ppe 3 - quentin-dupont.comquentin-dupont.com/wp-content/uploads/2016/07/ppe-3.1-sécurisation... ·...

PPE 3.1

Sécurisation et optimisation du réseau du stade

01OCTOBRE2015GROUPE4-CHEFDEPROJET:QUENTINDUPONT

BTSSIOSISR-écoleIRIS

BTS SIO SISR – IRIS – 2015 2

Table des matières

1 CONTEXTE : 31.1 PRÉSENTATION DE L’ENTREPRISE : 31.2 PRÉSENTATION DU PRESTATAIRE INFORMATIQUE : 31.3 ENSEIGNEMENTS SUR LE SYSTÈME INFORMATIQUE DE L’ORGANISATION : 42 CAHIER DES CHARGES : 93 SOLUTION : 123.1 TEST ET COMPARAISON DES SOLUTIONS 123.1.1 ADRESSAGE : 123.1.2 VTP - GVRP : 123.1.3 VLAN : 153.1.4 TRUNKING : 153.1.5 LE ROUTAGE : 163.2 CHOIX DE SOLUTIONS 193.2.1 ADRESSAGE : 193.2.2 VTP – GVRP : 193.2.3 ROUTAGE : 193.3 SCHÉMA RÉSEAU : 194 PROJET : 204.1 OBJECTIFS ET BUT DU PROJET 204.2 PLANNING 204.2.1 ADRESSAGE + VLSM : 204.2.2 VTP : 214.2.3 VLANS : 224.2.4 ROUTAGE : 265 CONCLUSION : 286 ANNEXES : 286.1 STARTUP-CONFIG R-STADE : 296.2 STARTUP-CONFIG R-SD1 : 316.3 STARTUP-CONFIG SWITCH-SERVER : 336.4 STARTUP-CONFIG SWITCH-CLIENT : 37


1 Contexte :

1.1 Présentation de l’entreprise : Lors de la construction de ce stade, le réseau qui prenait en charge ses bureaux commerciaux et ses services de sécurité proposait des fonctionnalités de communication de pointe. Au fil des ans, la société a ajouté de nouveaux équipements et augmenté le nombre de connexions sans tenir compte des objectifs commerciaux généraux ni de la conception de l’infrastructure à long terme. Certains projets ont été menés sans souci des conditions de bande passante, de définition de priorités de trafic et autres, requises pour prendre en charge ce réseau critique de pointe. StadiumCompany fournit l’infrastructure réseau et les installations sur le stade. StadiumCompany emploie 170 personnes à temps plein : · 35 dirigeants et responsables · 135 employés Environ 80 intérimaires sont embauchés en fonction des besoins, pour des événements spéciaux dans les services installations et sécurité. À présent, la direction de StadiumCompany veut améliorer la satisfaction des clients en ajoutant des fonctions haute technologie et en permettant l’organisation de concerts, mais le réseau existant ne le permet pas. La direction de StadiumCompany sait qu’elle ne dispose pas du savoir-faire voulu en matière de réseau pour prendre en charge cette mise à niveau. StadiumCompany décide de faire appel à des consultants réseau pour prendre en charge la conception, la gestion du projet et sa mise en œuvre. Ce projet sera mis en œuvre suivant trois phases. La première phase consiste à planifier le projet et préparer la conception réseau de haut niveau. La deuxième phase consiste à développer la conception réseau détaillée. La troisième phase consiste à mettre en œuvre la conception.

1.2 Présentation du prestataire informatique : Après quelques réunions, StadiumCompany charge NetworkingCompany, une société locale spécialisée dans la conception de réseaux et le conseil, de la phase 1, la conception de haut niveau. NetworkingCompany est une société partenaire Cisco Premier Partner. Elle emploie 20 ingénieurs réseau qui disposent de diverses certifications et d’une grande expérience dans ce secteur. Pour créer la conception de haut niveau, NetworkingCompany a tout d’abord interrogé le personnel du stade et décrit un profil de l’organisation et des installations.


Créée en 1989, NetworkingCompany est une société spécialiste en infrastructures systèmes et vente de matériel informatique pour professionnels de la vidéo. Employant aujourd’hui 20 ingénieurs réseau, l’activité de NetworkingCompany s’établit à 1,8 millions d'euros de chiffre d’affaires. Son cœur de métier se situe au niveau de l’infrastructure informatique afin de garantir les besoins des activités « métiers ». NetworkingCompany est l’une des seules sociétés de services informatique qui accompagne réellement et jusqu’au bout ses clients dans le choix et la mise en œuvre de solutions. NetworkingCompany intervient en mode Projet (Engagement de résultats), Régie (Engagement de moyens) et Infogérance des environnements Windows. Son outil de compétitivité et de productivité réside dans la capitalisation de son savoir-faire, le haut niveau de certification de ses partenariats ainsi qu’une veille technologiques active. NetworkingCompany a développé une expertise forte dans les domaines de la virtualisation, les infrastructures d’accès (Application delivery), l’industrialisation du poste de travail (Itil, Supervision, Télédistribution), les annuaires et la gestion de l’identité. Reconnu depuis 25 ans comme une entreprise innovante, et avec aujourd’hui plus de 300 collaborateurs, cette société répond avec flexibilité et efficacité à tous les besoins, qu’ils émanent de PME ou de grands comptes. Enfin, NetworkingCompany est en partenariat avec de nombreux gros groupes du monde de l’informatique, tout comme Microsoft, CISCO, HP, Huawei ou encore DELL, pour ne citer que les plus importants.

