dossier technique de l’infrastructure du réseau m2l · organisés en vlan de niveau 3. le...

1/25

Dossier technique de l’infrastructure du réseau M2L

Introduction : Les Projets Personnels Encadrés (PPE) ont été développés autour d’un contexte qui est la Maison des Ligues de Lorraine (M2L). Cet environnement a permis à l’étudiant de réaliser un ensemble de projets autour de différentes situations professionnelles (les missions) et acquérir ainsi les compétences en conformité avec le référentiel.

Rappel du contexte : La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des espaces d’hébergement et des services aux différentes ligues sportives régionales et à d’autres structures hébergées. La M2L est une structure financée par le Conseil Régional de Lorraine dont l'administration est déléguée au Comité Régional Olympique et Sportif de Lorraine (CROSL).

Pour fournir ses prestations de service, la M2L s’appuie sur un réseau et une infrastructure informatique qui couvre un ensemble de besoins répondant ainsi au cahier des charges de la région et aux exigences de ses clients les ligues.

L’infrastructure informatique et réseau est prise en charge par le département Réseau de M2L qui se charge de l’exploitation de l’ensemble des équipements du parc ainsi que de la réalisation des projets informatiques.

Présentation Générale de l’infrastructure : L’infrastructure (schéma Annexe 1) est découpée en 3 parties comprenant le réseau de l’association M2L et ses départements, le réseau des ligues et le réseau d’accès à Internet. L’association M2L est responsable de l’administration de l’infrastructure, de la fourniture de services et de la sécurisation des données et des opérations de l’administration plus généralement de son système d’information.

L’infrastructure générale est hébergée dans le domaine m2l.fr. Un serveur d’annuaire et contrôleur de domaine Active Directory assure la gestion et l’administration du réseau.

2/25

L’Infrastructure système L’infrastructure comporte plusieurs périmètres de sécurité. Les services de la M2L et ligues sont organisés en VLAN de niveau 3. Le système d’information comprend les serveurs chargés de gérer les services internes (Active Directory, Services de stockage, sauvegarde, fichiers, réseau etc…) et les services externes (site Web, Ftp, WIFi etc…).plupart de ces services sont virtualisés dans des machines physique HP ou DELL.

Tous les serveurs physiques (HP ProLiant DL120 G7 * Dell PowerEdge 2950 **) se trouvent dans le VLAN INFORMATIQUE du réseau de la M2L et exécutent Windows 2008 R2 Entreprise 64 bits en tant que machines hôtes. Les machines virtuelles qu’y sont créées tournent sous des systèmes d’exploitation Windows 2008 R2 et Linux Debian en fonction de leurs rôles, sous Virtual box.

* 2 serveurs HP ProLiant DL120 G7 dans l’infrastructure verticale, configurés en RAID 1 ** 2 serveurs Dell PowerEdge 2950 (concernant l’infrastructure horizontale) mis en RAID 5. La description technique de chaque serveur est donnée en annexe. Configuration de la machine hôte 1

• Nom : WIN-L09UTAN7G6J • Adresse IP : 172.16.2.51/26 • Passerelle par défaut : 172.16.2.62 • DNS : 172.16.2.61 • Login : Administrateur • Mot de passe : Btssio2015

Les machines virtuelles hébergées par la machine hôte 1 : VM 2K8 Active Directory/DNS/DHCP

- Rôles :

• Contrôleur de domaine AD-DC • DNS • DHCP • Service de fichier

- Configuration : • Nom de la machine : AD-DHCP1 • OS : Windows 2008 Server R2 64 bits • Nom domaine : m2l.fr • Adresse IP : 172.16.2.61 • Login : Administrateur • Mot de passe : Btssio2015

3/25

VM 2K8 TSE/WDS

- Rôles : • Serveurs d’application TSE • WDS (Windows Deployment Service), serveur d’images systèmes

- Configuration : • Nom de la machine : TSE-WDS • OS : Windows 2008 Server R2 64 bits • Nom domaine : m2l.fr • Adresse IP : 172.16.2.58/26 • Login : Administrateur • Mot de passe : Btssio2015

VM 2K8 OCS/GLPI

- Nom de la machine : OCS-GLPI - Rôles :

• Serveur d’inventaire du parc informatique OCS • Application Gestion de parc GLPI, gestionnaire de ressources et des tickets

- Configuration : • OS : Windows 2008 Server R2 64 bits • Rôles : Serveur d'application • Nom domaine : m2l.fr • Adresse IP : 172.16.2.59/26 • Login : Administrateur • Mot de passe : Btssio2015

Configuration de la machine hôte 2

• Nom de la machine : VIRTU2 • Adresse IP : 172.16.2.52/26 • Passerelle par défaut : 172.16.2.62 • DNS : 172.16.2.61 • Login : Administrateur • Mot de passe : Btssio2015

Les machines virtuelles hébergées par la machine hôte 2 VM PROXY DHCP

- Nom de la machine : PROXY-DHCP - OS : Debian 7 - Rôles :

