mar 16

Anatomie d’une architecture

Il n’est pas évident de concevoir son réseau personnel. Au fil du temps, il est fréquent de le modifier, le défaire, le reconstruire, la plupart du temps suite à la lecture d’articles techniques, d’expériences personnelles et/ou professionnelles, de rencontres diverses, etc…

Mais peu à peu, on arrive a construire une base qui ma foi, est fort satisfaisante.

Je discute souvent avec d’autres geeks fous personnes passionnées de systèmes et réseaux et les échanges, parfois trolliens, parfois amusants, se construisent sur un but commun : le partage d’expérience.

Je ne pense pas, loin de là, avoir construit une architecture réseau parfaite, mais elle a le mérite d’exister et pour m’en servir tout les jours, elle me permet de m’amuser (oui, oui, on s’amuse avec des serveurs, des flux, des firewalls etc… je vous assure…) et de s’approcher d’un environnement de production.

Quand je parle d’environnement de production, je fais référence a ce que l’on peut rencontré en entreprise, dans des SI d’importance et dont la disponibilité des services est critique.

Reproduire à plus petite échelle un système informatique d’entreprise chez soi est très instructif et, fait non négligeable, permet de s’entrainer ou de tester de nouvelles choses sans trop de risques.

Donc, pour répondre tout d’abord à plusieurs personnes qui me demande de détailler plus en avant mon architecture réseau personnel et vous faire part de mes expériences, j’ai décider d’aborder point par point les différents niveaux, services, serveurs qui composent mon système informatique personnel.

J’avais penser tout d’abord à vous donner une vue globale, mais je trouve plus instructif de commencer petit à petit, comme un puzzle, assemblant les pièces qui composeront votre infrastructure informatique.

Bien évidemment, je vous laisse modifier à votre guise les différentes données afin de concevoir votre propre architecture, vous avez surement des équipements que je n’ai pas et vice-versa.

Pour commencer, et pour répondre à une demande de mon ami « Argos » (et oui, encore lui, je le sentais dépité, proche de la déprime et surtout, pire que tout, près à sortir de chez lui, voir le ciel, le soleil, bref des trucs horribles pour un geek et il me fallait l’en empêcher au plus vite !!!), nous allons voir comment construire un cluster de firewall qui se positionnera en porte d’entrée de notre réseau.

Afin d’avoir les mêmes termes et que l’on se comprenne bien, je vais appliquer une règle simple (et généralement appliquée en sécurité informatique), les étages et les couleurs.

Le rouge désigne l’internet en général, soit les flux entrant ou sortant sur internet.

Le vert désigne le réseau local, le LAN.

Le jaune désigne la DMZ, soit les serveurs dans notre réseau local qui sont isoler dans un réseau particulier et qui « servent » du contenu ou des services sur le réseau internet (serveur web, de messagerie, etc…)

Le bleu (que l’on rencontre parfois), désigne le réseau wifi local.

Les étages sont comme dans une maison, les différents niveaux pour arriver dans une pièce.

Dans « mon » architecture, je désignerais principalement l’étage Rouge, qui correspond aux firewalls internet et l’étage Vert qui correspond au firewalls du LAN et intra VLAN (oui, oui, vous verrais que nous construirons des vlans dans notre réseau et donc un firewall vert qui réglementera les accès entre chez que VLAN mais également la sortie vers le Rouge).

En résumé, nous avons un cluster de firewall Rouge qui filtre les accès Internet entrant sur la DMZ et/ou le LAN (à éviter bien entendu ce dernier ;-) ) et un firewall Vert qui filtre les accès entre chaque VLAN et les sorties sur Internet.

Si je ne suis pas assez clair ou confus dans mes explications, n’hésitez pas a m’en faire part :-D


L’Accès Internet :

Je suis abonné ADSL en non-dégroupé sans Ip fixe. Habitant à 320m du NRA, autant vous dire que je suis au débit maximum, soit 8 Mbps IP (environ 1,05 Mo/sec de débit descendant) et 1mbps en Upload.

Pour  ma connexion, j’utilise principalement une Freebox v4 en mode routeur.

Mais il m’arrive de basculer sur un autre routeur ADSL (même ip dans le LAN), afin de me connecter à Orange au lieu de Free, ou à d’autres Fournisseur d’Accès Internet.

Et oui, le gros avantage d’être non-dégroupé, c’est que vous pouvez changer de connexion sur votre ligne ADSL.

En clair, je suis abonné chez Free, mais je peux m’authentifier avec un compte Orange ADSL sur ma ligne (bien sur le plus « dur » étant d’avoir un compte ADSL d’un autre FAI sans abonnement physique ADSL, mais ça, je vous laisse trouver les moyens de le faire :-D ).

