Administration Des Réseaux

Transcription

1 M1 Réseaux Informatique et Applications Administration Des Réseaux Auteurs : (13 personnes) Professeur de Cours : Francis Millotte Professeur de TD : Stéphane Cateloin Professeur de TP: Patrick Guterl A rendre pour le Jeudi 10 Mai 2007

2 Chapitre : Introduction Sommaire I. Introduction... 3 II. Présentation du contexte... 4 III. Cahier des charges... 6 A. Architecture du réseau... 6 B. Plan d adressage... 7 C. Services... 7 D. Plan de nommage... 7 E. Politique de Sécurité... 8 IV. Plan de Mise en œuvre... 9 A. Matériel utilisé... 9 B. Configuration des Cisco Création des VLANs Mise en Œuvre du Spanning Tree Protocol Mise en Œuvre de RIPv2 et tests de connectivité Création des ACL et nouveaux tests de connectivité C. Configuration du Site Configuration du serveur DHCP D. Configuration du Site Configuration du serveur DNS E. Configuration du Site Configuration du serveur HPopenView F. Configuration du Site Configuration du Firewall Configuration du serveur http / https Configuration du proxy V. Développements futurs VI. Problèmes rencontrés VII. Annexes A. Rappel des commandes pour la configuration des Cisco B. Rappel de la configuration complète du DNS et liens d aide C. Rappel de la configuration complète du DHCP et liens d aide D. Rappel de la configuration complète d HP Openview et liens d aide E. Rappel de la configuration complète du Firewall et liens d aide F. Rappel de la configuration complète du Proxy et liens d aide G. Rappel de la configuration complète du serveur WEB et liens d aide H. Bibliographie

3 Chapitre : Introduction I. Introduction Le but de ce TP / TD est de simuler la mise en place d un réseau Informatique d une grande entreprise. Cette dernière étant répartie sur plusieurs sites, chacun accueillant un service réseau différent. L objectif étant de mettre en œuvre la totalité des méthodes, outils et savoir-faire vu en cours pour faire une synthèse de nos connaissances. Il en ressort ainsi une méthodologie de conception et d administration de réseaux très importante pour une future intégration dans la vie professionnelle. Notre groupe de travail est composé de 13 personnes. En vue d une optimisation de fonctionnement de travail nous nous sommes répartis les taches en découpant le groupe par site. Nous avons donc opté pour 4 groupes donc voici la composition : Sur le Site 1 Alexis Demeaulte Michel Larchey Yosra Frikha Sur le Site 2 Gaël Cuenot Maxime Bourdon Guillaume Hess Sur le Site 3 Sylvain Beaux Fernand Tchanga Adriana Catana Sur le Site 4 Nicolas Grandclaude Kristof Ciesielski Pierre Rousselot Diallo Ramatoulaye Chaque groupe aura en commun la partie de configuration des équipements d interconnexions puis se spécialisera dans la configuration du ou des services spécifiques à leur site. 3

4 Chapitre : Présentation du contexte II. Présentation du contexte Comme il a été dit précédemment, nous allons concevoir dans son intégralité un réseau informatique d une entreprise ayant plusieurs sites à interconnecter. La société est répartie sur 4 sites, connectés grâce à 4 liaisons louées à un opérateur. Chaque site dispose pour cela d un switch / routeur Cisco. Le site 4 dispose d un lien vers Internet. Figure 1 - schéma organisationnel de l'intranet L architecture de chaque site est identique. Sur chacun d entre eux seront déployés 4 réseaux (VLAN), correspondant à des entités de l entreprise. Voici leurs caractéristiques : Réseau de Comptabilité : VLAN 1 Sur chaque site, le réseau de comptabilité compte une quarantaine de poste et un serveur. Les postes de travails ne peuvent communiquer qu avec les postes de travail du même réseau et du même site. Ils peuvent également communiquer avec les différents serveurs de chaque sites via un tunnel SSH et cela quelque soit le réseau. Toutes autre communication devra être prohibée. Réseau de Gestion des stocks : VLAN 2 4

