vendredi 23 octobre 2015

TSHOOT Général – Etude de cas 4 (très intéressant!!!!!!!!!!!!!!!)

A travers cet article, nous allons voir un quatrième cas de Troubleshooting sur une topologie complète.
Dans cette topologie, un problème s’est glissé.
Celui-ci peut être à n’importe quel niveau (routeur, switch, PC, etc…).

Il faudra donc adopter la bonne approche, pour trouver le problème rapidement.

1) Scénario et topologie


Il y a quelques temps, il a été décidé de mettre en place un lien de secours entre R5 et R2.
En effet, il arrive que le lien R5 – R1 soit instable.

Le lien de secours est en train d’être monté.
L’un de vos collègues a partiellement modifié les configurations pour supporter ce lien.
Malheureusement, vous venez de voir qu’il y a des problèmes de connectivité pour joindre le Web Serveur.
Etant actuellement le seul présent, vous cherchez seul la solution au problème.


Voici la topologie à votre disposition.
Le lien de secours n’est pas encore en place.
L’accès à internet est simulé par un accès à WEB Serveur

2) TSHOOT


Pour être sûr, vérifions que WEB Serveur n’est plus joignable.
Depuis Client 1 :
Ping
Peut-il encore joindre R1 ?
PingOui.

Et R5 ?
PingNon.

Le Client 1 peut donc joindre R1, mais pas R5.

Voyons si R1 peut joindre R5.
PingOui.
R5 est donc toujours UP.

Peut-il joindre WEB Serveur avec une IP qui n’est pas d’un réseau directement connecté à R5 ?
PingNon.

Il y a donc probablement un problème de routage, ou bien une ACL qui bloque le trafic.
Vu le scénario, la première option est la plus plausible.

Consultons la table de routage de R1 :
Show ip route
Elle comporte une route par défaut pointant vers R5.

A première vue, il n’y a pas de problème de routage.

Assurons-nous qu’il n’y a pas d’ACL qui bloque le trafic.
Show ip access-list
Non, rien ne bloque le trafic.

Allons voir du côté de R5.
Show ip route
Voici donc l’origine du problème.
R5 ne possède pas les bonnes routes.
Voyons sa configuration de routage.
Show run
Il n’y a pas de configuration de routage, mais il y a un objet de tracking.
Cela doit faire partie de la configuration pour le lien de secours.

Voici les autres parties de la configuration qui s’y rapportent.
Show run
Show run
Show run
Résumons.
Nous avons une Route Map qui route le trafic.

Elle peut router le trafic vers deux Next-Hop.
Pour savoir si elle doit router le trafic au Next-Hop principal (donc pas le lien de secours), elle vérifie sa disponibilité.
Sinon, c’est le lien de secours qui est utilisé.

Maintenant analysons bien cette configuration.
La structure semble bonne.
Il y a tous les éléments nécessaires (Route Map, Tracking, ACL, application de la Route Map).

En revanche, sur le contenu, il y a une erreur.

Si R1 (172.16.0.1) est disponible, R5 envoie le trafic vers 172.16.0.11.
Or, 172.16.0.11 ne correspond à rien.
La bonne IP devrait être 172.16.0.1.
Corrigeons cela.
route-map DG_TRAFFIC permit 10
no set ip next-hop verify-availability 172.16.0.11 10 track 1
set ip next-hop verify-availability 172.16.0.1 10 track 1

Voyons si le problème est résolu.
PingToujours pas.

Vérifions l’état du Tracking.
Show track
Il est Down.
Donc actuellement, le trafic est redirigé vers 172.18.0.1, qui n’existe pas.

Dans la configuration, il y a un autre élément susceptible de poser problème.
Il s’agit du Start Time du SLA Monitor.

La date de début a été fixée en dur au 23 Octobre.
Vérifions que la date soit déjà passée.
Show clock
Pire que cela, la date n’a pas été configurée.

Corrigeons cela.
R5#clock set 15:00:00 23 oct 2014

Forçons aussi le Tracking à commencer tout de suite.
R5(config)#ip sla monitor schedule 1
R5(config)#ip sla monitor schedule 1 start-time now life forever
Show track
Le problème est-il résolu ?
Ping
Il semblerait.

Testons depuis Client 1.
Ping
Il peut à nouveau joindre WEB Serveur.

Pour résumé, tout le routage est bon de Client 1 à R1.
R1 utilise une route par défaut pour joindre R5 et ses réseaux.

Quant à R5, il utilise une Route Map et du Tracking pour diriger le trafic.
Si R1 est joignable, il l’utilise pour router le trafic.
Sinon, il envoie le trafic à 172.18.0.1, qui n’est pas encore en place.