• DHCP 2 en redondance du 1er • Proxy Web sous Squid

- Configurations : • Adresse IP : 172.16.2.60 /26 • DNS : 172.16.2.61 • Login : root • Mot de passe : Btssio2015

4/25

VM NAGIOS EON

- Nom de la machine : NAG-EON - Rôles du serveur : Supervision des équipements réseau (routeurs, commutateurs, point d’accès) - Configurations :

• Adresse IP : 172.16.2.56 /26 • Login : root • Mot de passe : Btssio2015 • OS distribution Centos

Serveurs hébergés dans la DMZ La DMZ comporte deux serveurs servant de machines hôtes. La configuration des ordinateurs serveurs : Configuration de la machine hôte

• Nom de la machine : VIRTU-DMZ • OS : Windows 7 Professionnel 64 bits • Adresse IP : 192.168.0.12 /28 • DNS : 172.16.2.61 • Login : Administrateur • Mot de passe : Btssio2015

FTP Filezilla

- Nom de la machine : m2l-ftp - Rôles du serveur :

• Serveur FTP sous FileZilla Server, en téléchargement de documents mis en ligne - Configurations :

• Adresse IP : 192.168.0.12 /28 • Login : Administrateur • Mot de passe : Btssio2015

Les machines virtuelles hébergées par la machine hôte 1

VM WEB

- Nom de la machine : m2l-web - Rôles du serveur :

• Serveur http sous Debian, hébergeant un mini site sur M2L - Configurations :


5/25

Les machines virtuelles hébergées par la machine hôte 2 VM APLICATION WEB (DEV)

- Nom de la machine : web-dev - Rôles du serveur :

• Serveur http sous distribution LAMP - Configurations :


Le serveur NAS

- Nom : NAS-STOCKAGE

- Rôles du serveur : • Serveur de fichier

- Configurations : • Adresse IP : 172.16.2.55/26 • Passerelle par défaut : 172.16.2.62 • DNS : 172.16.2.61 • Login : Administrateur • Mot de passe : Btssio2015

6/25

WDS-TSE/W2K8

AD-DNS-DHCP/W2K8 R2

HP ProLiant DL120 G7/W2K8

OCS-GLPI/W2K8 R2

AD SUPP/W2K8 R2 DHCP2-PROXY/Debian 7

HP ProLiant DL120 G7/W2K8

NAGIOS-EON/Centos

7/25

L’Infrastructure réseau La structure générale du réseau comprend :

- Les sous réseaux de l’association M2L - Les sous réseaux des ligues - Le réseau Backbone - Le réseau WIFI - La DMZ - Le réseau d’accès à Internet

Le réseau M2L héberge tous les serveurs dans une baie de serveurs installée dans le service Informatique du département Réseau. Les serveurs hébergent les applications (base de données, WEB, Sauvegarde etc…), les services réseau et les services de gestion et de supervision du parc informatique.

Un réseau radio WIFI permet de servir les postes nomades du personnel M2L et des ligues. Ce réseau doit être assez souple et adaptable pour fournir un accès à Internet au public externe à l’association. Le schéma de l’infrastructure générale est donné en Annexe 1.

Plan d’adressage IP

Le réseau général est construit autour de l’adresse 172.16.0.0 avec un masque de 19 bits. Ceci permet de couvrir l’ensemble du plan d’adressage de l’association pour les ligues, M2L mais aussi pour les évolutions. L’administrateur a réservé un masque de 26 bits par sous réseau. Les sous réseaux couvrent les départements de M2L et les ligues. Le plan d’adressage IP 192.168.0.0 /28 est attribué à la DMZ. Le plan d’adressage IP 172.16.99.x /26 est réservé au réseau de gestion pour l’administration à distance des équipements de réseau. Les utilisateurs WIFI seront intégrés à 2 Vlan dans le réseau 192.168.x.0 (x=N° Vlan).

Les tableaux en Annexe décrivent le plan d’adressage IP de l’ensemble du réseau. Ce plan d’adressage tient compte d’une exploitation des adresses IP en mode dynamique par 2 serveurs DHCP.

Un bloc d’adresse est réservé pour les équipements en adressage fixe et ceci pour chaque sous réseaux. Des règles d’ingénierie ont été définies et imposent de placer les plages d’adresse fixe sur les adresses les plus hautes de chaque sous réseau.

Ce tableau est présenté en ANNEXE 2.

Les éléments du réseau Ce réseau regroupe les fonctions suivantes :

- Une structure de VLAN de niveau 3 est utilisée pour les sous réseaux WIFI, de l’association M2L et des ligues. Cette structure permet de limiter les domaines de diffusion.

8/25

L’association M2L comprend 6 VLAN, chaque ligue est intégrée dans un VLAN et 2 Vlan sont utilisés pour le réseau radio WIFI.

Les VLAN sont identifiés dans le plan d’adressage IP par le troisième octet qui prend pour valeur le N° du VLAN, ainsi le service Réseau est placé à l’adresse 172.16.2.0 /26 qui représente le VLAN 2 ou encore le VLAN de la ligue de Tennis 172.16.10.0/26.