5 Chapitre : Présentation du contexte Le réseau de Gestion des stocks comporte une centaine de postes qui ont accès au serveur du réseau de comptabilité du même site, ainsi qu à l Internet. Réseau des Stagiaires : VLAN 3 Le réseau des Stagiaires comporte au plus 10 postes. Ils n ont accès qu a l Internet. Toute autre communication devra être prohibée. Réseau de Service et d Administration : VLAN 4 Ce réseau est réservé aux service et à l administration réseau. Chaque site met à disposition du réseau global un service spécifique. Les communications autorisées dépendent donc des services proposés par chaque site. En ce qui concerne les services déployés, il y en a 6 à intégrer aux différents sites : DHCP Un serveur DHCP est déployé sur le site 1.Il fournit les adresse IP et les paramètres de l environnement réseau pour les machines de tous les sites. L attribution des adresses des serveurs de l ensemble du réseau doit être statique, alors que les autres machines seront adressées dynamiquement. DNS Le serveur DNS de l entreprise est déployé sur le site 2, il permet d une part le nommage des serveurs de l entreprise, et permet d autre part la résolution des requêtes provenant de l Intranet. Management HP Openview est mis en place sur le site 3. A l aide de cet outil vous supervisez le routage entre les sites (table de routage), surveillez la connectivité du lien Internet ainsi que son trafic entrant / sortant. Des alertes devront êtres mises en place en cas de problèmes. Serveur Web Le serveur Web est mis en place sur le site 4. Proxy http L accès à l Internet par les machines située dans le réseau interne doit se faire exclusivement via un proxy http mis en place sur le site 4. Il relayera les requêtes à destinations des ports http (80) et https (443). Firewall La connexion du site 4 à l extérieur est protégée par un firewall (PC linux), qui interdit les communications entrantes, à l exception de celles nécessaires à la consultation du site web de l entreprise. Il est aussi à noté que d une manière générale, le trafic Netbios / Active Directory sera globalement interdit. De plus, On n apprendra pas les routes RIP sur les VLANs. 5

6 Chapitre : Cahier des charges III. Cahier des charges A. Architecture du réseau Figure 2 - Architecture du réseau Légende : - En bleu : ce qui concerne les connexions entre les routeurs et le firewall. - En rouge : ce qui concerne les connexions entre les VLANs et les routeurs. - En noir : ce qui concerne les VLANs. 6

7 Chapitre : Cahier des charges B. Plan d adressage Plan d adressage des connexions entre les sites Interconnexion entre Adresse du réseau Adresse sur le premier site Adresse sur le second site Site 1 et Site / Site 1 et Site / Site 3 et Site / Site 2 et Site / Site 4 et Firewall / Plan d adressage des VLAN Site VLAN Nom du VLAN Nombre de machines Adresse du réseau Route par défaut Site 1 VLAN 1 Comptabilité 40 machines / Serveur VLAN 2 Stocks 100 machines / VLAN 3 Stagiaires 10 machines / VLAN 4 Service/Admin. 14 machines / DHCP Site 2 VLAN 1 Comptabilité 40 machines / Serveur VLAN 2 Stocks 100 machines / VLAN 3 Stagiaires 10 machines / VLAN 4 Service/Admin. 14 machines / DNS Site 3 VLAN 1 Comptabilité 40 machines / Serveur VLAN 2 Stocks 100 machines / VLAN 3 Stagiaires 10 machines / VLAN 4 Service/Admin. 14 machines / HPOpenView Site 4 VLAN 1 Comptabilité 40 machines / Serveur VLAN 2 Stocks 100 machines / VLAN 3 Stagiaires 10 machines / VLAN 4 Service/Admin. 14 machines / Proxy C. Services D. Plan de nommage Pour plus de clarté, nous avons choisi une convention pour les noms des serveurs et stations du réseau qui sont configurés en adresse IP fixe. La désignation est la suivante: serveur srv-<désignation> station sta-<désignation> Table de nommage du réseau: srv-dhcp Serveur DHCP (site 1) 7

