Maison des ligues de Lorraine

(M2L)
Projet TITAN
Par Valentin ELICES-REJON

Table des matires

1.

Descriptif de lexistant..................................................................................... 3
1.1 Cblage.........................................................................................................
.............................3
1.2 Brassage........................................................................................................
........................... .4
1.3 Rseaux.........................................................................................................
............................ 4
1.4 Serveurs........................................................................................................
.............................4
Rpartition
rseau..................................................................................................................
...........4

Mission 1 : Cration de la maquette reproduisant la topologie existante de la M2L

sous Packet Tracer de faon fonctionnelle................................................................6
Mission 2 : Configuration basique de lensemble des quipements dinterconnexion
et mise en place dun serveur NTP...........................................................................7
Tche 1 : Configuration basique des lments......................................................7
Tche 2 : Installation dun serveur NTP et synchronisation...................................8
Quest ce quun serveur NTP ?.......................................................................8
Mise en place dun serveur NTP sous Linux....................................................8
Sur la machine cliente.................................................................................... 9
Connexion depuis un switch...........................................................................9
Mission 5 : Mise en place dACL afin de scuriser le routeur de la M2L..................11
Mise en place des ACL........................................................................................ 11
Quest ce que les ACL ?................................................................................ 11
Dfinir une ACL............................................................................................. 11
Assigner une ACL un port..........................................................................12
Tche 1 : Mise en place de lACL 101..................................................................12
Analyse......................................................................................................... 12
Mise en place................................................................................................ 12
Tche 2 : Mise en place de lACL 110..................................................................13
Analyse......................................................................................................... 13
Mise en place................................................................................................ 13
Mission 6 : Mise en place de Vlan de niveau 1 et du VTP.......................................14
Tche 1 : Mise en place de Vlan de niveau 1.......................................................14
Rsultat...................................................................................................................
.............................15

1. Descriptif de lexistant
1.1

Cblage

Les ligues ont pour obligation de squiper par elle-mme.

Les services tels que ladministration ou la salle multimdia
sont dj quips. Il y a aussi un service dimpression
disponible pour toutes les ligues.
Les ligues sont rparties dans les tages de deux
btiments : Le A et le C. Le btiment A est plus vieux que
le C et sa connectique y est diffrente.
Les btiments B et D naccueillent aucune ligue, ce sont des rez de chausse.
Btiment A :
Chaque bureau possde 3 prises Ethernet (Catgorie 5) et 1 prise
tlphonique standard
Btiment C :
Chaque bureau possde 3 prises Ethernet (Catgorie 6) pour les postes et la
tlphonie IP
Chaque tage possde une salle de runion. On en trouve galement dans
les rez de chausse. Salle de runion :
1 prise Ethernet pour un accs rseau (Catgorie 5 ou 6 selon le btiment)
La M2L possde une salle de formation avec 24 postes et un
pour le formateur Salle de formation :
24 prises Ethernet pour les stagiaires, 1 prise Ethernet pour le formateur et
1 prise Ethernet pour limprimante rseau
Le rez de chausse comporte galement un amphithtre, la salle de
reprographie et les bureaux de ladministration
Amphithtre :
4 prises Ethernet (Catgorie 5) et 1 prise Ethernet pour la rgie
Reprographie :
4 prises Ethernet (Catgorie 6)
Administration :
27 prises Ethernet (Catgorie 6)

1.2

WiFi

La M2L possde galement une connection WiFi pour ses visiteurs. Il y a des
bornes WiFi tous les tages ainsi quau rez-de-chausse de la manire
suivante :
3 bornes WiFi au rez-de-chausse
1 borne WiFi par tage de btiment

1.3

Brassage

La disposition des baies diffre selon les btiments

Btiment A :
Chaque tage a 1 armoire. 20 prises Ethernet vers les bureaux, 1 prise
Ethernet vers la salle de runion et 1 prise Ethernet pour la borne WiFi
Chaque armoire est reli une armoire dans le btiment B
Btiment B :
Larmoire principale est au rez-de-chausse du btiment B
Elle regroupe les armoires contenant la DMZ, avec un switch pour celle-ci. Il y a
galement 2 switchs 24 ports sur lesquels sont connects les quipements du
rez-de-chausse.
Il y a galement un routeur.
Enfin on trouve laccs internet, la tlphonie standard et la tlphonie IP
Btiment C :
Tout est centralis au centre du 2me tage.
Il y a donc 1 armoire avec 4 switchs (avec chacun 48 ports). 32 prises
Ethernet par tage pour un total de 128 prises Ethernet
Larmoire est reli une armoire dans le btiment B.

