Plateforme spécialité réseau (PFRES)

Transcription

1 Table des matières Plateforme spécialité réseau (PFRES) Encadrant : O. Fourmaux Etudiants :,, N. Panhaleux, G. Teste 1 Cahier des charges Introduction Finalité Homogénéité Analyse Administration Scénarios Validation/Montée en charge Plan de développement Analyse et remise en état du matériel Documentation Analyse et conception Câblage, installation des OS et configuration des équipements réseaux Configuration des AS Test des scénarios et de montée en charge Diagramme de Gantt Contexte technologique Analyse Liste du matériel disponible et des leurs principales fonctionnalités Choix des scénarios Une plate-forme pédagogique Conception Introduction Architecture générale de la plate-forme Architecture de chaque AS Scénarios proposés Suivi et documentation Compte-rendu du projet Configuration globale de la plateforme Configuration des AS Annexes Wiki/Trac Documentation Possibilités d évolutions /39 Rapport final

2 1 Cahier des charges 1.1 Introduction L explosion de la bulle internet ces dernières années a forcé une évolution croissante des protocoles et des architectures mis en œuvre dans les différentes parties de l Internet et les différents types de réseaux mis en place dans les entreprises, les établissements publiques et autres. Il est donc crucial de mettre en œuvre des solutions adaptées, tant au niveau matériel que protocolaire, pour répondre aux nombreuses exigences des divers acteurs et utilisateurs des réseaux. 1.2 Finalité Une fois complétée, la plateforme représentera une version simplifiée de l architecture réseau de l Internet. Chaque rack représente un système autonome (AS) avec ses problématiques de sécurité, de routage, de qualité de service, La plateforme sera divisée en deux catégories d AS : 1. Les racks extérieurs représentant des réseaux d entreprise connectés à l Internet par des ISP. 2. Les racks intérieurs représentant les réseaux cœurs d ISP. 1.3 Homogénéité L intérêt de la plateforme est de pouvoir utiliser du matériel hétérogène afin de simuler au mieux le monde réel de l Internet. Les systèmes installés sur les différentes machines seront donc également différents entre les AS. A l intérieur d un AS, on mettra en place un ensemble homogène de systèmes d exploitation. 1.4 Analyse Le trafic généré devant être analysé, une sonde (type tcpdump ou wireshark) sera présente dans chaque AS. Le trafic dans les commutateurs pourra être dupliqué sur un VLAN dédié afin d être capturé par la sonde. 1.5 Administration Chaque machine devra être accessible à distance et devra être en mesure d accéder à Internet pour les mises à jour ou l installation de nouveaux paquets. Le statut de chaque machine pourra ainsi être connu en temps réel par les administrateurs. L accès distant se fera à l aide de la passerelle gate-net.rsr.lip6.fr (via sphinx.lip6.fr), les requêtes HTTP se feront via un proxy local sur la passerelle. 2/39 Rapport final

3 1.6 Scénarios La plateforme réseau fera la démonstration de cinq scénarios reflétant les possibilités techniques offertes par le matériel et les systèmes. 1. Sécurité Firewalls o Matériels DMZ : architecture en Y avec 2 firewalls matériels. La DMZ hébergera 3 services : mail, DNS et serveur web. o Logiciels Filtrage classique Certificats : accès SSL sur le serveur web ou mail. Tunnels sécurisés 2. VoIP et QoS QoS (DiffServ) SIP (téléphonie IP) 3. Routage et topologie Protocoles de routage (OSPF, BGP) VLANs NAT 4. IPv6 5. Administration et Supervision Nagios : état du réseau Cacti : graphique d utilisation du réseau et de machines 1.7 Validation/Montée en charge Lors de l installation de la plateforme, des machines génératrices de trafic seront également installées afin de valider les performances de la plateforme. Ces machines permettront aussi de valider la pertinence et l efficacité de la QoS mise en place pour la VoIP. 3/39 Rapport final

4 2 Plan de développement 2.1 Analyse et remise en état du matériel Durée : 2 semaines. Cette phase correspond à la découverte, le listing et les tests de la bonne marche des équipements mis à notre disposition. Le listing nous permet de prendre connaissance de tout le matériel à notre disposition et nous permet de nous faire une première idée de ce qu il est techniquement possible de faire avec. Cela va de pair avec la vérification du bon fonctionnement (ou de la remise en état dans le cas contraire) de tout le matériel. Cette partie est réalisée en collaboration des 4 participants. 2.2 Documentation Durée : toute la durée du projet. Cette phase, de par le fait qu elle est rythmée par la progression du projet, s étend sur toute sa durée. La documentation est primordiale pour comprendre le fonctionnement des différents appareils et avoir une idée précise sur les fonctionnalités à notre disposition pour la mise en place de l architecture retenue et des différents scénarios retenus. Cette partie est réalisée en collaboration par les 4 participants. 2.3 Analyse et conception Durée : 4 semaines. Cette phase correspond à la réflexion sur les différents aspects de la mise en place de l architecture et des protocoles utilisés au travers des scénarios. L analyse du matériel, des besoins spécifiques à nos scénarios et la conception d une architecture en adéquation avec l objectif fixé est primordial pour obtenir un résultat cohérent avec le contexte technologique actuel et les différents paramètres retenus pour les scénarios. Cette partie est réalisée en collaboration des 4 participants pour l architecture et la topologie globale de la plate-forme et individuellement pour chaque AS: : AS1 (Réseau entreprise 1, VLAN d administration, ) : AS2 (Réseau cœur 1, ) G. Teste: AS3 (Réseau cœur 2, ) N. Panhaleux: AS4 (Réseau entreprise 2, DMZ, Multi homing, ) 2.4 Câblage, installation des OS et configuration des équipements réseaux Durée : 2 semaines. Cette phase représente la mise en application de la réflexion sur la plate-forme entreprise les semaines précédentes. Le câblage, l installation et la configuration primaire des équipements réseaux sont 4/39 Rapport final

