Ppe 4.3 VPN

STADIUMCOMPANY
Situation Professionnelle
VPN
Sofiane Touchani
14
SOMMAIRE
I. Cahier des charges 1) Cration de besoins 2) Analyse cahier des charges Proposition de solution 1) Proposition de solution VPN a) Intrt du VPN b) Fonctionnement c) Protocole de tunnelisation
II.
I. Cahier des charges 1) Cration des besoins

Les principes retenus pour ltude du projet dun point de vue gnral :
Adressage et attribution de noms faciles mettre niveau. Un systme de cloisonnement du rseau devra tre test. Les commutateurs devront tre facilement administrables afin de propager les configurations rapidement et aisment. La solution doit se faire avec les quipements rseau CISCO. Les diffrents commutateurs ainsi que le routeur doivent disposer de rglages de base homognes. Les diffrentes configurations doivent pouvoir tre sauvegardes/ restaures rapidement et facilement.
La scurit du systme dinformation devra tre renforce. La solution retenue devra tre administrable distance via un accs scuris.
Possibilit de mettre en place des services rseau plus mobiles et plus intgrs. Dveloppement durable, rduction des consommations d'nergie.
2) Analyse du Cahier des Charges

- Objectifs : Fournir une organisation du rseau en fonction des sites existants et du Stade La mise en place de cette infrastructure doit : Fournir une flexibilit du rseau ncessaire aux besoins des services.
- Dfinition des besoins

Architecture rseau attendue Annexe 4
- Configuration gnrale
Description gnrale du rseau local
Larchitecture du rseau doit prendre en compte les lments suivant :
Disponibilit permanente du rseau Dbits levs Gestion simplifi de ladministration
Architecture du rseau dfinir par le prestataire

Le prestataire doit tre en mesure de proposer une architecture de rseau local suivant les normes en vigueur et les exigences du projet. Il sappuiera sur lexistant de linfrastructure.
- Implmentation dun systme permettant la flexibilit des services

La direction souhaite regrouper les postes par dpartement de la manire la plus mallable possible ainsi quamliorer la scurit du rseau actuel. Le systme doit fournir les ressources ncessaires la mobilit du personnel du stade dans les diffrents sites.
- Equipement fournir :
Les serveurs
Le prestataire devra proposer les serveurs ncessaires lexploitation du rseau. Il devra prciser les caractristiques techniques de chaque solution et leur cot.
Cbles
Chaque cblage comportera son ensemble de connectique complet ainsi que les cordons de brassage correspondants. Le prestataire devra prendre en charge leur valuation hors budget.
Dispositifs dinterconnexion rseau
Le rseau devra disposer des quipements lectroniques chargs dassurer la rpartition des signaux. (Switchs et/ou Hubs).
I. Proposition de Solutions
1. Proposition de solution VPN
a) Intrt du VPN
Lintrt du VPN est de pouvoir accder distance un rseau ou de relier deux rseaux Physiques (rseaux locaux) par une liaison non fiable (Internet) de faon scurise par le biais de lauthentification des interlocuteurs, de la confidentialit des donnes via le cryptage et de leur intgrit (ne pourront tre corrompues par un tiers).
b) Fonctionnement
Le VPN va utiliser un protocole de tunnelisation , qui va permettre dencapsuler les donnes transmettre de faon chiffre par des algorithmes de cryptographie. La communication va se faire en trois tapes : Les paquets (qui contiennent les donnes) sont chiffrs par le client VPN (selon l'algorithme dcid par les deux interlocuteurs lors de l'tablissement du tunnel VPN) et ventuellement signs. Ils sont transmis par le biais du rseau transporteur (Internet en gnral). Ils sont reus par le serveur VPN qui les dchiffre, les traite et regarde si les vrifications requises sont correctes.
c) Protocoles de tunnelisation :
Voici certains protocoles de tunnelisation (wikipdia) parmi les plus utiliss : PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. SSL/TLS offre une trs bonne solution de tunnelisation. L'avantage de cette solution est d'utiliser un navigateur Web comme client VPN. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
MISE EN PLACE DU VPN STADIUMCOMPANY
ANNEXE 1
Vrification de lIOS du routeur afin quil supporte IKE :
Mise en place de la stratgie ISAKMP sur SD1 & SD2 :
Configuration des cls pr-partages :
Configuration du transform set IPSec et des dures de vie :
Configuration ACL du trafic VPN IPSec intressant sur SD1 & SD2 :
Appliquer une crypto map :

