * UPLINK R2 * switchport access vlan 102 no ip address ! interface FastEthernet4 description ** UPLINK ROUTEUR-TEST ** ip address 172.16.3.29 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface Vlan101 ip address 10.0.1.2 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ! interface Vlan102 ip address 10.0.1.6 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in ! ip forward-protocol nd no ip http server no ip http secure-server ! ip nat inside source list 101 interface Loopback0 overload ip nat inside source list 102 interface Loopback1 overload ip nat inside source static 10.0.1.1 1.1.1.1 extendable ip nat inside source static 10.0.1.5 1.1.1.2 extendable ip route 0.0.0.0 0.0.0.0 172.16.3.30 ! access-list 101 permit ip 10.0.1.0 0.0.0.3 any access-list 102 permit ip 10.0.1.4 0.0.0.3 any R1 ip dhcp pool LOCAL-192.168.1.0 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 domain-name lan1.local lease infinite ! ip cef no ip bootp server no ip domain lookup no ipv6 cef ! interface FastEthernet0/0 ip address 10.0.1.1 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in duplex auto speed auto ! ip nat inside source list 101 interface FastEthernet0/0 overload ip nat inside source static tcp 192.168.1.1 80 interface FastEthernet0/0 80 ip nat inside source static tcp 192.168.1.22 22 interface FastEthernet0/0 22 ip route 0.0.0.0 0.0.0.0 10.0.1.2 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any R2 ip dhcp pool LOCAL-192.168.1.0 network 192.168.1.0 255.255.255.0 default-router 192.168.1.254 domain-name lan2.local lease infinite ! ip cef no ip bootp server no ip domain lookup no ipv6 cef ! interface FastEthernet0/0 ip address 10.0.1.5 255.255.255.252 no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip virtual-reassembly in duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 no ip redirects no ip unreachables no ip proxy-arp ip nat inside ip virtual-reassembly in duplex auto speed auto ! ip nat inside source list 101 interface FastEthernet0/0 overload ip route 0.0.0.0 0.0.0.0 10.0.1.6 ! access-list 101 permit ip 192.168.1.0 0.0.0.255 any --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
En fait ip nat enable n'est pas si magique que ça... Sur ROUTEUR-NAT j'ai bien activé "ip nat enable" sur toute les interfaces en lieu et place des Inside/outside J'ai changé les access-list ansi que ip nat Inside par : ip nat source list 10 interface FastEthernet4 overloadip nat source static 10.0.1.1 1.1.1.1 extendable ip nat source static 10.0.1.5 1.1.1.2 extendableaccess-list 10 permit 10.0.1.4 0.0.0.3 Depuis laptop0 du Lan2 je ne peux pas pinguer 1.1.1.100. Sur routeur NAT je peux pinguer 1.1.1.100 sauf si j'utilise ping 1.1.1.100 source vlan 102 Est-ce que j'ai un problème dans mon access-list/ip nat source ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Vendredi 8 avril 2016 14h29 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu peux pas, vlan102 a déjà ip nat inside, tu peux pas mettre ip nat outside en plus. C’est justement là qu’il faut utiliser le NAT NVI et son: ip nat enable magique. Et là, tout se joue sur les ACL que tu utilises pour le NAT donc attention… Et NAT NVI évidemment n’est pas disponible sur toutes les plateformes (pas sur ASR par exemple). > Le 8 avr. 2016 à 14:23, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai déjà mal à la tête en fait...Si j'ajoute une règle de NAT entre vlan101 > et vlan102 ca va passer ? > > NAT NVI je ne connais pas je vais regarder Google ! > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : "frnog-t...@frnog.org" <frnog-t...@frnog.org> > Envoyé le : Vendredi 8 avril 2016 14h13 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Ton problème est vieux comme le monde :) > Ca s’appelle le NAT HAIRPINNING. > > Quand le paquet venant de 192.168.1.1 vers 1.1.1.1 rencontre la règle de NAT > 1-to-1: > ip nat inside source static 10.0.1.1 1.1.1.1 extendable > L’IP Source du paquet est à ce moment là 10.0.1.5 (NAT sur R2). > l’IP destination du paquet va être modifiée pour 10.0.1.1 (R1) qui à son tour > va le modifier en 192.168.1.1 (server0). > Le paquet retour va partir de 192.168.1.1 (server0) à destination de > 10.0.1.5, R1 va changer l’IP source en 10.0.1.1. > Puis ROUTEUR-NAT ne va rien faire à l’IP SOURCE car tu n’a pas de NAT de > VLAN101 vers VLAN102. > Donc ton PC va recevoir une réponse qui vient de 10.0.1.1 alors