1.3 Enseignements sur le système informatique de l’organisation : Organisation de StadiumCompany : Téléphones et PC de StadiumCompany : Tous les dirigeants et responsables de StadiumCompany utilisent des PC et téléphones connectés à un PABX vocal numérique. À l’exception des préposés au terrain à temps plein et des gardiens, tous les salariés utilisent également des PC et des téléphones. Cinquante téléphones partagés sont répartis dans le stade pour le personnel de sécurité. On compte également12 téléphones analogiques, certains prenant également en charge les télécopies et d’autres offrant un accès direct aux services de police et des pompiers. Le groupe sécurité dispose également de 30 caméras de sécurité raccordées à un réseau distinct.


Installations existantes et prises en charge : StadiumCompany propose des installations et une prise en charge de réseau pour deux équipes de sports (Équipe A et Équipe B), une équipe « visiteurs », un restaurant et un fournisseur de concessions. Le stade mesure environ 220 mètres sur 375. Il est construit sur deux niveaux. En raison de la taille des installations, plusieurs locaux techniques connectés par des câbles à fibre optique sont répartis sur l’ensemble du stade. Les vestiaires des équipes A et B et les salons des joueurs sont situés au premier niveau de la partie sud du stade. Les bureaux des équipes occupent une surface d’environ 15 mètres par 60 au deuxième niveau. Le bureau et le vestiaire de l’équipe « visiteuse » sont également situés au premier niveau. Les bureaux de StadiumCompany se trouvent dans la partie nord du stade, répartis sur les deux niveaux. L’espace des bureaux occupe environ 60 mètres par 18 au premier niveau et 60 mètres par 15 au deuxième niveau. Les équipes A et B sont engagées dans des compétitions sportives différentes, organisées à des dates différentes. Elles sont toutes les deux sous contrat avec StadiumCompany pour leurs bureaux et services au sein du stade. Organisation de l’équipe A : L’équipe A compte 90 personnes : · 4 dirigeants · 12 entraîneurs · 14 employés (y compris des médecins, kinés, secrétaires, assistants, comptables et assistants financiers) · 60 joueurs L’équipe A dispose de 15 bureaux dans le stade pour ses employés non joueurs. Cinq de ces bureaux sont partagés. 24 PC et 28 téléphones sont installés dans les bureaux. L’équipe A dispose également d’un vestiaire des joueurs, d’un grand salon pour les joueurs et d’une salle d’entraînement. Les employés non joueurs utilisent les locaux toute l’année. Les joueurs ont accès au vestiaire et aux équipements d’entraînement pendant et en dehors de la saison. Le vestiaire est équipé de 5 téléphones et le salon des joueurs de 15 téléphones. Des rumeurs indiquent que l’équipe A aurait récemment installé un concentrateur sans fil dans le salon des joueurs.


Organisation de l’équipe B : L’équipe B compte 64 personnes : · 4 dirigeants · 8 entraîneurs · 12 employés (y compris des médecins, kinés, secrétaires, assistants, comptables et assistants financiers) · 40 joueurs L’équipe B dispose de 12 bureaux dans le stade pour ses employés autres que les joueurs. Trois de ces bureaux sont partagés. 19 PC et 22 téléphones sont installés dans les bureaux. L’équipe B dispose également d’un vestiaire des joueurs et d’un grand salon pour les joueurs. Les employés non joueurs utilisent les locaux toute l’année. Les joueurs ont accès au vestiaire et aux équipements d’entraînement pendant et en dehors de la saison. Le vestiaire est équipé de 5 téléphones et le salon des joueurs de 15 téléphones. Accueil de l’équipe « visiteuse » : L’équipe « visiteuse » dispose d’un vestiaire et d’un salon équipés de 10 téléphones. Chaque équipe « visiteuse » demande des services provisoires le jour du match et quelques jours auparavant. Les équipes « visiteuses » passent également un contrat avec StadiumCompany pour les bureaux et services au sein du stade. Fournisseur de concessions : Un fournisseur de concessions gère les services proposés lors des matchs et événements. Il compte 5 employés à temps plein. Ils occupent deux bureaux privés et deux bureaux partagés équipés de cinq PC et sept téléphones. Ces bureaux se trouvent dans la partie sud du stade, entre les bureaux des équipes A et B. Deux employés à temps partiel prennent les commandes auprès des loges au cours des événements. Le concessionnaire de services emploie des intérimaires saisonniers pour gérer 32 stands permanents et autres services répartis sur l’ensemble du stade. Il n’y a actuellement aucun téléphone ni PC dans les zones de vente. Organisation du restaurant de luxe : Le stade propose un restaurant de luxe ouvert toute l’année. En plus des salles et des cuisines, le restaurant loue des bureaux auprès de StadiumCompany. Les quatre dirigeants ont chacun un bureau privé. Les deux employés en charge des questions financières et comptables partagent un bureau. Six PC et téléphones sont pris en charge. Deux téléphones supplémentaires sont utilisés en salle pour les réservations. Prise en charge des loges de luxe : Le stade compte 20 loges de luxe. StadiumCompany équipe chaque loge d’un téléphone permettant de passer des appels locaux et d’appeler le restaurant et le concessionnaire de services.


