Archive for category Equipements

Créer un trunk sur un switch Enterasys

Publié par Aurélien dans Equipements le 7 décembre 2009

L’utilisation de trunks sur les switchs réseau a considérablement augmenté ces dernières années, notamment avec l’arrivée de la virtualisation dont l’une des grandes qualités est de faire prendre aux administrateurs de bonnes habitudes qui consistent notamment à séparer les flux d’administration et de stockage ainsi qu’à tagguer les VLAN.

Les équipements réseau Enterasys sont souvent très utilisés dans le monde de la presse et des médias. S’il est un milieu où l’hétérogénéité des configurations est présente, c’est bien dans ce secteur. On y utilise des Mac, des PC, des serveurs très consommateurs de ressources (traitements photo haute qualité, serveurs de fichiers volumineux etc…) et l’utilisation réseau, à la fois gourmande et spécifique aux machines, se doit d’être optimisée. Créer un trunk permet de faire passer plusieurs VLAN dans un port réseau et les équipements Enterasys ont une manière bien précise de le faire.

Tout d’abord on repère un port libre pour effectuer nos opérations. Ici ce sera le port 11 du switch 6. La commande show port status <port> permet d’obtenir des informations sur le port en question. Ici, on observe qu’il est Down (aucun flux réseau ne passe), signe que le cable réseau n’est pas branché.

SWITCH(su)->show port status ge.6.11
          Alias        Oper    Admin   Speed
Port      (truncated)  Status  Status  (bps)     Duplex  Type
--------- ------------ ------- ------- --------- ------- ------------
ge.6.11   ESX          Down    Up      N/A       N/A     BaseT RJ45

On supprime ensuite tous les VLAN connus dans le réseau (s’obtient en tapant la commande show config vlan) grâce à la commande clear vlan egress <vlan> <port> :

SWITCH(su)->clear vlan egress 10,12,16,17,24,56,99,130,190 ge.6.11

Maintenant que le port est en quelque sorte réinitialisé, on peut créer le trunk au moyen de la commande set vlan egress <vlan> <port> tagged. Cette instruction permet de transmettre (egress) plusieurs VLAN tout en prenant bien soin de les tagguer afin que l’hôte de destination sache quels paquets sont adressés à quel VLAN.

SWITCH(su)->set vlan egress 16,17,90,99 ge.6.11 tagged
SWITCH(su)->show port egress ge.6.11
  Port       Vlan      Egress          Registration
  Number      Id        Status            Status
  ------------------------------------------------------------
ge.6.11     16        tagged          static
ge.6.11     17        tagged          static
ge.6.11     90        tagged          static
ge.6.11     99        tagged          static

Le port est à présent trunké. On peut donc brancher le cable réseau et observer le changement de statut du port qui passe Up et négocie la connexion en Gigabit Ethernet Full Duplex :

SWITCH(su)->show port status ge.6.11
          Alias        Oper    Admin   Speed
Port      (truncated)  Status  Status  (bps)     Duplex  Type
--------- ------------ ------- ------- --------- ------- ------------
ge.6.11   ESX          Up      Up      1.0G      full    BaseT RJ45

Enfin, on peut vérifier la configuration VLAN du port en tapant la commande show port vlan <port>. Vous remarquerez probablement qu’elle est réglée à 1, qui correspond au VLAN par défaut des équipements Enterasys. Ceci n’empêche en rien votre trunk de fonctionner sachant en outre qu’il n’y a qu’un untagged possible sur ces équipements, en l’occurence le 1.

SWITCH(su)->show port vlan ge.6.11
ge.6.11 is set to 1

Tout d’abord on supprime tous les VLAN pour le port concerné :

clear vlan egress 10,16,17,20,26,30,40,90,99,190 <port>

Ensuite, on renseigne les ports autorisés :

set vlan egress <vlan,vlan> <port> tagged

3

show port egress <port>

4

show config vlan

5

show port status <port>

6

show port vlan <port>

1 seul untagged possible (par défaut le VLAN 1)

,

Laisser un commentaire

Sniffer les paquets entre deux machines avec un Fortigate FG200A

Publié par Aurélien dans Equipements le 21 octobre 2009

Si vous n’arrivez pas à faire communiquer deux machines, le plus souvent il s’agira d’un problème de configuration relativement connu tel que le pare-feu activé sur un hôte Windows ou une passerelle manquante dans un LAN routé. Néanmoins, si vous voulez pousser plus loin dans le débuggage réseau entre deux machines, vous pouvez vous servir de la puissance du Fortigate pour sniffer les paquets. Pour cela vous utiliserez la commande diagnose <interface> <’filter’> <verbose> <count>.

  • <interface> : le nom d’une interface ou “any” pour toutes
  • <’filter’> : ‘host 192.168.0.1‘, ‘tcp port 80
  • <verbose> : 1 (entêtes), 2 (entêtes et données des IP) ou 3 (entêtes et données des paquets depuis Ethernet)
  • <count> : nombre de paquets capturés

Exemple 1

Ma machine source 212.108.81.236 n’arrive pas à joindre la machine cible 92.196.169.1 en SSH (port 22) :

FG200A $ diagnose sniffer packet any 'src host 212.108.81.236
and dst host 92.196.169.1 and tcp port 22' 1

9.796366 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
12.806945 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616
18.740938 212.108.81.236.3238 -> 92.196.169.1.22: syn 3441086616

Via le sniff réseau, on observe avec certitude que seul le SYN passe. Vu qu’aucune trace du ACK n’existe, il ne peut pas y avoir de communication.

Exemple 2

J’ai réglé mon problème précédent (exemple : SSH n’était pas installé sur la machine cible) et je veux maintenant monitorer tous les paquets (seulement 3 pour l’exemple) de l’interface wan1 :

FG200A $ diagnose sniffer packet wan1 none 1 3

212.108.81.236.36782 -> 92.196.169.1.22: syn 2171306497
92.196.169.1.22 -> 212.108.81.236.36782: syn 1786514428 ack 2171306498
212.108.81.236.36782 -> 92.196.169.1.22: ack 1786514429

Pour aller plus loin : Using the FortiOS built-in packet sniffer et Packet capture (sniffer) tips.

Laisser un commentaire