qu’il avait > envoyé un paquet à 1.1.1.1. > > En fait, c’est le problème fondamental qui consiste à accéder à une IP > publique qui donne accès à une ressource interne grâce à du NAT, en étant > soi-même pas de l’autre côté du NAT, mais en interne. > > Prends de l’aspirine et: > > https://supportforums.cisco.com/discussion/12102421/nat-hairpinning<https://supportforums.cisco.com/discussion/12102421/nat-hairpinning> > > Pour moi tu as 2 solutions: > -DNS split-horizon > -ou utilise le NAT NVI sur les Cisco, mais va falloir encore un peu > d’aspirine pour par pondre une grosse bouse > > > > Le 8 avr. 2016 à 13:43, Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> a écrit : > > > > Bonjour David, > > > > Je comprend ta remarque et me doute bien que vous avez tous des > > occupations. J'ai cherché mais en vain, c'est pour cela que je m'adresse à > > frnog pour avoir un coup de pouce... > > > > Voici le schéma : > > http://hpics.li/82254e6<http://hpics.li/82254e6><http://hpics.li/82254e6<http://hpics.li/82254e6>> > > > > Depuis PC0 je peux ouvrir l'url 1.1.1.1:80 situé sur le serveur 192.168.1.1 > > connecté derrière R1, donc le NAT/access-list fonctionne. > > > > Le problème est que lorsque depuis Laptop0 connecté derrière R2 j'essaye > > d'ouvrir l'url 1.1.1.1:80 cela ne fonctionne pas. Le problème est à mon > > avis situé dans ma conf du routeur ROUTEUR-NAT, mais je n'arrive pas à > > résoudre ça :( > > > > Merci d'avance à tous. > > > > > > > > De : David Ponzone <david.ponz...@gmail.com > > <mailto:david.ponz...@gmail.com>> > > À : Antoine Durant <antoine.duran...@yahoo.fr > > <mailto:antoine.duran...@yahoo.fr>> > > Cc : "frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>" > > <frnog-t...@frnog.org <mailto:frnog-t...@frnog.org>> > > Envoyé le : Vendredi 8 avril 2016 12h48 > > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > > > Antoine, > > > > je pense que plusieurs sur cette liste pourront te régler ce problème en > > 3/5 minutes max, mais ils ont c
Re: [FRnOG] [TECH] IP Nat sur Cisco
OK, mais la j'essaye d'abord de faire un ping depuis vlan102 (ou R2) vers le routeur ROUTEUR-TEST. Ca ne passe pas ! --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Oui cela ne fonctionne pas mieux ! Est-ce que en utilisant ip nat Inside/outise il est possible de faire du nat reflexion en utilisant depuis le lan l'ip public du loopback afin de revenir sur l'IP du lan ? J'ai essayé plusieurs conf mais rien ne fonctionne depuis l'interne, cela mouline puis fini par un timeout, par contre depuis l'extérieur ca passe ! De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Envoyé le : Samedi 9 avril 2016 11h51 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Avec nat nvi, on arrive vite à des confs ingérables... David Ponzone Le 9 avr. 2016 à 10:36, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort avec l'IP public n°2. NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une adresse située sur le ROUTEUR-TEST. Je suis bloqué, je n'arrive pas a résoudre ce problème. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Les 2 loopback sur le ROUTEUR-NAT sont considérées comme des IP public mis a disposition par l'operateur internet. R1 sort avec l'IP public n°1 et R2 sort avec l'IP public n°2. NAT HAIRPINNING est la bonne méthode sur ce que j'ai pu lire, mais cela ne fonctionne pas sur mon lab. Je ne peux pas sortir depuis R2 pour ping une adresse située sur le ROUTEUR-TEST. Je suis bloqué, je n'arrive pas a résoudre ce problème. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même une question que je n'arrive pas à résoudre/comprendre : Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté vers 192.168.1.1 ? Possible à faire en utilisant ip nat out/in ou pas?? Merci pour l'explication Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces routeurs ? Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 via un ip route. Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu conserves ton ip nat outside et ip nat Inside. --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur une loopback de R1 et meme chose pour R2. Est-ce que ta manip est la même à faire sur R1 ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 11h00 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur appliquer un set ip next-hop https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing David Ponzone Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Même sans PBR je n'arrive pas à utiliser l'IP public sur loopback de R1 depuis le réseau lan du même routeur. Par exemple depuis R2 j'ai pas de problème pour utiliser l'ip public loopback de R1... J'ai quelque chose de particulier à faire pour le lan ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 13h46 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Ah non si tu fais ce que Sébastien a dit, tu as pas besoin de faire ce que j’ai suggéré.L’un ou l’autre. Le 17 avr. 2016 à 13:42, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'utilise l'astuce de Sébastien, qui m'a fait déporter l'adresses public sur une loopback de R1 et meme chose pour R2. Est-ce que ta manip est la même à faire sur R1 ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Dimanche 17 avril 2016 11h00 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu dois marcher l'ip source des paquets venant de la patte LAN, et leur appliquer un set ip next-hop https://www.pluralsight.com/blog/it-ops/pbr-policy-based-routing David Ponzone Le 16 avr. 2016 à 11:41, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Ma demande initiale a bien changé c'est vrai. Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque je suis en ip nat inside afin de permettre au lan d'utiliser le service web en ip public ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 11h54 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Oui c’est normal. On a probablement pas été assez clair. Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que ton paquet entre dans le routeur par l’interface qui est en « ip nat outside ». Ce qui n’est pas le cas quand tu arrives depuis le LAN. Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
Un Tplink le fait en "natif" j'ai du mal à comprendre que Cisco soit en mode bidouille pour faire ça :( Est-ce que cette configuration te semble bonne pour le PBR ? interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map INSIDE-IP-PUBLIC ! route-map INSIDE-IP-PUBLIC permit 10 match ip address HOST-NAT set interface Loopback0 ! ip access-list extended HOST-NAT permit ip any host 1.1.1.1 De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 12h26 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Tu peux tenter avec le PBR mais bon, on est dans la bidouille. > Le 18 avr. 2016 à 12:24, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Ma demande initiale a bien changé c'est vrai. > Dans le second cas, il n'est pas possible de faire ce que je cherche lorsque > je suis en ip nat inside afin de permettre au lan d'utiliser le service web > en ip public ? > > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" > <frnog-t...@frnog.org> > Envoyé le : Lundi 18 avril 2016 11h54 > Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco > > Oui c’est normal. On a probablement pas été assez clair. > Pour pouvoir « voir » une translation statique d’IP ou de port, il faut que > ton paquet entre dans le routeur par l’interface qui est en « ip nat outside > ». > Ce qui n’est pas le cas quand tu arrives depuis le LAN. > Ceci dit, ce n’était pas ta demande de départ sauf erreur de ma part. > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
David : Merci mais cela ne fonctionne toujours pas depuis le lan, j'ai même essayé de mettre l'IP du ROUTEUR-NAT (anciennement NAT) Michel :Le routeur R1 a une loopback avec une ip public, je souhaite depuis le lan R1 (192.168.1.X/24) utiliser l'ip public 1.1.1.1 afin d'accéder au serveur web en 192.168.1.1.=> ip nat inside source static tcp 192.168.1.1 80 interface Loopback0 80 Depuis le Lan R1 si je tape http://192.168.1.1/ ca marche mais pas http://1.1.1.1/. Par contre depuis le lan du routeur R2 si je tape http://1.1.1.1/ ca fonctionne, donc depuis l'extérieur pas de problème. J'ai juste un problème de NAT hairpin en interne du lan R1 a régler, mais je n'y arrive pas De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Lundi 18 avril 2016 14h31 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Je vais pas épiloguer sur les raisons pour lesquelles les routeurs pro n’intègrent généralement pas de hack magique pour faire du NAT hair-pinning. Pas que Cisco. Pour la conf, c’est pas ça. C’est plutôt: interface FastEthernet0/1 ip address 192.168.1.254 255.255.255.0 ip nat inside ip virtual-reassembly ip policy route-map INSIDE-IP-PUBLIC ! route-map INSIDE-IP-PUBLIC permit 10 match ip address HOST-NAT set ip next-hop ! ip access-list extended HOST-NAT permit ip 192.168.1.0 0.0.0.255 any Mais vraiment, aucune garantie. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] IP Nat sur Cisco