1.4

Rseaux

Il existe 3 rseaux diffrents :

- Le rseau commun aux ligues et ladministration
- La DMZ
- Le rseau internet et sa connexion

1.5

Serveurs

Serveur FTP, Annuaire et

DHCP Serveur dimpression
et anti-virus Serveur NAS
Dans la DMZ :
Serveur Web
Serveur de messagerie
SMTP Serveur de
configuration

Rpartition
rseaux
-

Un
Un
Un
Un
Un
Un
Un

rseau
rseau
rseau
rseau
rseau
rseau
rseau

par ligue
pour ladministration
pour la reprographie
pour la salle de formation
pour les crans du rez-de-chausse
pour la DMZ
pour ladministration des switchs

Ce qui nous donne :

24 rseaux pour les ligues
1 rseau public
1 rseau pour les crans
1 rseau pour la DMZ
1 rseau pour les serveurs
1 rseau pour ladministration
1 rseau pour les salles de runion des btiments A et C
On a pour rgle dans le PPE dutiliser les
adressages suivant : 10.54.0.0/24 pour la DMZ
172.16.0.0/16 pour le reste du matriel

Missions :
Mission 1 : Cration de la maquette reproduisant
la topologie existante de la M2L sous Packet
Tracer

Le schma ci-dessus reprsente la M2L, on peut y distinguer 3 parties :

La premire tant le batiment A comme expliqu prcdemment dans la

partie 1.3:
Chaque tage a 1 armoire; 20 prises Ethernet vers les bureaux; 1 prise
Ethernet vers la salle de runion; 1 prise Ethernet pour la borne WiFi.
Chaque armoire est reli une armoire dans le btiment B
Le batiment B quant lui son armoire principale est au rez-de-chausse,
cette dernire contient les armoires dans la DMZ
Pour finir pour le batiment C, tout est centralis au deuxime tage, il
n'y a qu'une armoire, comme pour le batiment A, et elle est reli une
armoire du batiment B.

Mission 2 : Configuration basique de lensemble des

quipements dinterconnexion et mise en place dun
serveur NTP
Tche 1 : Configuration basique des lments
Les noms donns dpendent du matriel et du btiment. Pour une meilleur
lecture les noms ont cette syntaxe :
Batiment<A-D>Etage<1-4>(PC<1-10>)
Par exemple un switch au premier tage du btiment C aura comme nom :
BatimentCEtage1 Le 4me poste au 2me tage du btiment A aura le nom
suivant : BatimentAEtage2PC4
Pour configurer les postes fixes en client NTP il suffit daller dans la page ddie
(Windows) ou avec un paquet adquat (Linux)
Dans le cas des switchs Cisco on a la procdure suivante :
Switch
Switch
Switch
Switch
Switch
3:00

> enable
# conf t
(config) # ntp server <adresse_du_ntp>
(config) # clock timezone cet 1
(config) # clock summer-time cest recurring last Sun Mar 3:00 last Sun Oct

Dfinition du serveur, puis on ajoute le fuseau horaire et enfin le

changement de lheure dt. videmment on vrifie aprs
Switch # show clock
Ensuite on dfini la banire sur tout les switch avec la commande :
Switch (config) # banner motd <message_de_la_bannire>
Suite cela on cr les mot de passe.
Les mots de passe sont affichs dans le fichier de configuration sans
protection. On peut activer le hachage des mots de passe
Switch (config) # service password-encryption
On commence par le mot de passe du mode console
Switch
Switch
Switch
Switch

(config) # line con 0

(config-line) # password <mot_de_passe_console>
(config-line) # login
(config-line) # exit

