Bonjour
Le 12/03/2024 à 10:53, Lionel Giraudeau-Bocquet via frnog a écrit :
Bonjour à tous,
Membre de FDN j'ai déjà posé cette question sur une liste sympa
interne et il m'a été conseillé de venir poser ma question ici (merci
tout de même !).
Voici le problème que je n'arrive pas à résoudre :
J'ai récupéré plusieurs lames (ayant une carte IPMI qui est intégrée à
la carte mère) qui ont été installées dans un chassis avec d'autres
que j'avais déjà.
Le panneau de contrôle du châssis me permet de faire des power on/off
et récupérer les adresses MAC des cartes Ethernet et IPMI.
J'ai mis du temps à comprendre pourquoi les cartes IPMI ne demandaient
pas d'adresse au serveur DHCP sur le réseau : ces cartes ont été
configurées avec une adresse IP fixe dans un VLAN au pif (== que je ne
connais pas)
Elles ne causent donc pas avec le vlan natif Cisco (vlan 1).
Je m'en suis sorti, à distance et avec de la chance, car les lames
tentent de booter en PXE avant d'essayer leur disque. J'ai donc
configurer le serveur PXE pour leur envoyer une image de dépannage sur
laquelle elles ont booté et j'ai pu faire un "ipmitool lan set 1 vlan
id off". Dans la seconde les cartes IPMI obtiennent leur adresse IP.
Belle histoire, mais ce n'est pas fini : l'une des lames ne parvient
pas à démarrer (soit elle boot sur son disque interne automatiquement
et se retrouve donc avec une adresse IP fixe que je ne connais pas,
soit elle joue aux dames, soit elle est coincée au boot dans le Bios
ou autre, soit la carte mère est tout simplement morte ).
Pour parvenir à savoir ce qu'il se passe je suis obligé de passer par
la carte IPMI (pas de port pour brancher un écran et encore moins un
clavier).
La lame est connectée (via le switch du chassis qui ne fait que
transmettre les paquets sans toucher aux ID vlan) au port Gi1/0/11
d'un Cisco, et le serveur DHCP sur le port Gi1/0/6.
Les ports Gi1/0/[1-20] et Gi1/1/[1-24] (c'est une stack de deux
switchs) sont dans le vlan 1, les 4 derniers du premier switch
(Gi1/0/[21-24]) sont dans le vlan 2. Les deux vlans ne communiquent
pas, il y a juste une machine qui a une patte sur ce vlan 1 privé et
l'autre sur un réseau auquel j'ai accès à distance.
Dans un monde idéal, je cherche à ce que, temporairement, carte IPMI
et serveur DHCP se causent pour que la première ait une adresse IP et
que du deuxième je parvienne à lancer un ipmitool (je connais user et
mot de passe) pour virer ce vlan dont je ne connais pas le numéro.
Je vois ça "simplement" comme ça :
- trouver le moyen de récupérer le numéro du vlan en provenance de la
MAC de la carte IPMI (et je suis certain que le switch a l'info
quelque part, je ne sais juste pas comment lui faire cracher le morceau)
Comme cela a été dit, le plus simple, c'est d'écouter sur le port avec
le bon vieux tcpdump -e. Soit directement - mais là tu ne peux pas
visiblement, soit en utilisant du port monitorirng pour renvoyer tout ce
qui est émis sur le port sur lequel le ipmi est branché vers un autre
port (là où tu as un serveur pour écouter).
- peut-on faire une règle sur le port 11 qui dit que tout paquet qui
arrive de cette MAC se voit attribuer le vlan 1
Ben soit je comprends pas, soit c'est access vlan 1, mais c'est à coté
du sujet.
- tout paquet à destination de la MAC se voit attribuer le vlan XXX
Ca peut se faire sur le switch grace aux systèmes mac-vlan , mais ça me
semble être un contresens. Ton problème, c'est qu'un paquet est émis
depuis ton ipmi avec un id de vlan 802.1Q, et tu ne peux rien y faire,
par définition. Ce qu'il faudrait, c'est un système qui détaggue
automatiquement ton paquet, mais ça, je ne vois pas comment le faire
simplement.
p://www.frnog.org/
--
Thierry
<http://www.ac-clermont.fr>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