Voici en résumé, mon accès Internet :

acces-net

A suivre…

Classé dans réseau | Commentaires fermés
mar 14

Réinitialiser le mot de passe d’un Cisco 2600

Un petit billet pour Alex qui m’a semblé bien perdu avec son nouveau joujou :-D

Billet qui devrait aussi servir je pense à tous ceux qui un jour ou l’autre récupérerons un Cisco 2600 dont ils ignorent le mot de passe.

Voici la méthode donc pour réinitialiser le mot de passe :

Se connecter en mode console :

  • 9600 baud

  • No parity

  • 8 data bits

  • 1 stop bit

  • No flow control

Le registre de configuration est assigné a la valeur 0×2102 par défaut A verifier par un show version (Configuration Register is 0×2102)

Envoyer un Break dans les 60 secondes après le démarrage électrique du Cisco

   rommon 1 > confreg 0x2142
   rommon 2 > reset

Le routeur reboot mais ignore la configuration

Répondre no a chaque question

   Router> enable

Copier la NVRAM en mémoire

   Router> copy stratup-config running-config

Faire un show running-config

   Router> configure terminal

Affecter le mot de passe “cisco”

   Router> enable secret cisco
   Router> ^Z

Faire un no shutdown” sur les interfaces a utiliser

Router> config-register 0×2102

Router> copy running-config startup-conf ou wr m

Et voila, vous pouvez vous authentifier avec le password « cisco » sur votre zoli routeur :-)

Classé dans cisco | Commentaires fermés
mar 05

Montage d’un SAN/NAS (3)

Suite de l’installation du SAN/NAS et sa partie logicielle.

Comme dit précédemment, je suis partie sur le projet OpenFiler qui convient le mieux a mes désirs.

J’ai tout d’abord tester la version stable, la 2.2, qui s’est installée sans soucis particulier, a reconnu mes disques et ma configuration.

Après quelques tests, curieux, je me suis penché (pas trop hein :-) ) sur la version Beta, la 2.3.

Et là, surprise, c’est une bombe :-D

Une nouvelle interface web, des réglages plus pointus sur le iSCSI, les droits, le channel-bonding intégré etc… Bref, un bijou et c’est cette version que j’ai installée.

Vous trouverez la procédure basique d’installation ici.

J’ai tout d’abord monter un RAID 1 de 10Go pour le système et de 1,5Go pour le swap via l’interface d’installation.

Quelques patchs a passer via Conary, le gestionnaire de paquet rPath comme décris sur le site web et c’est parti pour la configuration.

Voici quelques copies d’écrans plus explicite :

Disque

Disque2

Je vous passe les parties création de volume, partage NFS, SMB ou autres pour m’intéresser a ce que je veux monter : un SAN.

Création d’un volume iSCSI de 30Go :

iscsi1

Paramétrage du iSCSI target avec affectation de la nouvelle LUN créé.

Sachez qu’on peux affiner les controles d’accès suivant les ips, authentification CHAP ou/et LDAP etc…

Pour le moment je laisse tout ouvert.

iscsi2

iscsi3

Côté client, il existe un excellent article sur le iSCS sur UnixGarden donc je vous invite fortement à le lire.

J’avais tout d’abord essayer de recompiler mon noyau avec l’option iSCSI et ensuite installer les packages Debian Open-iSCSI, un fiasco complet, sûrement du au fait que mon kernel est compilé depuis les sources et non à la sauce Debian.

J’ai donc retirer le support au niveau du noyau et un petit tour sur le site d’Open-iscsi pour telecharger les sources.

Premier test, on scanne le SAN :

Thanatos:~# /etc/init.d/open-iscsi start
Starting iSCSI initiator service: iscsid.
Setting up iSCSI targets:.
Thanatos:~# iscsiadm -m discovery -t sendtargets -p 192.168.0.20:3260
192.168.0.20:3260,1 iqn.2006-01.com.openfiler:tsn.2b335a36430c

Un succès, attachons le :

Thanatos:~# iscsiadm -m node -T iqn.2006-01.com.openfiler:tsn.2b335a36430c -p 192.168.0.20:3260 -l
Login session [iface: default, target: iqn.2006-01.com.openfiler:tsn.2b335a36430c, portal: 192.168.0.20,3260]

Il ne reste qu’a jeter un oeil sur nos périphériques SCSI :

Thanatos:~# cat /proc/scsi/scsi
Attached devices:
Host: scsi1 Channel: 00 Id: 00 Lun: 00
Vendor: OPNFILER Model: VIRTUAL-DISK Rev: 0
Type: Direct-Access ANSI SCSI revision: 04

Et voila, un nouveau disque SCSI :-D

La preuve :

Thanatos:~# fdisk -l

Disk /dev/hda: 32.0 GB, 32003112960 bytes
255 heads, 63 sectors/track, 3890 cylinders
Units = cylinders of 16065 * 512 = 8225280 bytes

Device Boot Start End Blocks Id System
/dev/hda1 * 1 3725 29921031 83 Linux
/dev/hda2 3726 3890 1325362+ 5 Extended
/dev/hda5 3726 3890 1325331 82 Linux swap / Solaris

Disk /dev/sda: 31.9 GB, 31977373696 bytes
64 heads, 32 sectors/track, 30496 cylinders
Units = cylinders of 2048 * 512 = 1048576 bytes

Device Boot Start End Blocks Id System
/dev/sda1 1 30496 31227888 83 Linux

Bien entendu, a ma première connexion au SAN, j’ai simplement fait un fdisk /dev/sda puis créé une partition que j’ai formaté.