- Un VLAN de gestion permet d’accéder aux équipements de réseau via les postes Administrateur du service Informatique du département réseau. La gestion des équipements permet d’assurer la maintenance, les mises à jour des configurations ou des IOS et les opérations ponctuelles de surveillance et de test du réseau.

- Le routage des VLAN utilise la technique des sous interfaces VLAN et l’encapsulation 802.1Q implémentés dans les switch et routeurs.

- Un réseau backbone assure le lien entre les Ligues, M2L, la DMZ et l’accès à Internet. Ce backbone est administré par le protocole de routage dynamique OSPF.

- les serveurs DHCP et serveur de nom DNS assurent la gestion des machines, il n’y a pas de délégations DNS. Le service DHCP est installé dans 2 serveurs physiquement séparés pour assurer la tolérance aux pannes. Le 2ème serveur DHCP est installé sous Linux Debian comme serveur Open source. La plus grande partie des serveurs sont virtualisés.

- Un routeur filtrant assure les fonctions de pare feu. Les postes client sont assujettis à des règles de contrôle d’accès via un filtrage utilisant les ACL Cisco.

Nota : La maquette n’intègre que les 2 premiers VLAN de l’association M2L (Vlan Réseau et administratif) et les 3 premières ligues (Tennis, Basket et Athlétisme).

9/25

Infrastructure M2L L’association M2L comporte 6 départements (6 VLAN) dont le département réseau qui renferme le service Informatique. Ce service assure la gestion et administration du réseau et du parc informatique. Les ressources informatiques (serveurs, bases de données, systèmes de supervision…) sont situées dans une baie de serveurs. Parmi ces serveurs on trouve les 2 serveurs DHCP en redondance chaude et le serveur Proxy qui se charge des requêtes http des personnels des ligues et M2L.

Les salles ressources au rez de chaussée du bâtiment B offrent des accès aux équipements multimédia, vidéo, téléphones IP, imprimantes et ordinateurs pour les utilisateurs externes qui louent ces salles. Ces salles sont regroupées dans le 7ème VLAN intégré dans le réseau de la M2L. Infrastructure des ligues Chaque ligue est intégrée à un sous réseau dans un VLAN. Le plan d’adressage des ligues est donné dans le tableau Annexe1.

La maquette comprend la ligue de Tennis, d’Athlétisme et la ligue de Basket avec 1 postes informatique par ligue au titre de poste client. Les postes clients utilisent les services des serveurs installés dans le sous réseau du département Réseau de M2L.

Ces ligues sont réparties sur des commutateurs d’accès. Un commutateur de distribution assure le lien entre les commutateurs d’accès et le réseau backbone via un routeur (routeur RLIGUES) supportant des sous interfaces VLAN et l’encapsulation 802.1Q. Les commutateurs d’accès sont reliés au commutateur de distribution par des agrégations de liens en Etherchannel (Technologie Cisco). Ces liens agrégés supportent le trafic des ligues durant la phase opérationnelle. Une liaison de secours relie les commutateurs d’accès entre eux constituant ainsi un chemin redondant.

Cette structure de réseau de commutateurs à chemin redondant garantit la continuité du service sur la transmission des données par les 3 commutateurs connectés en boucle. Le spanning-tree a été configuré pour privilégier le trafic sur les liaisons Etherchannel en phase opérationnelle (haute disponibilité).

10/25

Abonnements Internet Le service d’accès Internet est géré par 2 routeurs configurés pour assurer une haute disponibilité sur la connectivité Internet utilisant le service de redondance HSRP. Un abonnement FAI haut débit Fibre est géré par le routeur HSRP primaire et supporte le trafic principal. Un abonnement FAI ADSL de secours géré par le routeur HSRP secondaire est chargé de prendre le relais en cas de panne de l’abonnement du routeur primaire. Lorsque le lien primaire retrouve un état opérationnel il reprend la gestion du trafic. Les 2 abonnements Internet sont souscris à l’opérateur Orange qui délivre un contrat de service Pro Fibre 100Mb/s avec une SLA GTR 4heures pour l’abonnement principal Fibre et un contrat bas débit ASDL GTR 48Heures pour l’abonnement de secours.

- Abonnement Fibre : 221.87.149.1 /30 (à 100Mb/s) - Abonnement ADSL secours : 183.44.71.1 /30 (à 10Mb/s)

Accès Internet et DMZ Cette partie représente le périmètre de sécurité pour l’accès à Internet. Une zone DMZ est intégrée dans le routeur M2L qui règlemente les échanges l’accès à Internet. Ce routeur assure la gestion du sous réseau DMZ qui renferme les services WEB et FTP, la fonction de pare feu et l’interconnexion au réseau privé et Internet.

Les 2 services FTP et WEB de la DMZ sont intégrés dans une VM dans une machine Windows pour héberger le site WEB de M2L et des ligues et le serveur de téléchargement. Ces services sont accessibles depuis l’Internet et le réseau interne sous certaines conditions.

Le périmètre de sécurité est représenté par les fonctions suivantes :

- Pare Feu entre le réseau interne, la DMZ et Internet avec sécurisation par des règles de contrôle d’accès. Ces règles sont définies en annexe.

