Re: [FRnOG] [TECH] Re: VRF et PPP
Je plussoie. Y. > Le 29 juil. 2015 à 15:00, Simon Morvan a écrit : > >> On 29/07/2015 14:14, David Ponzone wrote: >> Pour moi le Radius, c’est critique, ça a rien à faire sur une interface de >> management. > Ouais, tout dépend du use case, quoi, comme d'hab. Si le radius est là > pour alimenter des accès PPP distants, oui, c'est de la prod. Si c'est > pour contrôler les accès au management via ladite interface, c'est tout > à fait valable de vouloir l'attaquer par là. > > -- > Simon > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
On 29/07/2015 14:14, David Ponzone wrote: > Pour moi le Radius, c’est critique, ça a rien à faire sur une interface de > management. Ouais, tout dépend du use case, quoi, comme d'hab. Si le radius est là pour alimenter des accès PPP distants, oui, c'est de la prod. Si c'est pour contrôler les accès au management via ladite interface, c'est tout à fait valable de vouloir l'attaquer par là. -- Simon --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Ca dépend ce qu’on appelle management. Sur l’interface Mgmt-intf de l’ASR, on peut rentrer en telnet/ssh (en CLI ou en mode diag), on peut l’interroger en SNMP, et on peut émettre des traps SNMP. Pour moi le Radius, c’est critique, ça a rien à faire sur une interface de management. Des interfaces de management devraient pouvoir être déconnectées sans avoir d’incidence sur la prod. C’est ma vision. Le 29 juil. 2015 à 14:04, Raphael Mazelier a écrit : > > > Le 29/07/15 06:25, Youssef Bengelloun-Zahr a écrit : >> Hello, >> >> Il peut y avoir toutes sortes de bonnes / mauvaises raisons à cela. >> > > Je peux comprendre le concept de dédier une interface pour le management. En > revanche si on fait ça il faut pousser le concept jusqu'au bout, et donc > dédier une vrf à cela. Mais une vrai vrf qui peut gérer tout le trafic de > management. Hors donc à ma connaissance ce n'est pas encore tout à fait au > point chez les différents constructeurs. > > -- > Raphael Mazelier > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
On est bien d'accords. Faire les choses à moitié, c'est pas top. Par contre, le constructeur a qui je pense m'a expliqué la limitation technique structurelle qui lui empêchait d'exporter de la télémétrie xFlow avec en source cette interface de MGMT OOB. C'est chiant, mais c'est "by design". Y. > Le 29 juil. 2015 à 14:04, Raphael Mazelier a écrit : > > > > Le 29/07/15 06:25, Youssef Bengelloun-Zahr a écrit : >> Hello, >> >> Il peut y avoir toutes sortes de bonnes / mauvaises raisons à cela. > > Je peux comprendre le concept de dédier une interface pour le management. En > revanche si on fait ça il faut pousser le concept jusqu'au bout, et donc > dédier une vrf à cela. Mais une vrai vrf qui peut gérer tout le trafic de > management. Hors donc à ma connaissance ce n'est pas encore tout à fait au > point chez les différents constructeurs. > > -- > Raphael Mazelier > > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Le 29/07/15 06:25, Youssef Bengelloun-Zahr a écrit : Hello, Il peut y avoir toutes sortes de bonnes / mauvaises raisons à cela. Je peux comprendre le concept de dédier une interface pour le management. En revanche si on fait ça il faut pousser le concept jusqu'au bout, et donc dédier une vrf à cela. Mais une vrai vrf qui peut gérer tout le trafic de management. Hors donc à ma connaissance ce n'est pas encore tout à fait au point chez les différents constructeurs. -- Raphael Mazelier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Hello, Il peut y avoir toutes sortes de bonnes / mauvaises raisons à cela. Y. > Le 29 juil. 2015 à 02:26, David Ponzone a écrit : > > En faisant un effort de bonne volonté, je veux bien admettre pourquoi Cisco a > fait tous ses efforts pour qu’on ne puisse pas bousiller l’accès à cette > interface: parce qu’elle sert à accéder au mode diag, quelque soit à priori > l’état de l’IOS. > >> Le 28 juil. 2015 à 20:38, Youssef Bengelloun-Zahr a écrit : >> >> Salut, >> >> A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai >> pas de nom ;-) >> >> Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent >> radius/xflow/snmp/etc... avec comme source cette interface :-/ >> >> Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. >> Maintenant, si tu sais l'expliquer, c'est une autre histoire. >> >> My 2 cents. >> >> Y. >> >> >> >>> Le 28 juil. 2015 à 20:19, David Ponzone a écrit : >>> >>> Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas >>> avoir cherché. >>> Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas >>> mettre le port Gig0 d’un ASR dans un autre VRF…. >>> Ca, c’est très très débile. >>> Enfin je trouve. >>> Le 28 juil. 2015 à 16:03, David Ponzone a écrit : J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se connecter sur un ASR dans le VRF de management par défaut qui est défini avec: vrf definition Mgmt-intf rd 65000:9 ! address-family ipv4 route-target export 65000:9 route-target import 65000:9 exit-address-family ! address-family ipv6 exit-address-family L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. L’échec est au niveau de l’authentification CHAP. Evidemment, le password est bon puisque si je change le VRF dans le Radius pour en mettre un qui est défini à « l’ancienne »: ip vrf test etc… ça marche. Une limitation pas documentée sur le VRF de management ? Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la rentrée à celui qui trouve :) David >>> >>> >>> --- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ > --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
