Beruflich Dokumente
Kultur Dokumente
Situation Professionnelle
VPN
Sofiane Touchani
14
SOMMAIRE
I. Cahier des charges 1) Cration de besoins 2) Analyse cahier des charges Proposition de solution 1) Proposition de solution VPN a) Intrt du VPN b) Fonctionnement c) Protocole de tunnelisation
II.
Adressage et attribution de noms faciles mettre niveau. Un systme de cloisonnement du rseau devra tre test. Les commutateurs devront tre facilement administrables afin de propager les configurations rapidement et aisment. La solution doit se faire avec les quipements rseau CISCO. Les diffrents commutateurs ainsi que le routeur doivent disposer de rglages de base homognes. Les diffrentes configurations doivent pouvoir tre sauvegardes/ restaures rapidement et facilement.
La scurit du systme dinformation devra tre renforce. La solution retenue devra tre administrable distance via un accs scuris.
Possibilit de mettre en place des services rseau plus mobiles et plus intgrs. Dveloppement durable, rduction des consommations d'nergie.
- Configuration gnrale
Description gnrale du rseau local
Larchitecture du rseau doit prendre en compte les lments suivant :
Disponibilit permanente du rseau Dbits levs Gestion simplifi de ladministration
- Equipement fournir :
Les serveurs
Le prestataire devra proposer les serveurs ncessaires lexploitation du rseau. Il devra prciser les caractristiques techniques de chaque solution et leur cot.
Cbles
Chaque cblage comportera son ensemble de connectique complet ainsi que les cordons de brassage correspondants. Le prestataire devra prendre en charge leur valuation hors budget.
Le rseau devra disposer des quipements lectroniques chargs dassurer la rpartition des signaux. (Switchs et/ou Hubs).
I. Proposition de Solutions
1. Proposition de solution VPN
a) Intrt du VPN
Lintrt du VPN est de pouvoir accder distance un rseau ou de relier deux rseaux Physiques (rseaux locaux) par une liaison non fiable (Internet) de faon scurise par le biais de lauthentification des interlocuteurs, de la confidentialit des donnes via le cryptage et de leur intgrit (ne pourront tre corrompues par un tiers).
b) Fonctionnement
Le VPN va utiliser un protocole de tunnelisation , qui va permettre dencapsuler les donnes transmettre de faon chiffre par des algorithmes de cryptographie. La communication va se faire en trois tapes : Les paquets (qui contiennent les donnes) sont chiffrs par le client VPN (selon l'algorithme dcid par les deux interlocuteurs lors de l'tablissement du tunnel VPN) et ventuellement signs. Ils sont transmis par le biais du rseau transporteur (Internet en gnral). Ils sont reus par le serveur VPN qui les dchiffre, les traite et regarde si les vrifications requises sont correctes.
c) Protocoles de tunnelisation :
Voici certains protocoles de tunnelisation (wikipdia) parmi les plus utiliss : PPTP (Point-to-Point tunneling Protocol) est un protocole de niveau 2 dvelopp par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. IPsec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des donnes chiffres pour les rseaux IP. SSL/TLS offre une trs bonne solution de tunnelisation. L'avantage de cette solution est d'utiliser un navigateur Web comme client VPN. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 3931) pour faire converger les fonctionnalits de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPP.
ANNEXE 1
Vrification de lIOS du routeur afin quil supporte IKE :
Configuration ACL du trafic VPN IPSec intressant sur SD1 & SD2 :
Appliquer les crypto map aux interfaces appropries sur SD1 & SD2 :
ANNEXE 2
Systme
StadiumCompany possde 7 serveurs, certains de ces serveurs proposent des services (type RH, comptabilit) et par contre nous observons quil manque des serveurs trs important pour renforcer la scurit et la fiabilit du domaine StadiumCompany. Nous allons donc mettre en place 8 nouveaux serveurs logiques dont 3 implant physiquement sur le site StadiumCompany et 5 mis en place virtuellement.