- Une fonction port forwarding permet de rediriger les requêtes provenant de l’Internet vers les ressources accessibles de l’association (http, FTP…).

- Pour compléter le périmètre de sécurité, un serveur Proxy WEB sous Debian 7 (Proxy SQUID) réglemente l’accès à Internet pour l’ensemble des utilisateurs internes de M2L excepté pour les postes d’administration du service Informatique et pour les postes nomades WIFI.

11/25

Réseau WIFI Pour cette maquette le réseau WIFI interne couvre la surface occupée dans le bâtiment B Hall d’accueil et l’espace extérieur qui couvrira les zones utilisées pour les journées évènementielles porte ouverte. Ce point d’accès contrôle 2 réseaux radios identifiés chacun par un SSID.

Un SSID ¨VISITEURS¨ permet de fournit une connectivité Internet au public dans le cadre de leur visite dans les locaux ou lors d’activités événementielles type journées portes ouvertes qui accueille du public ou des invités. Ce réseau offre une connectivité ouverte non sécurisée à Internet. L’identification du réseau est diffusée.

Un SSID ¨EMPLOYES¨ fournit au personnel interne M2L et Ligues munis de postes portables l’accessibilité Internet et vers le réseau privé. Pour ce SSID on utilise la sécurisation WPA et une authentification WPA2-PSK. Pour ce réseau, le cryptage AES est utilisé et l’identifiant de réseau n’est pas diffusée.

Ces 2 réseaux sont séparés par des VLAN de niveau 3 et une règle sur le routeur M2L permet d’éviter que les visiteurs puissent accéder au réseau interne privé.

Les 2 réseaux sont intégrés à un VLAN qui permet de séparer les flux et de les gérer dans une structure de sous réseau. Les postes mobiles sont alimentés en adresse IP par un serveur DHCP situé dans le routeur M2L.

Ces sous réseaux sont administrés par le routeur M2L via 2 interfaces virtuelles, une pour chaque SSID et une interface virtuelle de gestion.

Un commutateur situé dans la salle d’accueil entre le PA et le routeur fournit des accès VLAN sur lequel sont raccordés des équipements imprimantes, téléphones IP, poste PC fixes offrant ainsi un espace de travail un peu plus sophistiqué aux visiteurs de type VIP.

12/25

Supervision de réseau, Maintenance En cas de panne l’analyse de problème réseau s’effectue via l’outil d’analyse de trame Wireshark qui permettra de vérifier les anomalies de fonctionnement du réseau pour la validation, les tests ou la mise en service mais aussi le dépannage de situation en cas de blocage.

Une fonction de port mirroring sur les commutateurs Cisco permet d’analyser les trafics sur les liens stratégiques (trafic M2L, Ligues).

Un service d’administration à distance utilisant le protocole SSH version 2 permet une prise de contrôle à distance des équipements routeurs et commutateurs du réseau en mode sécurisé. L’application SSH sera installée sur les équipements de réseau. Ce protocole utilise le mode de chiffrement à clés asymétriques RSA (longueur de clé 1024).

Les équipements de réseau sont accessibles en SNMP pour permettre l’exploitation du réseau par le superviseur NAGIOS sous la distribution Eyes Of Network (distribution CENTOS). On utilise la communauté ¨EyesOfNetwork¨ pour les relations agent/serveur avec droits en lecture. On utilisera les Traps ou notifications SNMP définies par Cisco pour surveiller les équipements Switch et routeurs, les ruptures de liens et les pannes et redémarrages des équipements.

Le superviseur NAGIOS/EON est dédié à la supervision des équipements de réseau (commutateurs, routeurs, passerelles, Points d’accès). L’outil de gestion de parc et gestion d’incidents OCS Inventory permet d’assurer la gestion des postes et serveurs informatiques.

13/25

ANNEXE 1 - SCHEMA DE L’INFRASTRUCTURE

DMZ

Ligue

INTERNET

RM2L RLIGUES

Continuité du service Spanning Tree

- - - - -

M2L FTP M2L WEB

DNS/DHCP1 AD Win2008

DHCP2 Proxy

Debian

OCS GLPI Debian

VLAN

M2L

Poste 1 (VIRTU1)

Poste 3 (VIRTU3)

Postes Ligues

10.0.0.8 /29

192.168.0.0 /28

VLAN

LIGUES

Domaine : m2l.fr

Poste Client

SW1M2L SW1LIG

SW2LIG SW3LIG

NAS RAID

172.16.x.0 /26

172.16.X.0 /26

(X=N° VLAN)

HSRP PRI 221.87.149.0

183.44.71.0

TSE WDS Windows

NAGIOS EON

Ressources

SSID VISITEURS

SSID EMPLOYES

HSRP SEC

172.16.x.0 /x

Vlan Visiteurs Vlan Employés

Poste 2 (VIRTU2)