Une crypto map associe le trafic intressant qui correspond la liste d'accs avec une extrmit et diffrents paramtres IKE et IPSec. Aprs la cration de la crypto map, celle-ci peut tre applique une ou plusieurs interfaces. Les interfaces auxquelles elle est applique doit tre une de celle faisant face l'autre extrmit IPSec.
Dfinir la liste daccs ACL :
Suite de la configuration VPN :
SD1 & SD2 :
Appliquer les crypto map aux interfaces appropries sur SD1 & SD2 :
show run SD1 & SD2 :
ANNEXE 2
Systme
StadiumCompany possde 7 serveurs, certains de ces serveurs proposent des services (type RH, comptabilit) et par contre nous observons quil manque des serveurs trs important pour renforcer la scurit et la fiabilit du domaine StadiumCompany. Nous allons donc mettre en place 8 nouveaux serveurs logiques dont 3 implant physiquement sur le site StadiumCompany et 5 mis en place virtuellement.
Nom machine DC01
Adresse 172.20.0.100
Masque sous rseau 255.255.255.0
Rle DNS primaire AD contrleur de domaine Exchange 2013 serveur DHCP Supervision
MSX01 Debian EyesOfNetwork 4
172.20.0.101 172.20.0.103 172.20.0.102
255.255.255.0 255.255.255.0 255.255.255.0
10
ANNEXE 3
Connexions physiques existantes
Billetterie
Internet
FAI2 FAI1 Rseau priv virtuel (sur DSL)
Routeur de priphrie
FAI3
Vendeur (boutique de souvenirs) CommStade Commquipe CommFournisseur CommVIP
Rseau local stade
Paie Comptabilit Web DHCP Commerce lectronique Comptabilit
Comptabilit
Rseau local quipe
Rseau local fournisseur
Rseau local VIP
11
200.200.200.10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
200.200.200.9
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Catalyst 2960 SERIES

23X

23X
1X
11X
13X
1X
11X
13X
SYST RPS MASTR STAT DUPLX SPEED

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
192.168.2.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
192.168.1.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
SYS AUX/ SYS PWR PWR ACT CF
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
DO NOT REMOVE DURING NETWORK OPERATION
Routeur SD2
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
Routeur SD1
COMPACT FLASH 1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
WIFI VLAN 101
200.200.200.6
Routeur Stade
200.200.200.2
AP 1
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
AP 2
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
Switch serveur
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
1X
11X
13X

2X
12X
14X
24X
MODE
Switch client 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Switch client 1
23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
Administration VLAN 11
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Equipe VLAN 12
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Fournisseurs VLAN 14
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
1X
11X
13X

23X

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X

2X
1 2
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
11X
13X

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X
Administration VLAN 11: 172.20.0.0/24 Equipe VLAN 12: 172.20.1.0/24 VIP-Presse VLAN 13: 172.20.2.0/25 Fournisseurs VLAN 14: 172.20.2.128/25 Restaurant VLAN 15: 172.20.4.0/28 Securit VLAN 102: 172.20.3.128/25 WIFI VLAN 101: 172.20.3.128/25
2X
12X
14X
24X

2X

2X
1 2
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X
Restaurant VLAN 15
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X

23X
1X
1 2
11X
13X
12X
14X
24X
MODE
MODE

2X
12X
14X
24X
MODE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X
1X
11X
13X

2X
12X
14X
24X

2X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X

2X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X

2X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
VIP Presse VLAN 13

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Scurit VLAN 102

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X

2X

23X
1X 1 2
11X
13X
12X
14X
24X
MODE

MODE
23X
2X
12X
14X
24X
1X
11X
13X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

23X
1X
11X
13X

2X

2X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
12X
14X
24X
1X
11X
13X
MODE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
MODE

MODE
23X
2X
12X
14X
24X
1X
11X
13X

2X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
12X
14X
24X
1X
11X
13X
MODE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