Prise en charge de la zone de presse : StadiumCompany propose un espace presse avec trois zones partagées : · La zone presse écrite accueille généralement 40 à 50 journalistes au cours d’un match. Cette zone partagée est équipée de 10 téléphones analogiques et de deux ports de données partagés. On sait qu’un journaliste stagiaire apporte un petit point d’accès sans fil lorsqu’il couvre un match. · La zone de presse pour les radios peut accueillir 15 à 20 stations de radio. Elle est équipée de 10 lignes téléphoniques analogiques. · La zone de presse télévisée accueille généralement 10 personnes. Elle est équipée de 5 téléphones. Prise en charge de site distant : StadiumCompany compte actuellement deux sites distants : une billetterie en centre-ville et une boutique de souvenirs dans une galerie marchande locale. Les sites distants sont connectés via un service DSL à un FAI local. Le stade est connecté au FAI local à l’aide de FAI1, un routeur de services gérés qui appartient au FAI. Les deux sites distants sont connectés au même FAI par les routeurs FAI2 et FAI3, fournis et gérés par le FAI. Cette connexion permet aux sites distants d’accéder aux bases de données situées sur les serveurs dans les bureaux de StadiumCompany. StadiumCompany dispose également d’un routeur de périmètre, nommé Routeur de périphérie, connecté au routeur FAI1 du stade. Topologie réseau de StadiumCompany :


En résumé : Nombre de serveurs : 9 dont : (web, DHCP, commerce électronique, comptabilité(x3), paie) Utilisateurs : - 35 dirigeants - 135 employés - environs 80 intérimaires - équipe A (90 personnes : 4 dirigeants, 12 entraineurs, 14 employé, 60 joueurs) - équipe B - équipe visiteurs - restaurant - fournisseur de concessions - équipe B (4 dirigeants, 8 entraineurs, 12 employé, 40 joueurs) - équipe visiteurs : - fournisseur de concessions 5 employé 2 employé à temps partiel : intérimaire non défini - restaurant de luxe : 4 dirigent, 2 employés, - 20 loges de luxe - 2 sites distants Services : DNS, DHCP, web - dirigeants : PC et téléphones connectés à un PABX - personnel et sécurité : 50 téléphones et PC réparti dans le stade


- 12 téléphones analogiques répartis dans le stade qui prennent en charges la télécopie, et d’autres offrant un accès direct aux services de police et pompier. - locaux connecté par fibre optiques - équipe A : 15 bureaux dont 5 partagé 24 PC et 28 téléphones dans ces bureaux ; vestiaire 5 téléphone, salon des joueurs : 15 téléphones - équipe B : 12 bureaux dont 3 partagé, 19 PC et 22 téléphones, vestiaires 5 téléphones, salon des joueurs 15 téléphones - équipe visiteur : salon et vestiaire doté de 10 téléphones - fournisseur de concession : 2 bureau privée 5 PC et 7 téléphones, 32 stand permanent non équipé pour le moment. - restaurant de luxe : 4 bureaux privés, 6 téléphones + 2 utilisé en salle pour les réservations - 20 loges de luxe : 20 téléphones - zone de presse : 10 téléphones analogique, 2 ports de données réseaux + Wireless AP - 2 sites distants : connecter Via VPN (router FAI x3 pour gérer la connexion StadiumCompany dispose d’un routeur de périmètre Pas d’information sur les processus, contrats et chartes informatiques.

2 Cahier des charges :

Cette année, vous allez intégrer la division du stade de StadiumCompany. Vous serez chargé de la maintenance des systèmes et réseaux informatiques. StadiumCompany est composé de plusieurs sites : Site 1 : Stade (hébergement informatique, siège social et centre administratif) Site 2 : Billetterie (vente des billets) Site 3 : Magasin (vente des souvenirs) Les différentes solutions retenues pour l’étude du projet d’un point de vue général de StadiumCampany pourront faire l’objet de documentations techniques suivant la complexité de la mise en œuvre. Mission 1 Vous intégrez le service informatique du centre administratif de stade. Sur ce site sont effectuées toutes les opérations concernant la gestion du personnel, et l’administration du stade. On y trouve 7 grands services : - Service Administration (170 personnes) - Service Equipes (164 personnes) - Service WiFi (100 personnes) - Service Caméra IP (80 caméras) - Service VIP-Presse (80 personnes)