10.0.0.0 /29

14/25

ANNEXE 2 - PLAN D’ADRESSAGE IP

VLAN M2L VLAN 2 INFORMATIQUE

VLAN 3 ADMINISTRATIF

VLAN 4 DIR GENERALE

VLAN 5 COMMERCIAL

VLAN 6 JURIDIQUE

VLAN 6 RESSOURCES

Masque 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 Adresse du réseau 172.16.2.0 172.16.3.0 172.16.4.0 172.16.5.0 172.16.6.0 172.16.7.0 Adresse de diffusion 172.16.2.63 172.16.3.63 172.16.4.63 172.16.5.63 172.16.6.63 172.16.7.63

Plage adresse DHCP1 172.16.2.1 172.16.2.25

172.16.3.1 72.16.3.25

172.16.4.1 172.16.4.25

172.16.5.1 72.16.5.25

172.16.6.1 72.16.6.25

172.16.7.1 72.16.7.25


172.16.3.26 72.16.3.50

172.16.4.26 172.16.4.50

172.16.5.26 72.16.5.50

172.16.6.26 72.16.6.50

172.16.7.26 72.16.7.50

Plage fixe 172.16.2.51 172.16.2.62

172.16.3.51 72.16.3.62

172.16.4.51 172.16.4.62

172.16.5.51 72.16.5.62

172.16.6.51 72.16.6.62

172.16.7.51 72.16.7.62

Serveurs DHCP 172.16.2.61 (DHCP1) 172.16.2.60 (DHCP2)

Passerelle 172.16.2.62 172.16.3.62 172.16.4.62 172.16.5.62 172.16.6.62 172.16.7.62

VLAN LIGUES TENNIS VLAN10 ATHLE VLAN11 BASKET VLAN12 VTT VLAN13 - - - - LIGUE 32 VLAN N Masque 255.255.255.192 255.255.255. 192 255.255.255. 192 Adresse du réseau 172.16.10.0 172.16.11.0 172.16.12.0 Adresse de diffusion 172.16.10.63 172.16.11.63 172.16.12.63


172.16.11.1 172.16.11.25

172.16.12.1 172.16.12.25


172.16.11.26 172.16.11.50

172.16.12.26 172.16.12.50

Plage fixe 172.16.10.51 172.16.10.62

172.16.11.51 172.16.11.62

172.16.12.51 172.16.12.62

Passerelle 172.16.10.62 172.16.11.62 172.16.12.62

15/25

ANNEXE 2 - PLAN D’ADRESSAGE IP (suite) VLAN de gestion Gestion LIGUES Gestion M2L Gestion WIFI WIFI Invités WIFI Employés Masque 255.255.255.240 255.255.255.248 255.255.255.248 255.255.255.224 255.255.255.128 Adresse du réseau 172.16.99.0 172.16.99.16 172.16.99.24 172.16.100.0 172.16.101.0 Adresse de diffusion 172.16.99.15 172.16.99.23 172.16.99.31 172.16.100.31 172.16.101.127

Plage IP utilisable 172.16.99.1 172.16.99.14

172.16.99.17 172.16.99.22 172.16.99.25

172.16.99.30 172.16.100.1 172.16.100.25

172.16.101.1 172.16.101.120

Passerelle 172.16.99.14 172.16.99.22 172.16.99.30 172.16.100.30 172.16.101.126

Réseau Interconnexion LIGUES <-> M2L DMZ HSRP Masque 255.255.255.248 255.255.255.240 Masque 255.255.255.248 Adresse du réseau 10.0.0.8 192.168.0.0 RM2L 10.0.0.1 192.168.0.1 HSRP PRI 10.0.0.5 Passerelle Ligues 10.0.0.10 192.168.0.14 HSRP SEC 10.0.0.4 Passerelle M2L 10.0.0.9 192.168.0.14 IP virtuelle HSRP 10.0.0.6

Plan d’adressage des serveurs

Machine Hôte Nom VM Adresse IP Masque passerelle VIRT1-2K8

172.16.2.51 /26

AD-DHCP1 AD, DNS, DHCP1 172.16.2.61 255.255.255.192 172.16.2.62 TSE-WDS TSE, WDS 172.16.2.58 " " OCS-GLPI OCS-NG 172.16.2.59 " "

VIRT2-LIN 172.16.2.52

/26

DEB-DHCP2 DHCP2, PROXY 172.16.2.60 255.255.255.192 172.16.2.62 NAG-EON NAGIOS/EON 172.16.2.56 " "

NAS/DFS SAV-SRV 172.16.2.55 255.255.255.192 172.16.2.62

VIRT-DMZ 192.168.0.1

/28

m2l-ftp FTP 192.168.0.12 255.255.255.240 192.168.0.14 m2l-web WEB 192.168.0.13 255.255.255.240 192.168.0.14 WEB-DEV LAMP (http, Ftp, SSH) 192.168.0.11 255.255.255.240 192.168.0.14

16/25

ANNEXE 3 - PLAN DE BRASSAGE

SWM2L Ports SW1LIGUE 2960/2950 Ports Trunk Port 23 à 24 Liaison trunk Rligues Port 1 VLAN INFO Ports 1 à 14 Trunk Port-Channel 1 Ports 2/3 VLAN ADMIN Ports 15 à 22 Trunk Port-Channel 2 Ports 4/5