J'ai essayé pas mal de truc mais ca marche toujours pas ! Je vais devoir déclarer forfait... Le PBR doit être mis sur l'interface lan c'est bien ça ?Le match ip address PBR correspond à l'adresse 1.1.1.1 de mon loopback ? De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Sébastien 65 <sebastien...@live.fr>; "frnog-t...@frnog.org" <frnog-t...@frnog.org> Envoyé le : Mercredi 13 avril 2016 22h58 Objet : Re: [FRnOG] [TECH] IP Nat sur Cisco Il y a une bidouille avec des Loopback, immonde: https://supportforums.cisco.com/discussion/12102421/nat-hairpinning Mais sinon, un autre moyen de régler ton problème avec la conf actuelle serait de faire du PBR sur le traffic arrivant de R2 sur ROUTEUR-NAT pour l’envoyer directement sur ROUTEUR-TEST avec un set next-hop. Et de là il va revenir vers 1.1.1.1 et tu as une petite chance que ça marche (petit parce que quand ROUTEUR-NAT va faire suivre le paquet retour pour 1.1.1.2, qui est une autre loopback, ça peut poser des problèmes à la table de NAT…ou alors tu fais un PBR similaire pour le trafic de R1 et donc éviter le lookup de la RIB par ROUTEUR-NAT). > Le 13 avr. 2016 à 15:29, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > J'ai essayé ton idée et cela est beaucoup plus simple. Mais j'ai quand même > une question que je n'arrive pas à résoudre/comprendre : > Comment faire depuis le lan client pour pouvoir utiliser l'ip public depuis > mon poste 192.168.1.10 lorsque je veux accéder à l'ip public 1.1.1.1 naté > vers 192.168.1.1 ? > Possible à faire en utilisant ip nat out/in ou pas?? > Merci pour l'explication > > > Si tu as la main sur R1 et R2 pourquoi ne pas mettre les loopbacks sur ces > routeurs ? > > Ensuite ne reste plus que pousser les IP des loopbacks du R-NAT vers R1/R2 > via un ip route. > Je pense que cela est plus simple et pas besoin de passer par un Nat NVI, tu > conserves ton ip nat outside et ip nat Inside. > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
David, j'ai droit au fouet oui oui... Hier je bricolais avec site1 et ca merdé grave ! J'ai tout rebranché correctement sur un joli switch des deux côtés avec maj ios + formatage de la config et c'est là... non pas la tête que j'ai vu "arf ya oun vpn" Bon je pense que la bonne route map doit être : ip access-list extended RM1 deny ip 172.16.1.0 0.0.255.255 anydeny ip 172.16.2.0 0.0.255.255 any permit ip any any De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h17 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Euh à quel moment tu as pensé que ma question « est-ce qu’il y a une subtilité/un détail sur la conf que tu n’omets pas de nous donner ? » n’était pas concerné par un VPN ? :) > Le 21 juil. 2016 à 13:06, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le > résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que > je rajoute une règle ip nat Inside sur le site distant. > En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs > et pas en passant par le vpn. > Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan > interne même avec la regle ip natLe problème est depuis le site 2 > (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le > service web (172.16.1.33). > J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne > pas mieux depuis le site 2 : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 > extendable > ip access-list extended RM1 > deny ip 172.16.0.0 0.0.255.255 any > permit ip any any > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip natLe problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