- Service Fournisseurs (44 personnes) - Service Restaurant (14 personnes) Le réseau de StadiumCompany doit comporter plusieurs périmètres de sécurité - Adressage réseau et attribution de noms faciles à mettre à niveau : 172.20.0.0/22 - Un système de cloisonnement du réseau devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations rapidement et aisément - Solution permettant l’interconnexion des différents sites (stade, billetterie et magasin) - Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes. La solution doit se faire avec les équipements réseau CISCO. Mission 2 Le StadiumCompany possède le nom de domaine StadiumCompany.com Les principaux serveurs sont hébergés au stade au centre d'hébergement informatique. Selon les cas, certains services sont répliqués sur les sites eux-mêmes. Par exemple, les services d'annuaire Active Directory sont généralement répliqués sur le site de stade. Le réseau de magasin et le réseau de billetterie sont tous composés de la même manière : - X Postes pour les employés - Le site de stade dispose d'un service Active Directory, d'un service DHCP, et d'un DNS primaire sur une machine sous Windows 2012 Server. Celle-ci permet aussi le stockage des fichiers utilisateurs. Un serveur RSync et DNS Secondaire sous Linux Debian. Annuaire du site de stade : Les utilisateurs sont authentifiés via le serveur Active Directory du domaine Stadiumcompagny.local. Il est configuré en regroupant les utilisateurs par service. Les UO suivantes sont présentes sur le serveur : Admin, WiFi, …… Chaque UO contient les utilisateurs du service concerné, un groupe d'utilisateurs dont le nom est au format G_xxxx où xxxx=le nom du service, un groupe regroupant les utilisateurs avec pouvoir du service GP_Admin (directeurs et responsables notamment) et une GPO permettant de d'imposer des contraintes d'utilisation et d'habilitations sur les machines du réseau. Extrait d'une GPO : service equipes → gpo_equipes - 'Accès au panneau de configuration, aux paramètres réseau est interdit - Un script de démarrage Equipesstart.bat permet la connexion des lecteurs réseaux accédant aux dossiers partagés. - Les utilisateurs démarrent avec un bureau imposé (barre de menu, fond d’écran...) …


Les utilisateurs ont des logins construits sur la base suivante - pnom – p=première lettre du prénom et nom=nom de famille. S’il y a homonymie un chiffre de 1 à 10 sera ajouté. Chaque utilisateur possède un dossier personnel et un profil centralisé. Une stratégie de complexité des mots de passe est définie au niveau domaine. DNS : Les serveurs DNS sont configurés pour résoudre la zone directe stadiumcompany.local et la zone inverse du 172.20.0.x/24 Le serveur primaire est hébergé sur une machine Windows 2012 Server et le DNS secondaire sur une Linux Debian. DHCP : Une plage est définie sur le 172.20.0.x/24 avec des options de routeur renvoyant vers la passerelle/pare-feu IPCOP. Les serveurs DNS sont aussi transmis via les options DHCP.


3 Solution :

3.1 Test et comparaison des solutions 3.1.1 Adressage : La division en sous-réseaux vous permet de créer plusieurs réseaux logiques qui existent sur un seul réseau de classe A, B ou C. Si vous n'effectuez pas de division en sous-réseaux, vous pouvez seulement utiliser un réseau de votre réseau de classe A, B ou C, ce qui est peu réaliste. Chaque liaison de données sur un réseau doit avoir un seul ID réseau, chaque nœud sur cette liaison étant un membre du même réseau. Si vous décomposez un réseau majeur (classe A, B ou C) en sous-réseaux plus petits, vous pouvez créer un réseau de sous-réseaux d'interconnexion. Chaque liaison de données sur ce réseau aurait alors un seul ID réseau/sous-réseau. Tout périphérique, ou toute passerelle, qui se connecte à n réseaux/sous-réseaux à n adresses IP distinctes, une pour chaque réseau/sous-réseau d'interconnexion. Avantages de la technique VLSM :

- Utilisation efficace de l’espace d’adressage. - Utilisation de plusieurs longueurs de masque de sous-réseau. - Division d’un bloc d’adresses en blocs plus petits. - Prise en charge des résumés du routage. - Plus grande souplesse de conception de réseau. - Prise en charge des réseaux d’entreprise hiérarchiques.

3.1.2 VTP - GVRP :

a) Le GVRP ou GARP VLAN : Qu'est ce que le GVRP ? Le protocole GVRP est directement proposé dans la norme 802.1P. Il permet de diffuser des informations sur les VLANs qui sont déclarés sur les ports d'un switch. Il permet de plus de configurer dynamiquement les VLANs déclarés sur les switchs et de mettre à jour la table d'association des VLANs. Il faut pour que la diffusion puisse s'effectuer correctement que l'ensemble des switchs composant le réseau ait un agent GVRP activé. L'utilisation de GVRP nécessite plusieurs éléments : - un agent GVRP qui gère les ports physiques pour chaque switch, il est appelé " GVRP Participant ". Cet agent stock des informations sur les VLANs déclarés pour les ports du switch. - La BPDU GIP (GARP Information Propagation). Elle définit les messages diffusés entre les ports en interne au switch.


- La BPDU GID (Garp Information Déclaration). Elle définit les messages diffusés entre les agents de deux switchs distincts. Principe de fonctionnement du GVRP Lorsqu'un PVID (Port VLAN ID) est configuré manuellement sur un port, le port propage un GIP via l'agent GVRP Participant auprès de tous les ports du switch indiquant le VID (VLAN ID) correspondant. Si la configuration des PVID est activée sur le matériel les ports recevant le GIP ayant précédemment un PVID par défaut le configure, la table d'association est alors mise à jour. Si le port recevant le GID est un port trunk, il autorise le VLAN correspondant, la table d'association est alors mis à jour. Le port trunk diffuse ensuite sur le lien l'information indiquant que le matériel à déclaré le VLAN via un GIP. Sur le matériel recevant le GIP le port trunk autorise alors le VLAN et diffuse aux autres ports du switch l'information via des GID. Ainsi de proche en proche l'information est diffusée sur l'ensemble du réseau, et les ports sont configurés.