Adresse 172.20.0.100
Rle DNS primaire AD contrleur de domaine Exchange 2013 serveur DHCP Supervision
10
ANNEXE 3
Connexions physiques existantes
Billetterie
Internet
FAI2 FAI1 Rseau priv virtuel (sur DSL)
Routeur de priphrie
FAI3
Comptabilit
11
200.200.200.10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
200.200.200.9
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
192.168.2.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
192.168.1.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
Routeur SD2
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
Routeur SD1
SYS AUX/ SYS PWR PWR ACT CF
COMPACT FLASH 1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
200.200.200.6
Routeur Stade
200.200.200.2
AP 1
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
AP 2
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
Switch serveur
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
12X
14X
24X
MODE
Switch client 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Switch client 1
Catalyst 2960 SERIES
23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
Administration VLAN 11
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Equipe VLAN 12
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Fournisseurs VLAN 14
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
11X
13X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
Administration VLAN 11: 172.20.0.0/24 Equipe VLAN 12: 172.20.1.0/24 VIP-Presse VLAN 13: 172.20.2.0/25 Fournisseurs VLAN 14: 172.20.2.128/25 Restaurant VLAN 15: 172.20.4.0/28 Securit VLAN 102: 172.20.3.128/25 WIFI VLAN 101: 172.20.3.128/25
2X
12X
14X
24X
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
Restaurant VLAN 15
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
1X
1 2
11X
13X
12X
14X
24X
MODE
MODE
12X
14X
24X
MODE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X 1 2
11X
13X
12X
14X
24X
MODE
2X
12X
14X
24X
1X
11X
13X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
MODE
2X
12X
14X
24X
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
2X
12X
14X
24X
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
2X
12X
14X
24X
MODE
ANNEXE 4
Nous allons segmenter le rseau, pour cela nous allons crer des connections virtuelles (VLAN de niveau 3) qui seront interconnectes sur un seul rseau physique. De ce fait, nous mettrons en place un nouveau plan dadressage. Les VLANS permettrons, pour lentreprise, une meilleure optimisation de la bande passante, une rduction des infrastructures physique, ainsi que de leurs cots, de lentreprise et une meilleure stratgie de scurit des changes de donnes.
Plan d'adressage
StadiumCompany utilise ladresse rseau 172.20.0.0/21, 2^11 - 2 = 2046 adresses IP totales. Afin doptimiser le dcoupage en sous-rseaux de ce bloc dadresses, nous allons recalculer la taille de chaque bloc VSLM.
ADRESSE RESEAU : 172.20.0.0 1er sous rseau: ADMINISTRATION VLAN 11 Besoin de 250 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.0.0 255.255.255.0 /24 172.20.0.1 172.20.0.254 172.20.0.255
2me rseau : EQUIPE (A + B + VISITEUR) VLAN 12 Besoin de 160 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.1.0 255.255.255.0 / 24 172.20.1.1 172.20.1.254 172.20.2.255
3me rseau : VIP PRESSE (Loge de LUXE Zone PRESSE) VLAN 13 Besoin de 70 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.128 / 25 172.20.2.1 172.20.2.126 172.20.2.127
4me rseau : FOURNISSEURS (- Stand, Tlphone, Employs) VLAN 14 Besoin de 40 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.128 255.255.255.128 /25 172.20.2.129 172.20.2.254 172.20.2.255
5me rseau : Wifi VLAN 101 VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
6me rseau : RESTAURANT VLAN 15 (2Tel + 12 PC) 14 IP - VSLM (Nombre dadresse) = 32 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.4.0 255.255.255.240 /28 172.20.4.129 172.20.4.158 172.20.4.159
7me rseau : SECURITE VLAN 102 (Tel + CamIP) 80 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
8me rseau : SITE DISTANT1 (BILLETERIE) VSLM (Nombre dadresse) = 256 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.0 /24 172.20.2.1 172.20.2.254 172.20.2.255
9me rseau : SITE DISTANT2 (SOUVENIR) VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.0 255.255.255.128 /25 172.20.3.1 172.20.3.126 172.20.3.127
LIAISON STADE VERS SITE 1 IP 172.20.4.48 /30 LIAISON STADE VERS SITE 2 IP 172.20.4.52 /30 Adresses WAN: RSD1 : 200.200.200.2/30 RSD2 : 200.200.200.6/30 F.A.I : 200.200.200.9/30 200.200.200.1/30 200.200.200.5/30 200.200.200.13/30
ANNEXE 5
GESTION PATROMOINE INFORMATIQUE :
Charte Informatique
Lentreprise StadiumCompany met en uvre un systme dinformation et de communication ncessaire son activit, comprenant notamment un rseau informatique et tlphonique, ainsi que des outils mobiles. Les salaris, dans lexercice de leurs fonctions, sont conduits utiliser les outils informatiques et tlphoniques mis leur disposition et accder aux services de communication doit se faire exclusivement des fins professionnelles, sauf exception prvue dans la prsente charte. Dans un but de transparence l'gard des utilisateurs, de promotion d'une utilisation loyale, responsable et scurise du systme d'information et de communication, la prsente charte pose les rgles relatives l'utilisation de ces ressources. Elle dfinit aussi les moyens de contrle et de surveillance de cette utilisation mise en place, non seulement pour la bonne excution du contrat de travail des salaris, mais aussi dans le cadre de la responsabilit pnale et civile de lemployeur. Elle dispose d'un aspect rglementaire et est annexe au rglement intrieur de l'entreprise. Elle ne remplace en aucun cas les lois en vigueur que chacun est cens connatre.
Utilisateurs concerns
Sauf mention contraire, la prsente charte s'applique l'ensemble des utilisateurs du systme d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salaris, intrimaires, stagiaires, employs de socits prestataires, visiteurs occasionnels. Elle sera annexe aux contrats de prestations. Les salaris veillent faire accepter valablement les rgles poses dans la prsente charte toute personne laquelle ils permettraient d'accder au systme d'information et de communication.