MODE
23X
2X
12X
14X
24X
1X
11X
13X

2X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24

23X
12X
14X
24X
1X
11X
13X
MODE
2X
12X
14X
24X
MODE
ANNEXE 4
Nous allons segmenter le rseau, pour cela nous allons crer des connections virtuelles (VLAN de niveau 3) qui seront interconnectes sur un seul rseau physique. De ce fait, nous mettrons en place un nouveau plan dadressage. Les VLANS permettrons, pour lentreprise, une meilleure optimisation de la bande passante, une rduction des infrastructures physique, ainsi que de leurs cots, de lentreprise et une meilleure stratgie de scurit des changes de donnes.
Plan d'adressage
StadiumCompany utilise ladresse rseau 172.20.0.0/21, 2^11 - 2 = 2046 adresses IP totales. Afin doptimiser le dcoupage en sous-rseaux de ce bloc dadresses, nous allons recalculer la taille de chaque bloc VSLM.
Certain matriels (routeurs, serveurs, etc) ncessitent une adresse IP statique.
ADRESSE RESEAU : 172.20.0.0 1er sous rseau: ADMINISTRATION VLAN 11 Besoin de 250 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.0.0 255.255.255.0 /24 172.20.0.1 172.20.0.254 172.20.0.255
2me rseau : EQUIPE (A + B + VISITEUR) VLAN 12 Besoin de 160 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.1.0 255.255.255.0 / 24 172.20.1.1 172.20.1.254 172.20.2.255
3me rseau : VIP PRESSE (Loge de LUXE Zone PRESSE) VLAN 13 Besoin de 70 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.128 / 25 172.20.2.1 172.20.2.126 172.20.2.127
4me rseau : FOURNISSEURS (- Stand, Tlphone, Employs) VLAN 14 Besoin de 40 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.128 255.255.255.128 /25 172.20.2.129 172.20.2.254 172.20.2.255
5me rseau : Wifi VLAN 101 VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
6me rseau : RESTAURANT VLAN 15 (2Tel + 12 PC) 14 IP - VSLM (Nombre dadresse) = 32 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.4.0 255.255.255.240 /28 172.20.4.129 172.20.4.158 172.20.4.159
7me rseau : SECURITE VLAN 102 (Tel + CamIP) 80 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
8me rseau : SITE DISTANT1 (BILLETERIE) VSLM (Nombre dadresse) = 256 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.0 /24 172.20.2.1 172.20.2.254 172.20.2.255
9me rseau : SITE DISTANT2 (SOUVENIR) VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.0 255.255.255.128 /25 172.20.3.1 172.20.3.126 172.20.3.127
LIAISON STADE VERS SITE 1 IP 172.20.4.48 /30 LIAISON STADE VERS SITE 2 IP 172.20.4.52 /30 Adresses WAN: RSD1 : 200.200.200.2/30 RSD2 : 200.200.200.6/30 F.A.I : 200.200.200.9/30 200.200.200.1/30 200.200.200.5/30 200.200.200.13/30
ANNEXE 5
GESTION PATROMOINE INFORMATIQUE :
Charte Informatique
Lentreprise StadiumCompany met en uvre un systme dinformation et de communication ncessaire son activit, comprenant notamment un rseau informatique et tlphonique, ainsi que des outils mobiles. Les salaris, dans lexercice de leurs fonctions, sont conduits utiliser les outils informatiques et tlphoniques mis leur disposition et accder aux services de communication doit se faire exclusivement des fins professionnelles, sauf exception prvue dans la prsente charte. Dans un but de transparence l'gard des utilisateurs, de promotion d'une utilisation loyale, responsable et scurise du systme d'information et de communication, la prsente charte pose les rgles relatives l'utilisation de ces ressources. Elle dfinit aussi les moyens de contrle et de surveillance de cette utilisation mise en place, non seulement pour la bonne excution du contrat de travail des salaris, mais aussi dans le cadre de la responsabilit pnale et civile de lemployeur. Elle dispose d'un aspect rglementaire et est annexe au rglement intrieur de l'entreprise. Elle ne remplace en aucun cas les lois en vigueur que chacun est cens connatre.
Utilisateurs concerns
Sauf mention contraire, la prsente charte s'applique l'ensemble des utilisateurs du systme d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salaris, intrimaires, stagiaires, employs de socits prestataires, visiteurs occasionnels. Elle sera annexe aux contrats de prestations. Les salaris veillent faire accepter valablement les rgles poses dans la prsente charte toute personne laquelle ils permettraient d'accder au systme d'information et de communication.
Systme d'information et de communication

Le systme d'information et de communication de l'entreprise est notamment constitu des lments suivants : ordinateurs (fixes ou portables), priphriques y compris cls USB, assistants personnels, rseau informatique (serveurs, routeurs et connectique), photocopieurs, tlcopieurs, tlphones, smartphones, tablettes et cls 3G, logiciels, fichiers, donnes et bases de donnes, systme de messagerie, connexion internet, intranet, extranet, abonnements des services interactifs. Pour des raisons de scurit du rseau, est galement considr comme faisant partie du systme d'information et de communication le matriel personnel des salaris connect au rseau de l'entreprise, ou contenant des informations caractre professionnel concernant l'entreprise.

Ppe 4.3 VPN

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Ppe 4.3 VPN

Hochgeladen von

Copyright:

STADIUMCOMPANY

I. Cahier des charges 1) Cration des besoins

2) Analyse du Cahier des Charges

- Dfinition des besoins

Architecture du rseau dfinir par le prestataire

- Implmentation dun systme permettant la flexibilit des services

Dispositifs dinterconnexion rseau

MISE EN PLACE DU VPN STADIUMCOMPANY

Mise en place de la stratgie ISAKMP sur SD1 & SD2 :

Configuration des cls pr-partages :

Configuration du transform set IPSec et des dures de vie :

Appliquer une crypto map :

Dfinir la liste daccs ACL :

Suite de la configuration VPN :

SD1 & SD2 :

show run SD1 & SD2 :

Nom machine DC01

Masque sous rseau 255.255.255.0

MSX01 Debian EyesOfNetwork 4

172.20.0.101 172.20.0.103 172.20.0.102

255.255.255.0 255.255.255.0 255.255.255.0

Vendeur (boutique de souvenirs) CommStade Commquipe CommFournisseur CommVIP

Rseau local stade

Paie Comptabilit Web DHCP Commerce lectronique Comptabilit

Rseau local quipe

Rseau local fournisseur

Rseau local VIP

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

SYS AUX/ SYS PWR PWR ACT CF

SYS AUX/ SYS PWR PWR ACT CF

DO NOT REMOVE DURING NETWORK OPERATION

DO NOT REMOVE DURING NETWORK OPERATION

DO NOT REMOVE DURING NETWORK OPERATION

WIFI VLAN 101

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED

Catalyst 2960 SERIES

Catalyst 2960 SERIES

SYST RPS MASTR STAT DUPLX SPEED

SYST RPS MASTR STAT DUPLX SPEED