J'ai bien oublié de coller la routemap ! Merci pour ton retour Thibaut ;) De : GAGNAIRE Thibaut <tgagna...@novenci.fr> À : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Jeudi 21 juillet 2016 13h18 Objet : RE: ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Il manque la route-map dans ton mail. route-map NO_Private_SNAT permit 10 match ip address NO_Private_SNAT Thibaut GAGNAIRE Ingénieur Système et Reseaux tgagna...@novenci.fr<mailto:tgagna...@novenci.fr> www.idline.fr<http://www.idline.fr/> [cid:image001.jpg@01D03BAF.8148ECA0] De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de Antoine Durant Envoyé : jeudi 21 juillet 2016 13:07 À : Frnog-tech <frnog-t...@frnog.org> Objet : ***MAYBE-SPAM*** Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Bonjour, Bon... J'ai avancé et je sais quel est le problème mais je n'arrive pas à le résoudre... Cela est à cause du VPN :/ Par le VPN tout fonctionne sauf dès que je rajoute une règle ip nat Inside sur le site distant. En gros hier j'étais à l'ouest complet croyant que le problème était ailleurs et pas en passant par le vpn. Sur le site 1 (172.16.1.x) pas de soucis j'accède bien au serveur en lan interne même avec la regle ip nat Le problème est depuis le site 2 (172.16.2.x) lorsque j'active la règle ip nat je ne peux pas utiliser le service web (172.16.1.33). J'ai essayé de rajouter une regle comme ça sur le site 1 mais ça fonctionne pas mieux depuis le site 2 : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 route-map RM1 extendable ip access-list extended RM1 deny ip 172.16.0.0 0.0.255.255 any permit ip any any --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Oui je peux aussi faire ça ! Je vais en premier lieu faire une maj ios et écraser la configuration ! Merci David pour l'aide ;) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h46 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu peux aussi faire un autre truc amusant. Tu mets tes 2 règles donc .10 peut plus accéder à .33:80. Tu débranches le Cisco du switch. Là normalement, rien ne devrait empêcher .10 d’accéder à .33:80, c’est du local. Si ça se met à marcher quand tu débranches le Cisco du LAN, alors là, c’est la devinette de l’été. > Le 20 juil. 2016 à 11:37, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai > branché un switch qui connecte mon serveur web et mon pc. > > Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web > était connecté derrière le Cisco avant de passer sur le switch... > > Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... > > Je vais reprendre la configuration du Cisco à zéro et écraser la conf. > > > De : David Ponzone <david.ponz...@gmail.com> > À : Antoine Durant <antoine.duran...@yahoo.fr> > Cc : Frnog-tech <frnog-t...@frnog.org> > Envoyé le : Mercredi 20 juillet 2016 11h25 > Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside > > Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse > MAC qu’elle a pour l’autre est bien l’autre :) > En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de > .33, et pas un méchant qui se fait passer pour elle, et inversement. > Vire toute règle de firewall/iptables/etc.. sur .33. > Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par > le Cisco, sauf config tordue. > Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour > matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour > voir si le compteur s’incrémente). > > T’es sûr qu’il y a pas une subtilité dans la conf ? > > > >> Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr >> <mailto:antoine.duran...@yahoo.fr>> a écrit : >> >> >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >> >172.16.1.10 ? >> Je ne peux pas atteindre le port 80, le port 22 va marcher car non présent >> dans une règle ip nat >> >> >.10 et .33 ont le Cisco comme route par défaut ? >> Oui >> >> >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ? >> Oui le ping passe avec les règles ou meme sans >> >> >Si non, je te recommande de revoir toute la configuration (netmask, >> >proxy-arp, ….) car c’est juste pas possible. >> Le netmask est conforme, le proxy-arp est off >> >> J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration >> archi simple... >> > > > --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
C'est une configuration basique. J'ai un routeur Cisco sur lequel j'ai branché un switch qui connecte mon serveur web et mon pc. Le serveur web n'a pas de firewall (iptables vide). Au début le serveur web était connecté derrière le Cisco avant de passer sur le switch... Serveur/PC ont en passerelle l'ip du Cisco et le mask est le même partout... Je vais reprendre la configuration du Cisco à zéro et écraser la conf. De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 11h25 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Y a des trucs de base à vérifier: sur chaque machine, vérifie que l’adresse MAC qu’elle a pour l’autre est bien l’autre :)En clair, sur .10 vérifie que la MAC que tu as pour .33 est bien celle de .33, et