8 Chapitre : Cahier des charges srv-dns ns srv-web www intranet srv-proxy proxy Serveur DNS (site 2), le nom ns est une convention standard pour désigner un serveur dns, il pointera sur l'adresse IP du serveur DNS en interne et sur l'adresse IP publique de l'entreprise en externe. Serveur web (site 4), le nom www désignera le site web de l'entreprise, il pointera sur l'adresse IP du serveur web en interne et sur l'adresse IP publique de l'entreprise en externe (il est alors équivalent à srv-web). Intranet désignera l'adresse IP du serveur web en interne. Le fait d'avoir 2 noms différents pour résoudre l'adresse IP du serveur web en interne permet d'accéder à 2 sites web (2 vhosts) différents sur ce même serveur web. Serveur proxy (site 4), les deux noms srv-proxy et proxy désignait proxy même chose ils permettent d'avoir un nom respectant notre convention serveur et un nom "standard": proxy.domaine.tld srv-firewall firewall protégeant le réseau de l'entreprise (site 4) srv-compta1 srv-compta2 srv-compta3 srv-compta4 différents serveurs pour la comptabilité, 1 par site. Ces serveurs ne peuvent être accessibles qu'en interne et chacun, seulement des utilisateurs du site local sta-superv station de supervision HP Openview (site 3) E. Politique de Sécurité 8

9 Chapitre : Plan de Mise en œuvre IV. Plan de Mise en œuvre A. Matériel utilisé B. Configuration des Cisco Création des VLANs Tout d'abord on commence par créer sur chaque routeur les VLANs suivants : vlan database vlan 2 name vlan2 vlan 3 name vlan3 vlan 4 name vlan4 vlan 5 name vlan5 Il faut ensuite configurer 4 interfaces, chacune de ces interfaces sera dans un VLAN différent. On connecterait alors, si nous installions réellement tout le réseau, un switch sur chacun des ces ports pour desservir les postes de travail de chaque VLAN. Ces 4 interfaces ont donc des IPs, et serviront de route par défaut pour les postes de travail. Prenons l'exemple du site1, et voyons comment ses 4 ports seront configurés. interface fast0/1 ip address switchport mode access switchport access vlan2 ip helper-address ip_du_server_dns ip forward-protocol udp interface fast0/2 ip address switchport mode access switchport access vlan3 ip helper-address ip_du_server_dns ip forward-protocol udp interface fast0/3 ip address switchport mode access switchport access vlan4 ip helper-address ip_du_server_dns ip forward-protocol udp interface fast0/4 ip address switchport mode access switchport access vlan5 9