Pour finir, vérifions si R2 possède déjà sa configuration du même type.
Show route map
Non, pour le moment il n’a pas été configuré.
Publié par à Aucun commentaire:

TSHOOT Général – Etude de Cas 3

A travers cet article, nous allons voir un troisième cas de Troubleshooting sur une topologie complète.
Dans cette topologie, un problème s’est glissé.
Celui-ci peut être à n’importe quel niveau (routeur, switch, PC, etc…).

Il faudra donc adopter la bonne approche, pour trouver le problème rapidement.

1) Scénario et topologie


Suite à l’arrivée d’un nouvel employé une machine a été ajoutée au réseau (Client 1).
Celui-ci se plaint de ne pas avoir accès au réseau.

Il faut trouver la solution au problème.

Voici la topologie à votre disposition.
L’accès à internet est simulé par un accès à WEB Serveur


2) TSHOOT


Pour ne pas changer, commençons par constater le problème.

Voici ce que vous montre le client :
Panne WEB
Continuons les tests dans la console.
Ping
Le message Défaillance Général indique souvent une absence de passerelle par défaut.

Voyons la configuration IP.
Ipconfig
(J’ai masqué la plupart les interfaces non-utiles au TP).
Il n’y a qu’une seule interface qui remonte, et c’est une interface virtuelle.

Cela veut dire que le poste n’a pas d’interface réseau.
Allons voir cela dans le panneau configuration.
Cartes Réseau
L’interface est désactivée.
Réactivons là.
Carte réseau
Retournons dans la console.
Ping
Le message n’a pas changé.
Vérifions la configuration IP.
Ipconfig
Ajoutons une passerelle.
Carte Réseau
Malheureusement, le poste est en DHCP.

Il faut donc trouver le DHP, et vérifier sa configuration.

Comme ASW1 est un switch d’accès, il est fort probable que le DHCP soit sur DSW1.

Vérifions cela.
Show run
Pour chaque réseau il y a un range d’IP exclue.

Le reste semble bon, sauf pour la passerelle du VLAN 70.
A priori c’est le VLAN 70 qui est le VLAN de la machine concernée (d’après l’IP de la machine).

Vérifions cela avec les IP.
Show ip interface brief
Il s’agit bien du VLAN 70.

Il nous faut donc ajouter la passerelle dans la configuration du pool pour le VLAN 70.
Pour cela, nous pouvons nous baser sur la configuration des autres ports.

ip dhcp pool VLAN70
default-router 10.2.7.254

Pour que le client prenne en compte la passerelle, il faut relancer la recherche DHCP.
Ipconfig
Parfait, le client a une IP de passerelle.

Voyons si cela résout le problème.
Ping
Navigation WEB
Effectivement.

Pour ce qui est des autres VLAN, leur Pool DHCP semblent bons.
Publié par à Aucun commentaire:

TSHOOT Général – Etude de cas 2

A travers cet article, nous allons voir un deuxième cas de Troubleshooting sur une topologie complète.
Dans cette topologie, un problème s’est glissé.
Celui-ci peut être à n’importe quel niveau (routeur, switch, PC, etc…).

Il faudra donc adopter la bonne approche, pour trouver le problème rapidement.

1) Scénario et topologie


Depuis ce matin, les clients se plaignent de ne pas avoir accès au réseau.
Il semblerait qu’une intervention ait été réalisée hier au soir.
Le problème vient probablement de là.
Malheureusement, les personnes ayant modifié le réseau ne sont pas présentes.

Voici la topologie à votre disposition.

L’accès à internet est simulé par un accès à WEB Serveur

2) TSHOOT


Commençons par constater le problème.

En demandant à un client de vous montrer le problème, il vous présente ceci :
Panne WEB
Il en est de même sur FTP Serveur.

Testons avec une requête de Ping.
Sur Client 1 :
Ping
Sur FTP Serveur :
Ping
Déjà, FTP Serveur peut joindre le serveur, mais pas en HTTP.

Client 1 ne peut pas le joindre.

Dans le message de retour, 10.1.1.1 nous indique que 172.17.0.100 n’est pas joignable.

10.1.1.1 est l’IP de R1.

Si R1 indique à Client 1 que le serveur n’est pas joignable, mais que FTP Serveur peut le joindre, et qu’en plus le HTTP est bloqué, il y a fort à parier qu’une ACL est en place.

Vu les messages de retour, il n’est pas nécessaire pour le moment de vérifier la liaison Client – R1.
En effet, le problème ne semble pas se situer avant R1.