pas un méchant qui se fait passer pour elle, et inversement.Vire toute règle de firewall/iptables/etc.. sur .33.Encore une fois, les paquets entre .10 et .33 ne passent normalement pas par le Cisco, sauf config tordue.Tu peux aussi mettre une ACL input sur l’interface LAN du Cisco, juste pour matcher les paquets venant de .33 vers .10 (tu les acceptes, c’est juste pour voir si le compteur s’incrémente). T’es sûr qu’il y a pas une subtilité dans la conf ? Le 20 juil. 2016 à 11:07, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : >ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Heu non David. J'ai activé ces 2 règles pour que le service web soit joignable depuis l'exterieur, c'est OK ! Mais quand j'ai ces 2 règles, depuis le lan je ne peux pas rentrer sur l'ip lan 172.16.1.33 du service web ca mouline dans le vide... Quand j'ai pas ces 2 règles, depuis le lan on accède au service web mais pas depuis le wan (normal) :) De : David Ponzone <david.ponz...@gmail.com> À : Antoine Durant <antoine.duran...@yahoo.fr> Cc : Frnog-tech <frnog-t...@frnog.org> Envoyé le : Mercredi 20 juillet 2016 10h42 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside Tu veux dire que sans ces 2 règles, tu peux depuis 172.16.1.10 accéder à X.Y.Z.1:80 ? Alors là, magie! > Le 20 juil. 2016 à 10:28, Antoine Durant <antoine.duran...@yahoo.fr> a écrit : > > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable > Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de > joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça > mouline et je n’y accède pas. > Si j’enlève les règles du dessus ça fonctionne depuis le lan. > > Est-ce que mes règles sont mal construites ? > > Merci pour le coup de pouce ;) > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
Salut alarig, Le TCP est suffisant comme tu le précise, mais même dans mon cas cela ne change pas mon problème d'accès depuis le lan De : Alarig Le Lay <ala...@swordarmor.fr> À : frnog@frnog.org Envoyé le : Mercredi 20 juillet 2016 11h06 Objet : Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside On Wed Jul 20 08:28:00 2016, Antoine Durant wrote: > Bonjour, > J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une > règle ip nat inside. > J’ai ajouté les règles suivantes pour que mon serveur web soit accessible > depuis l’extérieur via IP wan : > ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable > ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Salut, Pourquoi est-ce que tu rediriges aussi les 80 UDP alors que HTTP marche sur TCP ? -- alarig --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Comportement étrange avec ip nat inside
>ok donc quand tu as les règles, tu ne peux pas atteindre 172.16.1.33 depuis >172.16.1.10 ?Je ne peux pas atteindre le port 80, le port 22 va marcher car >non présent dans une règle ip nat >.10 et .33 ont le Cisco comme route par défaut ?Oui >Tu ping .33 depuis .10 quand les 2 règles sont là ou même pas ?Oui le ping >passe avec les règles ou meme sans >Si non, je te recommande de revoir toute la configuration (netmask, proxy-arp, >….) car c’est juste pas possible.Le netmask est conforme, le proxy-arp est off J'ai du mal à voir ou ca peu poser problème, un Cisco avec une configuration archi simple... --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Comportement étrange avec ip nat inside
Bonjour, J’ai un phénomène que je trouve un peu particulier lorsque j’utilise une règle ip nat inside. J’ai ajouté les règles suivantes pour que mon serveur web soit accessible depuis l’extérieur via IP wan : ip nat inside source static tcp 172.16.1.33 80 X.Y.Z.1 80 extendable ip nat inside source static udp 172.16.1.33 80 X.Y.Z.1 80 extendable Depuis l'extérieur ça fonctionne très bien (X.Y.Z.1:80) ! Si j’essaye de joindre le serveur web depuis le lan (172.16.1.10 mon pc par exemple) ça mouline et je n’y accède pas. Si j’enlève les règles du dessus ça fonctionne depuis le lan. Est-ce que mes règles sont mal construites ? Merci pour le coup de pouce ;) --- Liste de diffusion du FRnOG http://www.frnog.org/
Re : Re: [FRnOG] [TECH] police cir vs shape average qos
Merci à tous. Le shape average serait la meilleure solution selon vos retours et ce que jai pu lire sur Google... David, pourquoi le shape est à 210 et non pas à 20 ? Concernant le burst quel est la façon de le calculer ? --- Liste de diffusion du FRnOG http://www.frnog.org/