10 Chapitre : Plan de Mise en œuvre ip helper-address ip_du_server_dns ip forward-protocol udp La configuration des quatre est très similaire : on commence par spécifier une IP pour l'interface, cette IP sera la route par défaut des machines du VLAN. on place ensuite l'interface dans le bon VLAN pour finir on active un DHCP relay. En effet, le serveur DHCP n'est pas le même sous-réseau, les broadcast fait par les clients seront restreints à leur propre réseau. Les DHCP relay permet de relayer les requêtes reçus au serveur DHCP. Pour cela il transforme les requêtes DHCP émises en broadcast, en paquet unicast. 2. Mise en Œuvre du Spanning Tree Protocol 3. Mise en Œuvre de RIPv2 et tests de connectivité La dernière chose à faire est d'activer le protocole de routage, dans notre cas RIP, Prenons l'exemple du site1, et voyons comment RIP est configuré. router rip version 2 network network network network Création des ACL et nouveaux tests de connectivité La mise place des ACLs se fait par interface. La configuration des ACLs ne sera pas exactement le même sur tout les sites, voici celle du site 1 pour exemple : access-list 111 permit tcp ip_server_compta_site1 1025,1026,1027,1028 access-list 111 permit tcp ip_server_compta_site1 1025,1026,1027, access-list 111 permit tcp ip_server_compta_site1 ip_server_compta_site2 22 access-list 111 permit tcp ip_server_compta_site1 ip_server_compta_site3 22 access-list 111 permit tcp ip_server_compta_site1 ip_server_compta_site4 22 access-list 121 permit tcp ip_server_compta_site2 22 ip_server_compta_site1 access-list 121 permit tcp ip_server_compta_site3 22 ip_server_compta_site1 access-list 121 permit tcp ip_server_compta_site4 22 ip_server_compta_site1 access-list 111 permit tcp ip_server_compta_site1 22 ip_server_compta_site2 access-list 111 permit tcp ip_server_compta_site1 22 ip_server_compta_site3 access-list 111 permit tcp ip_server_compta_site1 22 ip_server_compta_site4 access-list 121 permit tcp ip_server_compta_site2 ip_server_compta_site1 22 access-list 121 permit tcp ip_server_compta_site3 ip_server_compta_site1 22 access-list 121 permit tcp ip_server_compta_site4 ip_server_compta_site1 22 access-list 112 permit tcp ip_server_compta_site

11 Chapitre : Plan de Mise en œuvre access-list 111 permit tcp ip_server_compta_site access-list 111 permit udp ip_dns 53 access-list 121 permit udp ip_dns access-list 111 permit udp ip_dhcp 68 access-list 121 permit udp ip_dhcp Ces ACLs sont valables pour l'interface reliée au VLAN de la comptabilité. Le premier bloc permet au serveur de comptabilité du site1 de dialoguer avec les autres serveurs de comptabilité. Les ports sont choisis arbitrairement, ce qu'il est important de noter et que l'on suppose que le port 1025 est le port utilisé pour accéder au serveur de comptabilité du site 1. Les autres ports sont les entrées dans les tunnels SSH menant aux autres serveurs de comptabilité. Le bloc suivant permet d'autoriser la création des tunnels allant du serveur de comptabilité du site 1, vers les autres. Le troisième permet la communication entre les postes de la gestion du stock et le serveur de comptabilité. Le quatrième permet l'inverse, c'est à dire qu'il permet aux autres serveurs de comptabilité de créer des tunnels vers le serveur de comptabilité du site1. Le cinquième bloc permet la résolution DNS. Même si ce VLAN n'a pas d'accès internet, il peut être intéressant de résoudre des noms à l'intérieur même du domaine. Le dernier bloc permet au poste de contacter le DHCP pour obtenir une IP. Voici maintenant les ACLs pour le VLAN de gestion des stocks : access-list 121 permit tcp ip_server_compta_site access-list 122 permit tcp ip_server_compta_site access-list 121permit tcp ip_proxy 80 access-list 122 permit tcp ip_proxy access-list 121 permit udp ip_dns 53 access-list 122 permit udp ip_dns access-list 121 permit udp ip_dhcp 68 access-list 122 permit udp ip_dhcp Le premier bloc permet aux postes de ce VLAN d'accéder au serveur de comptabilité du même site, mais pas aux autres puisque les ports d'entrées aux tunnels (1026, 1027, 1028) sont bloqués. Le second bloc qui permet d'accéder au proxy, et les deux suivants ont déjà été évoqué. Passons maintenant au 3e VLAN : access-list 131 permit tcp ip_proxy 80 access-list 132 permit tcp ip_proxy access-list 131 permit udp ip_dns 53 access-list 132 permit udp ip_dns