Puis le mot de passe privilgi (enable)

Switch (config) # enable secret <mot_de_passe_privilgi>
Enfin pour ladministration SSH il faut avoir dfini un nom et un domaine
Switch (config) # hostname <nom_du_switch>
Switch (config) # ip domain-name <nom_du_domaine_DNS>

Une fois ceci fait on peut se lancer

dans le SSH. On cr dabord une cl
RSA et on active SSH
Switch (config) # crypto key generate
rsa
Switch (config) # ip ssh verson 2

Le nom sera <nom_du_switch>.<nom_du_domaine_DNS>

On ajoute aussi des options pour scuriser le mode SSH. On peut grer la
dconnexion automatique, le nombre dessai de mot de passe ou simplement
enregistrer les connexions.
Switch (config) # ip ssh time-out 60
Switch (config) # ip ssh aunthentication-retries 3
Switch (config) # ip ssh logging events

On va galement dsactiver la connexion Telnet

Switch (config) # line vty 0 15
Switch (config-line) # login local
Switch (config-line) # transport input ssh
Et on ajoute un mot de passe pour ladmin
Switch (config) # username admin secret <mot_de_passe_administrateur>
On se connecte depuis un PC avec Putty ou avec linvite
de commande. Dans linvite de commande on utilise la
commande suivante :
PC > ssh -l <nom_d_utilisateur> <adresse_IP_du_Switch>
Il suffit ensuite de suivre les instructions sur lcran.

Tche 2 : Installation dun serveur NTP et synchronisation

Quest ce quun serveur NTP ?
Un serveur NTP permet de rgler lheure et la date des machines clientes par
rapport celles du serveur. Le protocole se fait sur le port 123.
On peut soit utiliser le paquet ntp ou ntpdate.
Pour un serveur de strate 3 la prcision sera au niveau de la dizaine de milliseconde.
On peut se connecter soit aux horloges atomiques des satellites GPS, une
horloge radio publique (tel que celle de France Inter), une horloge radio
dmetteurs spcialiss ou un serveur NTP publique.
On va plutt rester sur le dernier cas.
Un rseau de serveur NTP se fait en strate.
La premire, la strate primaire, contient les serveurs qui sont connects
directement aux rfrences donnes par les GPS ou les missions radios.
La seconde strate se connecte la strate 1 par le protocole NTP.
Dans un rseau priv il est prfrable de se relier aux serveurs publics de strate
2, ce qui fait de notre serveur un strate 3.
Pour des soucis de continuit de service, et aussi dexactitude il est prfrable
de se connecter au moins 3 serveurs NTP.

Mise en place dun serveur NTP sous Linux

Installation du paquet ntp
/!\ Passer en Super utilisateur
Avant tout tlchargement mieux vaut mettre jour sa liste de paquets
apt-get update
Ensuite on tlcharge le paquet ntp (Il faut le cd dinstallation dans le
lecteur)
apt-get install ntp
Allumer et teindre le service ntp
Pour dmarrer le service ntp on utilise la commande
/etc/init.d/ntp start
Pour arrter le service ntp on utilise la commande suivante
/etc/init.d/ntp stop
Configuration du serveur ntp
La configuration se fait dans le fichier ntp.conf
cd etc
nano ntp.conf

Dans ce fichier on retrouve les 4 serveurs auquels notre serveur NTP est
connect. Ils sont normalement de strate 2. On peut videmment les
remplacer ou en ajouter la suite
server 0.ubuntu.pool.ntp.org
server 1.ubuntu.pool.ntp.org

Plus bas dans le fichier on a la ligne restrict qui permet de bloquer certaines
plages IP. On peut donc grer qui se synchronise notre serveur.
Pour limiter au rseau 192.168.30.0/24 on entrera :
restrict 192.168.74.0 mask 255.255.255.0
Pour autoriser toutes les connexions on entre :
restrict 0.0.0.0 mask 0.0.0.0
Enfin pour diffuser au rseau on utilise le broadcast suivi de ladresse de
broadcast de notre rseau :
broadcast 192.168.74.255
Il faut bien dcommenter cette ligne pour assurer le partage sur le rseau
Redmarrage du serveur ntp
Une fois la configuration termine il suffit de relancer tout les services
ntp par le biais dun redmarrage
/etc/init.d/ntp restart