b) Le VTP (VLAN Trunking protocol) : Qu'est que le VTP ? Il permet de diffuser la déclaration des VLANs pour les ports trunk sur l'ensemble du réseau en réalisant une administration centralisée de ceux-ci. Ce protocole est propriétaire CISCO. Il fonctionne avec une architecture client serveur. Mode de fonctionnement Le serveur tient à jour une table de VLANs déclarés. Cette table est diffusée à l'ensemble des clients étant sur le même domaine VTP. De ce fait chaque modification de la table est répercutée à l'ensemble des clients. Ainsi tous les VLANs définis sur le serveur pourront transiter par l'ensemble des ports trunk des switchs clients (sauf configuration contraire sur les interfaces). Les matériels peuvent être en mode : - Server : Il est associé à un domaine VTP. La déclaration des VLANs s'effectue sur le serveur. Il tient à jour la liste des VLANs déclarés et la diffuse à l'ensemble des clients. - Client : Il est associé à un domaine VTP. Il reçoit la liste des VLANs, il la propage aux autres clients auxquels il est connecté et met à jour sa propre liste. - Transparent : Il est associé à aucun domaine VTP. Sa liste de VLAN est locale et n'est pas mis à jour lorsqu'il reçoit une trame VTP. Cependant il propage les listes de VLAN qu'il reçoit.


3.1.3 VLAN: Un VLAN (Virtual Local Area Network) est un réseau local regroupant un ensemble de machines de façon logique et non physique. De nombreux VLAN peuvent coexister sur un même switch En effet, dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Il existe trois types de VLAN : Un VLAN de niveau 1 qui définit un réseau virtuel en fonction des ports de raccordement sur le commutateur. Un VLAN de niveau 2 qui consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le VLAN par port car le réseau est indépendant de la localisation de la station. VLAN de niveau 3 : même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN. Les VLANs présentent des intérêts :

- Gestion du réseau amélioré, - Amélioration de la bande passante - Séparation des flux - Plus de sécurité : permet de créer un ensemble logique isolé pour améliorer la

sécurité. - Le seul moyen pour communiquer entre des machines appartenant à des

VLAN différents est alors de passer par un routeur.

3.1.4 Trunking: Un trunk, qu’est-ce que c’est ? Un trunk est un lien entre deux équipements, le plus souvent entre deux switch, configuré de telle sorte que l’on peut y faire circuler des trames Ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent. Prenons par exemple l’exemple ou deux switch sont reliés l’un à l’autre, chacun ayant été configuré avec 2 VLANS, le VLAN 1 et le VLAN 2…

Le but ici est que le trafic du VLAN1 de gauche puisse circuler sur le VLAN1 de droite et idem pour le VLAN2. Afin que cela soit possible, il faut configurer la liaison entre les deux switchs en « trunk » … ou plus précisément configurer une encapsulation des trames lorsqu’elles transitent sur le lien de sorte que le switch qui la reçoit peut ensuite la relayer dans le bon VLAN.


Quels protocoles ? Quand on parle d’encapsulation, on doit forcément faire appel à un protocole. Du côté de Cisco, deux protocoles existent pour l’encapsulation des données sur un trunk :

1. ISL (Inter Switch Link) qui est un protocole propriétaire Cisco qui tend à disparaître.

2. dot1Q (IEEE 802.1Q) le protocole standard défini par l’IEEE. Nous nous contenterons de voir dot1q dans le cas présent. Toutefois il est bon de savoir que chacun a son propre fonctionnement. ISL pour sa part encapsule toute les trames, quelque soit le VLAN. dot1Q, lui ne fait qu’insérer un tag (un marqueur) dans l’entête de la trame Ethernets … et uniquement sur les VLANs autres que le VLAN natif. (Le VLAN natif est celui utilisé par les protocoles comme CDP par exemple pour s’échanger les informations).

3.1.5 Le routage : Il existe 3 types de routage :

a) Routage statique : Ajouter une route manuellement dans la table de routage par l’administrateur : Réseaux de destination => masque => prochain saut

b) Routage dynamique : Il existe deux types de routage dynamique, l’ajout de routes se fait automatiquement.

o Vecteur de distance : algorithme RiPv1 (broadcast) et RiPv2 (multicast) (224.0.0.9)

RIP v1 est considéré comme un protocole IGP par classes (classful). Un protocole à vecteur de distance qui diffuse intégralement sa table de routage à chaque routeur voisin, à intervalles prédéfinis. L’intervalle par défaut est de 30 secondes. RIP utilise le nombre de sauts comme métrique, avec une limite de 15 sauts maximum. Capable de gérer l’équilibrage de charge sur au plus de six chemins de coût égal, avec quatre chemins par défaut. Si le routeur reçoit des informations concernant un réseau et que l’interface de réception appartient au même réseau mais se trouve sur un sous-réseau différent, le routeur applique le masque de sous-réseau configuré sur l’interface de réception. RIP v1 comporte les limitations suivantes : • Il n’envoie pas d’informations sur les masques de sous-réseau dans ses mises à jour. • Il envoie des mises à jour sous forme de broadcasts sur 255.255.255.255. • Il ne prend pas l’authentification en charge. • Il ne prend en charge ni VLSM, ni le routage CIDR (Classless Interdomain Routing).