12 Chapitre : Plan de Mise en œuvre access-list 131 permit udp ip_dhcp 68 access-list 132 permit udp ip_dhcp Il n'y pas de nouvelle notion dans ses règles, passons au dernier VLAN. access-list 142 permit tcp ip_dhcp 68 access-list 141 permit tcp ip_dhcp access-list 142 permit tcp ip_dhcp 68 access-list 141 permit tcp ip_dhcp access-list 142 permit tcp ip_dhcp 68 access-list 141 permit tcp ip_dhcp access-list 142 permit tcp ip_dhcp 68 access-list 141 permit tcp ip_dhcp Ces règles permettent l'accès au serveur DHCP. Dans le cas du site 1, il n'y a que ces règles à mettre en place, dans le cas des autres sites cela dépend des services qu'ils hébergent. La dernière étape est d'affecter les ACLs aux interfaces, de la façon suivante : interface fast0/1 ip access-group 111 in ip access-group 112 out interface fast0/2 ip access-group 121 in ip access-group 122 out interface fast0/3 ip access-group 131 in ip access-group 132 out interface fast0/4 ip access-group 141 in ip access-group 142 out C. Configuration du Site 1 1. Configuration du serveur DHCP Le majeur souci du serveur DHCP est qu'à priori il ne sait pas de quel sous réseau provient la requête qu'il reçoit. En effet le poste client ne sait pas dans quel sous-réseau il se trouve lorsqu'il fait sa demande. Ceci est très gênant puisque nous avons besoin de cette information pour savoir quel sousréseau choisir, pour fournir une adresse IP valide au client. En effet il ne faudrait pas qu'un poste du VLAN 1 du site 1 se retrouve avec une IP appartenant au VLAN 3 du site 4 par exemple. Le problème est en fait résolu par l'utilisation des DHCP relay. Ces serveurs, en plus de transférer les paquets qu'ils reçoivent au serveur DHCP, modifient au passage un morceau de l'entête DHCP, le champ GIADDR. Un DHCP relay remplace la valeur de ce champ, qui au départ est nulle, par sa propre adresse IP. De cette façon le serveur DHCP sait d'une part que le requête est arrivée jusqu'à lui via un DHCP relay, et d'autre part il sait dans quel pool d'adresses IP il doit piocher pour répondre à la requête. En effet, il 12

13 Chapitre : Plan de Mise en œuvre cherche dans sa configuration à quel subnet appartient l'ip du DHCP relay, et il prendra alors le pool d'adresse correspondant pour chercher une IP de libre. La configuration du serveur DHCP ressemble donc à ceci : subnet netmask { range ; option routers ; option broadcast-address ; } Il faut alors répéter 16 fois cela, une fois pour chaque sous réseau. D. Configuration du Site 2 1. Configuration du serveur DNS E. Configuration du Site 3 1. Configuration du serveur HPopenView F. Configuration du Site 4 1. Configuration du Firewall 2. Configuration du serveur http / https 3. Configuration du proxy 13

14 Chapitre : Développements futurs V. Développements futurs Mettre en place un service de messagerie par mail sur un serveur interne (smtp, pop et/ou imap). Cela permettrait aux employés de posséder une adresse personnelle au nom de l'entreprise et d'utiliser un client de messagerie pour gérer leur courriel. En effet, les connexions passeraient par les serveurs pop/imap ou smtp qui accèdent à Internet sans passer par le proxy. 14

15 Chapitre : Problèmes rencontrés VI. Problèmes rencontrés 15

16 Chapitre : Annexes VII. Annexes A. Rappel des commandes pour la configuration des Cisco B. Rappel de la configuration complète du DNS et liens d aide C. Rappel de la configuration complète du DHCP et liens d aide D. Rappel de la configuration complète d HP Openview et liens d aide E. Rappel de la configuration complète du Firewall et liens d aide F. Rappel de la configuration complète du Proxy et liens d aide G. Rappel de la configuration complète du serveur WEB et liens d aide H. Bibliographie Toutes les documentations Cisco : Un cours rapide sur les VLANs : Un cours détaillé sur les VLANs : 16