Allons voir si R1 possède des ACL.
Show ip access-list
La première ACL, d’après son nom sert à la redistribution.

La deuxième est probablement utilisée pour filtrer le trafic.

Vérifions si elle est appliquée.
Show run
L’ACL est appliquée sur l’interface Serial 0/0.2 en entrée.

Elle filtre donc le trafic venant des « réseaux internes » vers le WEB Serveur.

Il faut à présent analyser cette ACL en détail.

Elle est divisée en plusieurs parties :
  • Autorisation de l’ICMP
  • Autorisation du Telnet
  • Autorisation du SSH
  • Autorisation du HTTPS
  • Autorisation du FTP
  • Autorisation du DNS
  • Autorisation du SMTP
  • Autorisation du POP3
  • Autorisation de l’OSPF

Au passage, notez que sans l’entrée pour l’OSPF, R1 et R2 n’auraient pas de relations de voisinage entre eux.
Pensez donc à vérifier que les protocoles de routage sont autorisés dans les ACL, si une relation de voisinage doit se former à travers l’interface concernée.

Revenons à notre ACL.
Les réseaux pris en compte sont les suivants :
  • 2.0.0 /28
  • 1.0.0 /16
  • 168.0.0 /18

Pour savoir si cela est bon, il nous faut les IP des VLAN.
Show ip interface brief
J’utilise cette commande car elle résume bien les IP.
(Bien entendu, il faudrait aussi vérifier les masques).

Cela met en évidence un problème au niveau de l’ACL.
Dans l’ACL, le réseau 10.2.0.0 /28 n’englobe pas tous les VLAN.

Ce qui explique pourquoi FTP Serveur peut joindre WEB Serveur, et pourquoi Client ne peut pas.

Sur FTP Serveur :
Ipconfig
L’IP de FTP Serveur est prise en compte par l’ACL.

Sur Client 1 :
Ipconfig
Son IP n’est pas prise en compte par l’ACL.

Deuxième problème dans l’ACL, le HTTP n’est pas autorisé.
Seul le HTTPS est autorisé.
Ce qui explique que personne n’ai accès au WEB Serveur.

Modifions donc l’ACL en tenant compte de ces observations.
no ip access-list exte FiltreWEB
ip access-list exte FiltreWEB

permit icmp 10.2.0.0 0.0.15.255 any
permit icmp 10.1.0.0 0.0.255.255 any
permit icmp 192.168.11.128 0.0.31.255 any
permit tcp 10.2.0.0 0.0.15.255 any eq 23
permit tcp 10.1.0.0 0.0.255.255 any eq 23 
permit tcp 192.168.11.128 0.0.31.255 any eq 23
permit tcp 10.2.0.0 0.0.15.255 any eq 22 
permit tcp 10.1.0.0 0.0.255.255 any eq 22
permit tcp 192.168.11.128 0.0.31.255 any eq 22
permit tcp 10.2.0.0 0.0.15.255 any eq 80 
permit tcp 10.1.0.0 0.0.255.255 any eq 80 
permit tcp 192.168.11.128 0.0.31.255 any eq 80
permit tcp 10.2.0.0 0.0.15.255 any eq 443 
permit tcp 10.1.0.0 0.0.255.255 any eq 443 
permit tcp 192.168.11.128 0.0.31.255 any eq 443
permit tcp 10.2.0.0 0.0.15.255 any eq 20
permit tcp 10.2.0.0 0.0.15.255 any eq 21
permit tcp 10.1.0.0 0.0.255.255 any eq 20
permit tcp 10.1.0.0 0.0.255.255 any eq 21
permit tcp 192.168.11.128 0.0.31.255 any eq 20
permit tcp 192.168.11.128 0.0.31.255 any eq 21
permit udp 10.2.0.0 0.0.15.255 any eq 53
permit udp 10.1.0.0 0.0.255.255 any eq 53
permit udp 192.168.11.128 0.0.31.255 any eq 53
permit tcp 10.2.0.0 0.0.15.255 any eq 25
permit tcp 10.1.0.0 0.0.255.255 any eq 25
permit tcp 192.168.11.128 0.0.31.255 any eq 25
permit tcp 10.2.0.0 0.0.15.255 any eq 110
permit tcp 10.1.0.0 0.0.255.255 any eq 110
permit tcp 192.168.11.128 0.0.31.255 any eq 110
permit ospf any any

Vérifions le résultat.
Sur Client 1 :
Ping
Panne WEB

Sur FTP Serveur :
Ping
Panne WEB
La connexion a été rétablie pour les deux.
Publié par à Aucun commentaire:
Inscription à : Articles (Atom)