RIP v2 présente une fonctionnalité de routage CIDR lui permettant d’envoyer des informations sur les masques de sous-réseau avec la mise à jour des routes. RIP v2 permet l’authentification dans ses mises à jour. Il est possible d’utiliser une combinaison de clés sur une interface comme vérification d’authentification. RIP v2 permet de choisir le type d’authentification à utiliser dans les paquets RIP v2. Il peut s’agir de texte en clair ou d’un cryptage basé sur l’algorithme d’authentification MD5. Le type d’authentification par défaut est le texte en clair. L’algorithme. Pour une meilleure efficacité, RIP v2 utilise l’adresse de classe D 224.0.0.9 pour envoyer les mises à jour de routage en multicast.

o État de liens : algorithme OSPF Le protocole OSPF est un protocole de routage à état de lien. Il a le même objectif que les algorithmes à vecteur distance :

Obtenir une table de routage avec les meilleures routes Converger au plus vite vers une table de routage optimale

Attention : les sens de meilleur et optimal dépendent de la métrique. Le déroulement complet d'OSPF est le suivant :

- Chaque routeur découvre son voisinage et conserve une liste de tous ses voisins

- Utilise un protocole fiable pour échanger les informations topologiques avec ses voisins

- Stocke les informations topologiques apprises dans leur base de données - Exécute l'algorithme SPF pour calculer les meilleures routes - Place ensuite la meilleure route vers chaque sous-réseau dans sa table de

routage Chaque routeur possède :

- Une table de ses voisins, appelé Neighbor table - Une base de données de la topologie du réseau, appelé Topology database - Une table de routage, appelé Routing table


Avec un protocole à vecteur distance : Un routeur connaît ses voisins uniquement lors de la transmission de mise à

jour de leur part. Lors d'un envoi d'une mise à jour à un voisin, ce voisin ne retourne aucune

confirmation à l'expéditeur.

Avec un protocole à état de lien : Beaucoup d'informations sont transmises et nécessitent beaucoup de ressources. Chaque routeur doit connaître ses voisins avant d'échanger des informations.

c) Le routage hybride : EIGRP (224.0.0.10) : Basé sur l’algorithme Dual. AS : Autonomous System : domaine de routage Un protocole de routage dynamique est dit être hybride quand celui-ci possède à la fois des fonctionnalités d'algorithmes de routage à vecteur distance et d'algorithmes de routage à états de liens. EIGRP est une version avancée d'IGRP. Converge plus vite qu'IGRP. EIGRP envoie d'abord toutes ses informations de routage à un voisin et ensuite seulement des mises à jour. IGRP envoie régulièrement (toutes les 90 s.) la totalité de sa table de routage. EIGRP fonctionne avec Novell IPX et Apple AppleTalk, en plus d'IP, contrairement à IGRP.


3.2 Choix de solutions

3.2.1 Adressage : Nous avons opté pour un découpage avec différents VLANs, pour profiter des avantages apportés par ce découpage en sous réseaux logiques. L’administration et la sécurité seront alors meilleures.

3.2.2 VTP – GVRP : Le mode VTP sur les switchs sera déployé, avec une sécurité accrue en cas de défaillance d’un des deux switchs.

3.2.3 Routage : Au sein de StadiumCompany, nous allons mettre en place un routage hybride. En effet, le routage statique n’est pas nécessaire du fait de la petite structure qu’est StadiumCompany.

3.3 Schémaréseau:


4 Projet :

4.1 Objectifs et but du projet Nous allons déployer les VLANs sur les deux switchs et ensuite configurer les deux routeurs (de stade et du site distant 1 (et 2)).

4.2 Planning 4.2.1 Adressage + VLSM : On se sert du VLSM : Réseaux principal : 172.20.0.0/22 [172.20.0.1 - 172.20.3.254] Broadcast : 172.20.3.255

1 réseau de libre : Adresse réseau : 172.20.3.224 (172.20.3.225 à 172.20.3.254)


4.2.2 VTP : Commandes : Protocole VTP : SW1(config)#vtp domain StadiumCompany.com SW1(config)#vtp password class SW1(config)#vtp version 2 SW1(config)#vtp mode server

SW2(config-if-range)#vtp domain StadiumCompany.com SW2(config)#vtp password class SW2(config)#vtp version 2 SW2(config)#vtp mode client


4.2.3 VLANs :

Commandes : Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW1 SW1(config)#vlan 10 SW1(config-vlan)#name Administration SW1(config-vlan)#vlan 20 SW1(config-vlan)#name Equipes SW1(config-vlan)#vlan 30 SW1(config-vlan)#name V.I.P SW1(config-vlan)#vlan 40 SW1(config-vlan)#name Fournisseurs SW1(config-vlan)#vlan 50 SW1(config-vlan)#name Restaurant SW1(config-vlan)#vlan 100 SW1(config-vlan)#name Wi-Fi SW1(config-vlan)#vlan 200 SW1(config-vlan)#name CamerasIP


Attribution des ports : SW1(config)#interface range fastethernet 0/1 - 5 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 10 SW1(config-if-range)#interface range fastethernet 0/6 - 8 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 20 SW1(config-if-range)#interface range fastethernet 0/9 - 10 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 30 SW1(config-if-range)#interface range fastethernet 0/11 - 12 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 40 SW1(config-if-range)#interface range fastethernet 0/13 - 14 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 50 SW1(config-if-range)#interface range fastethernet 0/15 - 16 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 100 SW1(config-if-range)#interface range fastethernet 0/17 - 18 SW1(config-if-range)#switchport mode access SW1(config-if-range)#switchport access vlan 200