Sur la machine cliente

Pour configurer le choix du ntp stratum 3 il faut aller dans la barre des tches
Cliquer sur lheure en bas droite > Modifier les paramtres de la date et
de lheure > Temps Internet > Modifier les paramtres
Il faut ensuite entrer ladresse IP de notre serveur
192.168.74.23
Il arrive que la synchronisation ne se fait pas.
Dans certains cas le client ping le serveur ntp mais le ntp ne peux pas atteidnre
le client. Cela vient du firewall de Windows.
Panneau de configuration > Pare-feu windows > Activer ou dsactiver le
pare-feu Windows
Lapparition du message Erreur de la synchronisation de Windows avec
192.168.74.23 nest pas expliqu, mais windows se synchronise
(normalement) au NTP sous Linux.

Connexion depuis un switch

Pour se connecter au serveur ntp depuis un switch on utilise la commande

suivante :
Switch (config) # ntp server <adresse_ip_serveur_ntp>

Mission 5 : Mise en place dACL afin de scuriser le

routeur de la M2L
La M2L possde un routeur dans le btiment B qui gre le passage entre les
ligues, la DMZ et le rseau internet public. Il est donc normal de le scuriser et
ainsi protger les utilisateurs de la M2L.

Mise en place des ACL

Quest ce que les ACL ?
Les Access Control List (ACL) sont des listes de critres dfinient par
ladministrateur pour filtrer les paquets.
On peut ainsi filtrer des paquets IP passant dans un routeur en fonction de
lexpditeur, de la destination ou encore le type de paquet.
On rencontre deux types dACL : Standard
et Etendue Le fonctionnement des ACL est
simple :
- Vrification du paquet par rapport au premier critre
- Si il rpond au critre, laction associe est ralise
- Sinon il est compar au critre suivant et ainsi de suite
- Si aucun critre ne correspond laction deny est automatique
Toutes les informations que traitent les ACL se trouvent dans les en tte des
paquets.
Pour pouvoir dfinir des plages dadresses ou une adresse IP prcise on
utilise des masques. Ces masques permettent de dsigner quelle portion
de ladresse doit tre vrifie.
Par exemple un masque 0.0.255.255 revient dire ne vrifie que les
deux premiers octets Dernier exemple : deny 10.1.3.0 0.0.0.255
quivaut refuser toutes les IP commenant par
10.1.3

Dfinir une ACL

Les ACL standards sont un peu restreintes mais leur syntaxe est la suivante :
Router (config) # access-list <chiffre> [deny|permit] <ip_source>
<masque_ip_source>
Le <chiffre> pour une ACL standard doit tre compris entre 1 et 99
ou 1300 et 1999 Le reste parle de lui-mme
Pour la suite on va utiliser des ACL tendues.
Les ACL tendues sont plus dtailles. On peut filtrer par rapport au type de
paquets, par rapport ladresse dmission ou encore ladresse de destination.
La syntaxe est la suivante :
Router (config) # <chiffre> [deny | permit] <protocole> <ip_source>
<masque_ip_source> <ip_destination> <masque_ip_destination>
Le chiffre dune ACL tendues est compris entre 100 et 199
ou 2000 et 2699 Pour avoir une liste des protocoles on entre
la commande :

Router (config) # <chiffre [deny | permit] ?

Cependant on va utiliser un type dACL tendues un peu spcial : les ACL
nommes.