SW2LIGUE 2950-24/48TT Ports SW3LIGUE 2950-24/48TT Ports Trunk + Port-Channel 1 + 2/3 Trunk + Port-Channel 1 + 2/3 VLAN Tennis 4 à 14 VLAN Basket 4 à 14 VLAN Athlétisme 15 à 22

RM2L Interfaces RLigues Interfaces Liaison Routeur Ligues Fa0/0 Liaison Routeur M2L Fa0/0 Liaison Sous réseau M2L E1/1 Liaison sous réseaux Ligues Fa0/1 Liaison HSRP Fa0/1 Liaison DMZ E1/0 Liaison SW WIFI E1/2

Brassage switchs ligues / M2L

Brassage Routeurs

17/25

ANNEXE 4 - IDENTIFIANTS & MOTS DE PASSE Tables des noms DNS

Tableau des identifiants

Accès Identifiant Mot de passe Postes physiques Administrateur Btssio2015 Machines virtuels m2l\administrateur Btssio2015

Compte "root" de m2l-debian root Btssio2015

Comptes root Nagios root Btssio2015 Comptes root OCS

Compte administrateur de domaine Administrateur Btssio2015

Accès aux équipements cisco via ssh admin admin

Mot de passe enable - cisco Accès au PA cisco Cisco Cisco

Equipement Nom Adresse IP

Serveur DNS dns1 172.16.2.61 Serveur WEB Http web 192.168.0.13

Serveur téléchargement ftp 192.168.0.12 Serveur Proxy proxy 172.16.2.60 Routeur M2L rm2l 172.16.99.22 Switch M2L sw1m2l 172.16.99.17

Routeur1 Ligues r1ligues 172.16.99.14

Switch1 Ligue sw1lig 172.16.99.1 Switch2 Ligue sw2lig 172.16.99.2 Switch3 Ligue sw3lig 172.16.99.3

Routeur Hsrp Pri hsrppri 10.0.0.5 Routeur Hsrp sec hsrpsec 10.0.0.4 PA WIFI Aironet M2LWIFI 172.16.99.29

Switch WIFI 172.16.99.25

18/25

ANNEXE 5 - Règles de contrôle d’accès - Pare Feu Cisco

Le routeur M2L héberge le Pare Feu qui règlemente les accès depuis et vers l’Internet. Il assure un contrôle d’accès aux ressources de M2L pour l’association et les ligues entre l’Internet et le réseau privé interne.

La stratégie de sécurité de M2L a permis de dégager une politique de sécurité en conformité avec les exigences de la direction et du conseil régional.

Règles de contrôle d’accès :

1/ Seuls les requêtes du serveur Proxy peut accéder à Internet. 2/ Les Internautes peuvent accéder à la DMZ mais pas au réseau privé. 3/ Les sous réseaux M2L et ligues peuvent accéder aux ressources de la DMZ. 4/ Les postes nomades du réseau Wifi ¨Visiteurs¨ n’ont accès qu’à Internet. Les postes du réseau

Wifi ¨Employés¨ peuvent accéder au réseau Interne Informatique et à Internet. 5/ Le trafic ICMP est autorisé pour les postes fixes du service Informatique. 6/ Le trafic ICMP provenant de l’Internet est interdit.

19/25

ANNEXE 6 - Nomenclature des équipements Les serveurs HP ProLiant DL120 G7

Principales caractéristiques

Facteur de forme Montable sur rack - 1U Processeur 1 x Intel Xeon E3-1220 / 3.1 GHz (quadricœur) Technologie Hyper-Threading Mémoire cache 8 Mo L3 Cache par processeur 8 Mo RAM 4 Go (installé) / 16 Go (maximum) - DDR3 SDRAM - ECC - 1333 MHz - PC3-10600 Contrôleur de stockage SATA (SATA-300 ) ( Smart Array B110i ) Baies de stockage pour serveur Hot-swap 3.5" Disque dur 2 x 250 Go (remplacement à chaud) - SATA-300 Réseaux 2 cartes réseau Gigabit LAN Alimentation CA 120/230 V (50/60 Hz) Dimensions (LxPxH) 44.8 cm x 70 cm x 4.4 cm Poids 22.8 kg

Dell Poweredge 2950


Facteur de forme Montable sur rack - 2U Carte Mère Bi processeur Socket 771 Processeur Bi Xeon 1.6 Ghz Dual Core E5110 Mémoire cache 8 Mo L3 Cache par processeur 8 Mo Contrôleur Raid Perc5/i 256 Mo RAM 8 Go DDR2 ECC 1066 Mhz Contrôleur de stockage SATA ( SATA-300 ) ( Smart Array B110i ) Baies de stockage pour serveur Hot-swap 3.5" Disque dur 5 x 73 Go 15K SAS 3.5 Hot Plug Réseaux 2 x Ports 10/100/1000 Mbits Lecteur DVD-Rom Alimentation Alimentation Hot Plug Dimensions (LxPxH) 44.8 cm x 70 cm x 4.4 cm Poids 22.8 kg