Ports trunk : SW1(config-if-range)#interface range fastethernet 0/19 - 20 SW1(config-if-range)#switchport mode trunk


Switch>en Switch#conf t Enter configuration commands, one per line. End with CNTL/Z. Switch(config)#hostname SW2 SW2(config)#interface range fastethernet 0/19 - 20 SW2(config-if-range)#switchport mode trunk Configuration des sous-interfaces : Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R-Stade R-Stade (config)#interface fastethernet 0/0 R-Stade (config-if)#no shut R-Stade (config-if)#interface fastethernet 0/0.10 R-Stade (config-subif)#encapsulation dot1Q 10 R-Stade (config-subif)#ip address 172.20.0.1 255.255.255.0 R-Stade (config-subif)#interface fastethernet 0/0.20 R-Stade (config-subif)#encapsulation dot1Q 20 R-Stade (config-subif)#ip address 172.20.1.1 255.255.255.0 R-Stade (config-subif)#interface fastethernet 0/0.30 R-Stade (config-subif)#encapsulation dot1Q 30 R-Stade (config-subif)#ip address 172.20.3.1 255.255.255.128 R-Stade (config-subif)#interface fastethernet 0/0.40 R-Stade (config-subif)#encapsulation dot1Q 40 R-Stade (config-subif)#ip address 172.20.3.129 255.255.255.128 R-Stade (config-subif)#interface fastethernet 0/0.50 R-Stade (config-subif)#encapsulation dot1Q 50 R-Stade (config-subif)#ip address 172.20.3.193 255.255.255.224


R-Stade (config-subif)#interface fastethernet 0/0.100 R-Stade (config-subif)#encapsulation dot1Q 100 R-Stade (config-subif)#ip address 172.20.2.1 255.255.255.128 R-Stade (config-subif)#interface fastethernet 0/0.200 R-Stade (config-subif)#encapsulation dot1Q 200 R-Stade (config-subif)#ip address 172.20.2.129 255.255.255.128 Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname R-SD1 R-SD1 (config)#interface fastethernet 0/0 R-SD1 (config-if)#no shut R-SD1 (config-if)#ip address 200.200.1.2 255.255.255.252 R-SD1 (config)#interface fastethernet 0/1 R-SD1 (config-if)#ip address 192.168.1.1 255.255.255.0

4.2.4 Routage : R-Stade (config) # router EIGRP 100 # network 172.20.0. 0.0.0.255 # network 172.20.1.0 0.0.0.255 # network 172.20.2.0 0.0.0.127 # network 172.20.2.128 0.0.0.127 # network 172.20.3.0 0.0.0.127 # network 172.20.3.128 0.0.0.63 # network 172.20.3.192 0.0.0.31 # network 200.200.1.0 0.0.0.3


R-SD1 (config) # router EIGRP 100 # network 192.168.1.0 0.0.0.255 # network 200.200.1.0 0.0.0.3 Ajouter la route par défaut : # ip route 0.0.0.0 0.0.0.0 172.20.95.253


5 Conclusion : L’ensemble des équipements interconnectés répondent bien entre eux. La base du réseau et de la sécurisation est en place. Compétences validées : A1.1.1 Analyse du cahier des charges d'un service à produire A1.1.2 Étude de l'impact de l'intégration d'un service sur le système informatique A.1.2.1 Élaboration et présentation d'un dossier de choix de solution technique A.1.2.4 Détermination des tests nécessaires à la validation d'un service A.1.2.5 Définition des niveaux d'habilitation associés à un service A.1.3.1 Test d'intégration et d'acceptation d'un service A.1.4.1 Participation à un projet A.2.3.2 Proposition d'amélioration d'un service A.3.1.1 Proposition d'une solution d'infrastructure A.3.1.2 Maquettage et prototypage d'une solution d'infrastructure A.3.2.1 Installation et configuration d'éléments d'infrastructure A.3.3.1 Administration sur site ou à distance des éléments d'un réseau, de serveurs, de services et d'équipements terminaux A.4.1.9 Rédaction d'une documentation technique

6 Annexes :


6.1 Startup-configR-Stade: Current configuration : 1717 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-Stade ! boot-start-marker boot-end-marker ! ! no aaa new-model ip cef ! ! ! ! ! ! voice-card 0 ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address shutdown duplex auto


speed auto ! interface FastEthernet0/0.1 ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.20.0.1 255.255.255.0 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.1 255.255.255.0 ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.20.3.1 255.255.255.128 ! interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 172.20.3.129 255.255.255.192 ! interface FastEthernet0/0.50 encapsulation dot1Q 50 ip address 172.20.3.193 255.255.255.224 ! interface FastEthernet0/0.100 encapsulation dot1Q 100 ip address 172.20.2.1 255.255.255.128 ! interface FastEthernet0/0.200 encapsulation dot1Q 200 ip address 172.20.2.129 255.255.255.128 ! interface FastEthernet0/1 ip address 200.200.1.1 255.255.255.252 duplex auto speed auto ! interface Serial0/2/0 no ip address shutdown clock rate 2000000 ! interface Serial0/2/1 no ip address shutdown clock rate 2000000 ! router eigrp 100 network 172.20.0.0 0.0.0.255


network 172.20.1.0 0.0.0.255 network 172.20.2.0 0.0.0.127 network 172.20.2.128 0.0.0.127 network 172.20.3.0 0.0.0.127 network 172.20.3.128 0.0.0.63 network 172.20.3.192 0.0.0.31 network 200.200.1.0 0.0.0.3 auto-summary ! ! ! ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end

6.2 Startup-configR-SD1: Current configuration : 856 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-SD1


! boot-start-marker boot-end-marker ! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 200.200.1.2 255.255.255.252 duplex auto speed auto ! router eigrp 100 network 192.168.1.0 network 200.200.1.0 0.0.0.3 auto-summary !


ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 172.20.93.253 no ip http server no ip http secure-server ! ! ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end

6.3 Startup-configSwitch-Server: Current configuration : 4009 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname Switch-SRV ! boot-start-marker boot-end-marker ! ! ! ! no aaa new-model system mtu routing 1500 authentication mac-move permit ip subnet-zero !


! ! ! crypto pki trustpoint TP-self-signed-1879117696 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-1879117696 revocation-check none rsakeypair TP-self-signed-1879117696 ! ! crypto pki certificate chain TP-self-signed-1879117696 certificate self-signed 01 30820243 308201AC A0030201 02020101 300D0609 2A864886 F70D0101 04050030 31312F30 2D060355 04031326 494F532D 53656C66 2D536967 6E65642D 43657274 69666963 6174652D 31383739 31313736 3936301E 170D3933 30333031 30303031 30305A17 0D323030 31303130 30303030 305A3031 312F302D 06035504 03132649 4F532D53 656C662D 5369676E 65642D43 65727469 66696361 74652D31 38373931 31373639 3630819F 300D0609 2A864886 F70D0101 01050003 818D0030 81890281 8100B83C 94393282 4405DBDE 0D7EA9E0 485F772D A5C4A86D CFD55A10 46434F8C 18550310 E884DB80 2A2E330F 6B74A34A D35E5842 78B33CA3 E5DC4F34 B9F93E19 2C98FB09 C70C2238 5F780C51 DCDE0A6C EE2AFDB5 59B22BFE DBA480D4 C06CDA37 7AB02D0C E3A66CA9 D69C548C E87916A2 A8C5424A D04D6E9B EBBD2C36 B2F03772 FBDF0203 010001A3 6B306930 0F060355 1D130101 FF040530 030101FF 30160603 551D1104 0F300D82 0B537769 7463682D 5352562E 301F0603 551D2304 18301680 14DF0A76 43EC069D 1314CA9A 9E2F10BB A7E3BA28 B8301D06 03551D0E 04160414 DF0A7643 EC069D13 14CA9A9E 2F10BBA7 E3BA28B8 300D0609 2A864886 F70D0101 04050003 81810040 035BCF22 B0B99DE0 D9CF095F B46AEED6 037F9C04 6048D372 5C725C7B 4F398188 31E2B314 84F40EAA 8C1F9127 1130B30F 6831F87C 26429D86 E7C9CFA3 07FB7F55 4E4C16E9 B0296C07 DE4F7AAE E79CA37E 306A90E4 84AAEF96 A14C773D ECBD00DC A5A3B567 D96CA4AB 59371DA0 B4E862B5 D35BCFF5 69C75885 62333DFE 5702D9


quit ! ! ! spanning-tree mode pvst spanning-tree etherchannel guard misconfig spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 switchport access vlan 10 switchport mode access ! interface FastEthernet0/3 switchport access vlan 10 switchport mode access ! interface FastEthernet0/4 switchport access vlan 10 switchport mode access ! interface FastEthernet0/5 switchport access vlan 10 switchport mode access ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 switchport access vlan 20 switchport mode access ! interface FastEthernet0/8 switchport access vlan 20 switchport mode access ! interface FastEthernet0/9 switchport access vlan 30 switchport mode access ! interface FastEthernet0/10


switchport access vlan 30 switchport mode access ! interface FastEthernet0/11 switchport access vlan 40 switchport mode access ! interface FastEthernet0/12 switchport access vlan 40 switchport mode access ! interface FastEthernet0/13 switchport access vlan 50 switchport mode access ! interface FastEthernet0/14 switchport access vlan 50 switchport mode access ! interface FastEthernet0/15 switchport access vlan 100 switchport mode access ! interface FastEthernet0/16 switchport access vlan 100 switchport mode access ! interface FastEthernet0/17 switchport access vlan 200 switchport mode access ! interface FastEthernet0/18 switchport access vlan 200 switchport mode access ! interface FastEthernet0/19 switchport mode trunk ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 !


interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache shutdown ! ip http server ip http secure-server ip sla enable reaction-alerts ! line con 0 line vty 0 4 login line vty 5 15 login ! end

6.4 Startup-configSwitch-Client: Current configuration : 1251 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname Switch-Client ! ! no aaa new-model system mtu routing 1500 ip subnet-zero ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending !


interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 switchport mode trunk ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24


! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache ! ip http server ! control-plane ! ! line con 0 line vty 5 15 ! end

ppe 3 - quentin-dupont.comquentin-dupont.com/wp-content/uploads/2016/07/ppe-3.1-sécurisation... ·...

Documents