Un mount bien placé et me voila avec un nouveau disque SCSI (via iSCSI) de 30Go…

Un succès total :-)

Thanatos:~# mount /dev/sda1 /data
Thanatos:~# mount
/dev/hda1 on / type ext3 (rw,errors=remount-ro)
tmpfs on /lib/init/rw type tmpfs (rw,nosuid,mode=0755)
proc on /proc type proc (rw,noexec,nosuid,nodev)
sysfs on /sys type sysfs (rw,noexec,nosuid,nodev)
procbususb on /proc/bus/usb type usbfs (rw)
udev on /dev type tmpfs (rw,mode=0755)
tmpfs on /dev/shm type tmpfs (rw,nosuid,nodev)
devpts on /dev/pts type devpts (rw,noexec,nosuid,gid=5,mode=620)
/dev/sda1 on /data type ext3 (rw)

Thanatos:~# df -k
Sys. de fich. 1K-blocs Occupé Disponible Capacité Monté sur
/dev/hda1 29450988 10760432 17194508 39% /
tmpfs 256620 0 256620 0% /lib/init/rw
udev 10240 76 10164 1% /dev
tmpfs 256620 0 256620 0% /dev/shm
/dev/sda1 30737328 184572 28991364 1% /data

Mes premier tests de lecture/écriture sont bluffant, bien plus rapide qu’un montage NFS mais je vous laisse tester vous-même :-D

Ah, dernière chose qui fait le côté « geek » de la chose, mon /dev/sda1 est monté en… wifi :-)

Du iSCSI via un SAN en WiFi, ça déchire quand même un peu :-D

Conclusion : OpenFiler est un excellent produit que je vous conseille fortement d’essayer, bien entendu, de bonnes notions des environnements SAN sont nécessaires mais je suis sur que vous allez dévorer les articles a ce sujet.

PS : Je ne détaille pas volontairement toutes les étapes de configuration ou d’installation, la découverte est le meilleure moyen d’apprendre mais je reste à votre écoute si vous avez des questions à ce sujet. Le forum d’OpenFiler est vivant et les gens prêt à vous aider pour peu que vous maitrisiez la langue de Shakespeare.

Classé dans geekerie, matériel | 2 Commentaires
mar 04

Montage d’un SAN/NAS (2)

Suite de mon périple SAN (oui je parlerais SAN désormais, la fonctionnalité NAS restant basique (export NFS, SMB, Webdav ou autres…).

Avant tout, je vous invite fortement à lire les deux articles précédemment cités sur le NAS et le SAN pour en apprécier les différences.

Nous parlons désormais de partage distant en mode bloc, ce qui veut dire que chaque serveur voit son « partage » distant comme s’il s’agissait d’un disque local (principe du SAN a la base :-p), donc relisez bien les articles pour en comprendre la différence.

Au début de mon « envie », je m’étais décider a partir une distribution toute faite pour (ah la fainéantise…) et en l’occurence Freenas que j’avais déjà testé. Puis au fil de mes discussions avec d’autres « fous » comme moi, j’ai découvert une autre solution libre : Openfiler.

Et là, on ne joue plus dans la même cour :-)

Support AD (pas pour moi mais bon), support LDAP, iSCSI et tout ce qui me plait bien, bref, c’est LE choix pour ce que je veux faire (je vous laisse consulter le site web pour vérifier la puissance du produit).

Parti au départ pour utiliser la techno HostRaid d’Adaptec, je me suis vite rendu compte que ca m’emmerdait ennuyait plutôt qu’autre chose et en plus, ca m’a a moitié flingué ma carte, obligé de reflasher son Bios…

Bref, montage et installation sans soucis, avec deux disques SCSI en RAID 1 logiciel sur le canal A (avec bien sur, installation du grub sur les deux pour un reboot possible si l’un venait à mourir), et 3 autres en RAID 5 sur le canal B.

Le tout bien sur en SCSI 3 HotPlug dans des cages dédiés, ca roxx…

Voici le montage actuel qui ressemble, je l’avoue, a Bricolo-bricolette monte un SAN :-D

SAN_temp1

SAN_temp2

La suite au prochain billet :-)

Classé dans geekerie, matériel | 1 Comment