20/25

Les serveurs situés dans la DMZ Dell OptiPlex 780


Facteur de forme Boîtier Desktop convertible Mini Tour Processeur Intel Core 2 Duo E7500 (2.93 GHz - Cache 3 Mo - FSB 1066 MHz) Jeu de composants Intel G41 Express mémoire vive 4 Go de de type DDR3-SDRAM Disque dur 500 Go Serial-ATA 3 Gbps 7200 tpm Graveur DVD Super Multi double couche Ports USB 8 ports USB 2.0, port Série (RS-232), VGA... Système d’exploitation Windows 7 Professionnel 64 bits

HP ProLiant DL120 G7


Facteur de forme Montable sur rack - 1U Processeur 1 x Intel Xeon E3-1220 / 3.1 GHz (quadricœur) Technologie Hyper-Threading Mémoire cache 8 Mo L3 Cache par processeur 8 Mo RAM 4 Go (installé) / 16 Go (maximum) - DDR3 SDRAM - ECC - 1333 MHz - PC3-10600 Contrôleur de stockage SATA ( SATA-300 ) ( Smart Array B110i ) Baies de stockage pour serveur Hot-swap 3.5" Disque dur 2 x 250 Go (remplacement à chaud) - SATA-300 Réseaux 2 cartes réseau Gigabit LAN Alimentation CA 120/230 V (50/60 Hz) Dimensions (LxPxH) 44.8 cm x 70 cm x 4.4 cm Poids 22.8 kg

21/25

Les NAS

Seagate Business Storage STBN4000200 - serveur NAS - 4 To


Type de périphérique Serveur NAS Connectivité hôte Gigabit Ethernet Capacité totale de stockage 4 To Périphériques installés / Nbre de modules 2 (installé) / 2 (maximum) Dimensions (LxPxH) 15.5 cm x 31 cm x 27.5 cm Poids 3.73 kg Localisation Moyen-Orient, Afrique, Europe Contrôleur de stockage RAID - RAID 1 Disque dur 2 x 2 To Réseaux Adaptateur réseau - intégré - Ethernet, Fast Ethernet, Gigabit Ethernet Configuration requise Apple MacOS X 10.5.8 ou ultérieure, Microsoft Windows Vista / XP / 7 / 8

Buffalo TeraStation WS5400D 8 To (4x 2To)


Processeur Intel Atom double cœur 1,86 GHz Système d'exploitation interne Windows Storage Server 2012 R2 Workgroup (jusqu’à 50 utilisateurs) RAM 4 Go de mémoire DDR3 rapide inclus Prise en charge d’Active Directory La cible iSCI 3.3 optimise les tâches liées au stockage pour le développement, les environnements de tests et les environnements de production petits, moyens ou de la taille d’un département. Prise en charge du DFS (Système de fichiers distribué), de l’espace de nom et de la réplication, sauvegarde à distance Link Aggregation avec 2 ports LAN Port Gigabit Ethernet 10/100/1000 avec trame étendue (Jumbo Frame) Sauvegarde avec NAS, USB flash, ou HDD

22/25

2 ports USB 3.0 et 2 ports USB 2.0 pour disque dur externe, imprimante et connectivité avec un onduleur Le nouveau Work Folder permet aux utilisateurs extérieurs (BYOD) un accès facilité tout en gardant un contrôle central Cryptage des données Paramétrage simple avec le nouveau navigateur NAS Disques durs démontables à chaud Écran LCD affichant les informations importantes du TeraStation et l’état des disques NovaBACKUP Business Essentials

Les équipements de réseau

Cisco AIRONET 1200

Désignation Point d’Accès WIFI

Security Authentication Security Standards

• WPA / WPA2 (802.11i) • Cisco TKIP, Cisco message integrity check (MIC) • • IEEE 802.11 WEP keys of 40 bits and 128 bits 802.1X EAP types:

• PEAP-Microsoft Challenge Authentication Protocol Version 2 (PEAP-MSCHAP) • EAP-Transport Layer Security (EAP-TLS/TTLS) • EAP-Subscriber Identity Module (EAP-SIM) • Cisco LEAP Encryption

• AES-CCMP encryption (WPA2) • Cisco TKIP / WPA TKIP • IEEE 802.11 WEP keys of 40 bits and 128 bits

Data Rates Supported 802.11g: 1, 2, 5.5, 6, 9, 11, 12, 18, 24, 36, 48, and 54 Mbps

Network Standard IEEE 802.11b and IEEE 802.11g

Antenna 2.4 GHz • Dual RP-TNC connectors

Memory and Processor • IBM PowerPC405 (200 MHz) • 16 MB RAM; 8 MB Flash memory

23/25

Electrical specifications • 90 to 240 VAC ±10 percent (power supply) • 48 VDC ±10 percent

Power Draw 13W maximum

Routeur Cisco 2611XM

Type de périphérique Routeur d’Accès

Facteur de forme

Dimensions (LxPxH)