En faisant un effort de bonne volonté, je veux bien admettre pourquoi Cisco a fait tous ses efforts pour qu’on ne puisse pas bousiller l’accès à cette interface: parce qu’elle sert à accéder au mode diag, quelque soit à priori l’état de l’IOS. Le 28 juil. 2015 à 20:38, Youssef Bengelloun-Zahr a écrit : > Salut, > > A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai > pas de nom ;-) > > Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent > radius/xflow/snmp/etc... avec comme source cette interface :-/ > > Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. > Maintenant, si tu sais l'expliquer, c'est une autre histoire. > > My 2 cents. > > Y. > > > >> Le 28 juil. 2015 à 20:19, David Ponzone a écrit : >> >> Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir >> cherché. >> Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas >> mettre le port Gig0 d’un ASR dans un autre VRF…. >> Ca, c’est très très débile. >> Enfin je trouve. >> >>> Le 28 juil. 2015 à 16:03, David Ponzone a écrit : >>> >>> J’ai une petite colle pour vous occuper (j’espère) en cette fin >>> d’après-midi. >>> >>> Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas >>> se connecter sur un ASR dans le VRF de management par défaut qui est défini >>> avec: >>> >>> vrf definition Mgmt-intf >>> rd 65000:9 >>> ! >>> address-family ipv4 >>> route-target export 65000:9 >>> route-target import 65000:9 >>> exit-address-family >>> ! >>> address-family ipv6 >>> exit-address-family >>> >>> L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. >>> >>> L’échec est au niveau de l’authentification CHAP. >>> Evidemment, le password est bon puisque si je change le VRF dans le Radius >>> pour en mettre un qui est défini à « l’ancienne »: >>> ip vrf test >>> etc… >>> >>> ça marche. >>> >>> Une limitation pas documentée sur le VRF de management ? >>> >>> Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la >>> rentrée à celui qui trouve :) >>> >>> David >> >> >> --- >> Liste de diffusion du FRnOG >> http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Re: VRF et PPP
Salut, A ce sujet, bcp de constructeurs ont du mal à gérer ce point, je ne citerai pas de nom ;-) Idem, certaines limitations hard/soft empêchent d'exporter tes logs/authent radius/xflow/snmp/etc... avec comme source cette interface :-/ Très débile comme tu dis, surtout pour une interface de MGMT dédiée OOB. Maintenant, si tu sais l'expliquer, c'est une autre histoire. My 2 cents. Y. > Le 28 juil. 2015 à 20:19, David Ponzone a écrit : > > Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir > cherché. > Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas > mettre le port Gig0 d’un ASR dans un autre VRF…. > Ca, c’est très très débile. > Enfin je trouve. > >> Le 28 juil. 2015 à 16:03, David Ponzone a écrit : >> >> J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. >> >> Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas >> se connecter sur un ASR dans le VRF de management par défaut qui est défini >> avec: >> >> vrf definition Mgmt-intf >> rd 65000:9 >> ! >> address-family ipv4 >> route-target export 65000:9 >> route-target import 65000:9 >> exit-address-family >> ! >> address-family ipv6 >> exit-address-family >> >> L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. >> >> L’échec est au niveau de l’authentification CHAP. >> Evidemment, le password est bon puisque si je change le VRF dans le Radius >> pour en mettre un qui est défini à « l’ancienne »: >> ip vrf test >> etc… >> >> ça marche. >> >> Une limitation pas documentée sur le VRF de management ? >> >> Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la >> rentrée à celui qui trouve :) >> >> David > > > --- > Liste de diffusion du FRnOG > http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Re: VRF et PPP
Bon, y a un gagnant pour la bière, je suis une grosse feignasse de pas avoir cherché. Le vlan Mgmt-intf est effectivement bridé, et le pire, c’est qu’on peut pas mettre le port Gig0 d’un ASR dans un autre VRF…. Ca, c’est très très débile. Enfin je trouve. Le 28 juil. 2015 à 16:03, David Ponzone a écrit : > J’ai une petite colle pour vous occuper (j’espère) en cette fin d’après-midi. > > Quelqu’un voit-il une raison pour qu’un utilisateur PPP/ADSL ne puisse pas se > connecter sur un ASR dans le VRF de management par défaut qui est défini avec: > > vrf definition Mgmt-intf > rd 65000:9 > ! > address-family ipv4 > route-target export 65000:9 > route-target import 65000:9 > exit-address-family > ! > address-family ipv6 > exit-address-family > > L’attribut AAA pour le mettre dans le bon VRF est dans un Radius. > > L’échec est au niveau de l’authentification CHAP. > Evidemment, le password est bon puisque si je change le VRF dans le Radius > pour en mettre un qui est défini à « l’ancienne »: > ip vrf test > etc… > > ça marche. > > Une limitation pas documentée sur le VRF de management ? > > Ca doit être une connerie, mais là, je vois plus rien, donc une bière à la > rentrée à celui qui trouve :) > > David > --- Liste de diffusion du FRnOG http://www.frnog.org/