La mise en place change un peu. On dfinit dabord lACL, ce qui nous fait
rentrer dedans et l on dfinit les rgles, dans lordre.
Router (config) # ip access-list extended <nom>
Le nom peut trs bien tre un chiffre qui rpond aux mmes rgles quune
ACL tendue normale. Une fois dans lACL on dfinit les rgles.
Router (config-ext-nacl)# [deny | permit] <protocole> <ip_source>
<masque_ip_source> <ip_destination> <masque_ip_destination>
La suppression dune ACL se fait simplement en prcdant dun no la ligne
voulu

Assigner une ACL un port

LACL tant cre on peut lappliquer un port. Une ACL peut videmment tre
assigne plusieurs ports.
Router (config) # int <interface>
Router (config-if) # ip access-group <nom / chiffre> [in | out]
Le in et out concerne quand vrifier. Si on veut tudier les paquets
entrants on utilise le in et pour les sortants le out

Tche 1 : Mise en place de lACL 101

Analyse
Seul le trafic venant de 172.16.0.0/16 peut entrer dans linterface du routeur
cot LAN
Il faudra donc surveiller tous les paquets en vrifiant les deux premiers octets de
ladresse et du ct LAN (ct des ligues)
Seul le trafic venant de 10.54.0.0/24 peut entrer dans linterface du routeur cot
DMZ.
Il faudra donc surveiller tous les paquets en vrifiant les trois premiers octets de
ladresse et du ct DMZ
Seul le trafic venant de 172.16.0.0/16 ou de 10.54.0.0/24 peut sortir par
linterface du routeur cot internet.
Il faut appliquer les mmes rgles quavant mais la sortie du port

Mise en place
Router (config) # ip access-list extended 101
Router (config-ext-nacl) # permit ip 172.16.0.0 0.0.255.255 any
Router (config-ext-nacl) # permit ip 10.54.0.0 0.0.0.255 any
Router (config-ext-nacl) # deny any any
Mme si les ACL font un deny automatiquement si aucune rgle ne
correspond, on cr une rgle qui va tout bloquer.
On lapplique aux ports :
Router (config) # int gigabitEthernet 0/0 (ct DMZ)

Router
Router
Router
Router
Router

(config-if) # ip access-group 101 in

(config-if) # ex
(config) # int gigabitEthernet 0/1 (ct LAN)
(config-if) # ip access group 101 in
(config-if) # ex

Il ne reste plus que le port vers le rseau internet public

Router (config) # int gigabitEthernet 0/2
(ct web)
Router (config-if) # ip access group 101 out
Router (config-if) # ex
Lorsque quun PC rencontre une restriction avec un ping avec comme mention
hte inatteignable

Tche 2 : Mise en place de lACL 110

Analyse
Bloquer le trafic venant de 127.0.0.0
On va juste vrifier ladresse et si elle correspond la requte sera supprime
Bloquer les redirections ICMP
Bloquer toutes les redirections ICMP revient bloquer tout le protocole. On
va donc retirer les messages derreurs tel que hte inatteignable ou
mme un simple ping.
Si on veut les garder il faudra spcifier les options de filtrage

Mise en place
Router (config) # ip access-list extended 110
Router (config-ext-nacl) # deny ip 127.0.0.0 0.255.255.255 any
Router (config-ext-nacl) # deny icmp any any redirect
Ce redirect nest mme pas ncessaire puisque ce qui le prcde fait
exactement la mme chose mais il arrive sur certains routeurs quon puisse le
rencontrer.
Dans le cas o on voudrait garder les pings on ajoute les lignes suivantes entre les
deux prcdentes.
Router (config-ext-nacl) # permit icmp any any echo (ping)
Router (config-ext-nacl) # permit icmp any any echo-reply (rponse)
Puis on applique lACL aux ports.

RESULTAT:
Mission 1 : Le but de la mission 1 tait de tester le bon fonctionnement du rseau
simul, il fallait que tout les lments soient connects et qu'ils fonctionnent entre
eux.
Mission 2: Concernant la mission 2, nous devions interconencter les lments
grce un protocole NTP pour que ces derniers soient tous la mme heure.
Mission 5: Pour cette mission il fallait scuriser le routeur de la M2L grce au ACL
Mission 6 : Et enfin, pour cette dernire mission, nous devions configurer les VLAN
sur l'ensemble du rseau et ensuite mettre en place le VTP sur ces VLAN.

Ces missions ralises permettent d'apprhender certains problmes comme

l'heure rgl pour tous les PC-utiilisateurs, mais aussi il a fallut des tests de bon
fonctionnement pour tre sur que les batiments A,B et C fonctionnent et
communiquent entre-eux.