Montable sur rack - modulaire

44.5 cm x 30 cm x 4.3 cm

RAM

Mémoire flash

128 Mo (installé) / 128 Mo (maximum)


Protocole de liaison de données Ethernet, Fast Ethernet

Protocole de Routage RIP, EIGRP, OSPF, BGP

Protocole réseau / transport TCP/IP, AppleTalk, UDP/IP, IP/IPX

Protocole de gestion à distance RMON, Telnet, SSH

Caractéristiques Cisco IOS 12.2(8)T , design modulaire, routage IP, routage Appletalk, routage IPX, prise en charge NAT, administrable

Conformité aux normes IEEE 802.3, IEEE 802.3U , ITU G.991.2 (G.shdsl)

Alimentation CA 100/240 V ( 50/60 Hz )

Routeur C1841

24/25

RAM

Mémoire flash


32 Mo (installé)

Protocole de liaison de données Ethernet, Fast Ethernet

Protocole de Routage RIP, EIGRP, OSPF, BGP

Protocole réseau / transport TCP/IP, AppleTalk, UDP/IP, IP/IPX

Protocole de gestion à distance RMON, Telnet, SSH, Http

Caractéristiques Cisco IOS 12.2(8)T , design modulaire, routage IP, routage Appletalk, routage IPX, prise en charge NAT, administrable, Cryptage RSA 2048

Conformité aux normes IEEE 802.3, IEEE 802.3U , ITU G.991.2 (G.shdsl)

Alimentation CA 100/240 V ( 50/60 Hz )

Switch C2950-24

Ports

24 x 10/100 FastEthernet RJ45

Fonctions Spanning-treee 802.1d, VLAN, 802.1Q, Etherchannel, cryptage RSA, AES. Serveur DHCP. ACL,

Méthode d'authentification RADIUS, TACACS+, Secure Shell v.2 (SSH2)

Fonctions Commutateur N2, auto-détection par dispositif, , équilibrage de charge, prise en charge du réseau local virtuel (VLAN), auto-uplink (MDI/MDI-X auto), IGMP snooping, prise en charge de Syslog, prise en charge DiffServ, prise en charge du protocole RSTP (Rapid Spanning Tree Protocol), prise en charge du protocole Multiple Spanning Tree 802.1d. Protocol (MSTP), DHCP snooping, assistance Port Aggregation Protocol (PAgP), assistance Access Control List (ACL), qualité de service (QDS), Link Aggregation Control Protocol (LACP), Port Security, notification de l’adresse MAC, Remote Switch Port Analyzer (RSPAN)

Conformité aux normes IEEE 802.3, IEEE 802.3u, IEEE 802.1D, IEEE 802.1Q, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s

Mémoire flash 8 Mo Flash

Interfaces 1 x console – RJ-45 – gestion ¿ 24 x 100Base-TX – RJ-45

Alimentation Alimentation électrique interne CA 120/230 V ( 50/60 Hz ) 30 Watt

25/25

Switch C2950- 48 ports

Type Commutateur GigaEthernet montable sur rack

Ports 48 x 10/100/1000 FastEthernet RJ45

Fonctions Commutateur N2, auto-détection par dispositif, , équilibrage de charge, prise en charge du réseau local virtuel (VLAN), auto-uplink (MDI/MDI-X auto), IGMP snooping, prise en charge de Syslog, prise en charge DiffServ, prise en charge du protocole RSTP (Rapid Spanning Tree Protocol), prise en charge du protocole Multiple Spanning Tree 802.1d. Protocol (MSTP), DHCP snooping, assistance Port Aggregation Protocol (PagP), assistance Access Control List (ACL), qualité de service (QDS), Link Aggregation Control Protocol (LACP), Port Security, notification de l’adresse MAC, Remote Switch Port Analyzer (RSPAN)

Conformité aux normes IEEE 802.3, IEEE 802.3u, IEEE 802.3z, IEEE 802.1D, IEEE 802.1Q, IEEE 802.3ab, IEEE 802.1p, IEEE 802.3x, IEEE 802.3ad (LACP), IEEE 802.1w, IEEE 802.1x, IEEE 802.1s, IEEE 802.3ah, IEEE 802.1ab (LLDP)

Méthode d'authentification RADIUS, TACACS+, Secure Shell v.2 (SSH2)

Caractéristiques Contrôle du flux, Fonction duplex intégral, liaisons, prise en charge du réseau local (LAN) virtuel, IGMP snooping, prise en charge de Syslog, mise en file d'attente Weighted Round Robin (WRR), Protocole SNMP

Switch NETGEAR 8 ports

Type Switch d’accès non manageable

Ports 24 x 10/100 FastEthernet RJ45

Fonctions Spanning-treee 802.1d, VLAN, 802.1Q, Etherchannel, cryptage RSA, AES. Serveur DHCP. ACL,

Caractéristiques Contrôle du flux, Fonction duplex intégral, liaisons, prise en charge du réseau local (LAN) virtuel, IGMP snooping, prise en charge de Syslog, mise en file d'attente Weighted Round Robin (WRR), Protocole SNMP

dossier technique de l’infrastructure du réseau m2l · organisés en vlan de niveau 3. le...

Documents