28 Septembre 2010

MiNET et ses servicesMaisel INT NETwork par définition

Bienvenue

✤ Architecture physique

✤ Architecture logique

✤ Services en pagaille

✤ Et si on cassait tout ?

Architecture physique

✤ 700 chambres reliées en ethernet dans des salles de brassage (une dans chaque batîment)

✤ 6+1 batîments reliés à un routeur en fibre optique

✤ 1 salle serveurs avec 20 lames Sun (Dual Opteron/2Go/60Go)

✤ 2 serveurs TV au U6

Architecture logique

✤ DISI nous donne 157.159.40.x jusqu’à 157.159.47.255 (2048 IPs)

✤ Diviser pour règner : chaque batîment Ui se voit attribué la plage 157.159.4i.0 à 157.159.4i.255

✤ Protéger les services : créer un réseau interne pour les administrer (192.168.1.0 par exemple)

✤ Mettre du WIFI (172.16.x.x), etc..

Un peu le bazar...

Rangement en VLAN

✤ VLAN, pour Virtual LAN

✤ Dans le routeur on définit des sous-réseaux qui seront automatiquement propagés aux autres équipements

✤ On définit sur le switch ensuite vers quel VLAN orienté l’ordinateur connecté sur un port

Il habite à l’U4 donc VLAN 44Il est connecté sur le port 42 du RCOM 1

!interface FastEthernet0/42 description 4594 switchport access vlan 44 switchport mode access dot1x pae authenticator dot1x port-control auto dot1x host-mode multi-host dot1x violation-mode protect dot1x timeout tx-period 2 dot1x timeout supp-timeout 5 dot1x guest-vlan 15 dot1x auth-fail vlan 15 spanning-tree portfast!

interface Vlan44 ip address 157.159.44.1 255.255.255.0 ip helper-address 192.168.1.3 ip helper-address 192.168.1.5 ip wccp web-cache redirect in ip pim version 1 ip pim sparse-mode ip sap listenend

Et d’autres VLANs!interface Vlan100 description Admin ip address 192.168.1.1 255.255.255.0 ip access-group vlan_admin in ip access-group vlan_admin out no ip redirects no ip unreachables no ip proxy-arp no ip route-cache cef no ip route-cache no ip mroute-cacheend!interface Vlan10 description Vlan WiFi no ip address ip pim version 1 ip pim sparse-mode ip sap listenend!

qui ne sont pas routés sur Internet

Texte

OK !On peut tous se connecter mais c’est pas très automatique tout ça

Gros mots

✤ LDAP

✤ RADIUS

✤ DHCP

✤ DNS

✤ Proxy

LDAPLà où sont stockées toutes vos données

Chaque service en a besoin.S’il tombe, tout tombe !

RADIUSautorise l’adhérent à utiliser le réseau

Oups... mauvais mot de passe !

... dot1x guest-vlan 15 dot1x auth-fail vlan 15...

Et si ça marche, on entre dans le VLAN 4i

Can I haz IP ?

DHCP

Oh hai ! I’m still here

OK!Le réseau se configure automatiquement,

on va voir si Google marche.

Quel IP se cache derrière le domaine google.fr ?

$ nslookup google.frServer:! ! 157.159.40.55Address:! 157.159.40.55#53

Non-authoritative answer:Name:!google.frAddress: 66.249.92.104

Il n’y a plus qu’à se connecter sur cette IP pour obtenir ma page.Comme elle n’appartient pas à mon réseau, pour l’atteindre,

je passe par la passerelle par défaut.

Qui a fait l’association domaine/IP ?Bind

options {! directory "/var/cache/bind/";

! // Port de sortie 53! query-source address 157.159.40.55 port 53;

! listen-on {! ! 157.159.40.55;! ! 192.168.1.55;! ! 127.0.0.1;! ! 172.16.0.55;! };!! allow-query { any; }; forwarders {! ! 8.8.8.8;! ! 157.159.10.12;! ! 157.159.10.13;! ! 157.159.11.13;! };};

Plus vite, plus vite !Faisons du cache avec un proxy (transparent) !

SQUIDgarde en cache les pages web

sait ce que vous regardez sur Internet

Vous en voulez encore ?

✤ Firewall

✤ VPN

✤ Nagios et serveur de logs

Bonus (à découvrir sur imagine.minet.net)

✤ Hébergement Web pour les adhérents et les assoces

✤ Mail @minet.net

✤ Listes de diffusion

Maintenant, on casse tout

✤ LDAP c’est has-been

✤ NoSQL, Document-store, Rails