5 l application directe de la topologie retenue dans la partie précédente, avec quelques éventuels ajustements si des problèmes sont rencontrés. Tout ceci est fait de façon généralisée sur tous les AS afin d obtenir une configuration primaire de la plate-forme. Cette partie est réalisée en collaboration des 4 participants. 2.5 Configuration des AS Durée : 2 semaines. Cette phase correspond à la configuration interne à chaque AS pour un bon fonctionnement individuel et intégré au sein de la plate-forme. La configuration des AS est faite de façon individuelle afin d obtenir un résultat équivalent à la représentation faite dans la conception et permettre la mise en place des divers protocoles nécessaires au fonctionnement de la plate-forme et nécessaire pour les tests des scénarios. Cette partie est réalisée individuellement sur les AS attribués à chacun des participants (liste ci-dessus). 2.6 Test des scénarios et de montée en charge Durée : tout au long du projet, après configuration. Cette phase correspond aux différents tests correspondant aux scénarios préalablement choisis en fonction du contexte technologique actuel et réalisé sur la plate-forme. Le test des s effectue après chaque configuration d un scénario. Il commence par un test local puis un test avec un voisin direct avant de se généraliser par un test sur la plateforme entière. On procède de la même manière pour le test de montée en charge préalable qui validera la topologie retenue. Cette partie est réalisée en collaboration par les 4 participants. 2.7 Diagramme de Gantt 5/39 Rapport final

6 6/39 Rapport final

7 3 Contexte technologique L Internet peut être vu comme une gigantesque interconnexion de systèmes autonomes. Un système autonome (Autonomous System - AS - en anglais) est défini comme étant un ensemble de réseaux IP dont la politique de routage interne est cohérente et qui sont, en général, sous le contrôle d une même entité administrative. Le réseau interne d une entreprise ainsi que le réseau d un fournisseur d accès à Internet peuvent être des exemples de systèmes autonomes. Pour acheminer des données vers tout point de l Internet, il faut des mécanismes pour les faire transiter de manière cohérente entre les AS. Cependant, les accords économiques qui existent entre les différentes entités administratives font que l on n utilise pas forcément le chemin le plus court entre deux points. Les mécanismes de routage inter-as doivent prendre en compte ces décisions politiques de routage. A l'intérieur d un AS, ces facteurs économiques n affectent pas le routage des données. Il est possible donc de privilégier une politique du plus court chemin. Le but étant de faire transiter des données le plus rapidement possible avec un impact minimal sur la qualité du service que l on souhaite assurer. L Internet étant accessible par des personnes dont les intentions sont fort peu louables, les AS ont également un fort besoin de se protéger des intrus, mais également de protéger les données qu ils font transiter à l extérieur. C est pourquoi des politiques de sécurité et des pare-feux sont également nécessaires pour se protéger des intrusions, ainsi que des mécanismes comme les tunnels sécurisés pour traverser les environnements non sécurisés. Au niveau matériel, pour acheminer les données, deux principales catégories d équipements ont été conçues: les commutateurs et les routeurs. Les commutateurs sont basés sur l utilisation de la couche 2 du modèle OSI et donc sont par définition destinés aux réseaux locaux tandis que les routeurs opèrent au niveau de la couche 3 et se destinent à l interconnexion de ces réseaux. A cela s ajoute le matériel destiné à la sécurité des réseaux, les pare-feux principalement, mais d autres solutions matériels peuvent être utilisées pour résoudre les divers inhérents à la sécurité. Depuis les débuts d Internet, l évolution des réseaux et leurs utilisations se sont fait de manière rapide, créant de nouveaux moyens de communications et de nouvelles façons d aborder diverses facettes de l accès au média. Avec un nombre croissant d utilisateurs, la multiplication des usages et un besoin en bande passante augmentant de façon exponentielle, les protocoles de toutes couches ont su s adapter aux nécessités techniques de cette évolution. Forcé par l'épuisement de la réserve de blocs libres d'adresses publiques IPv4, le passage à sa version suivante, IPv6, devient peu à peu une réalité. Avec une cohabitation entre les deux protocoles actuellement en utilisation dans l Internet, cette transition est plus que jamais d actualité. Malgré que le protocole IPv6 puise son essence dans le milieu des années 90, la transition est toutefois loin d être achevée. Avec le nombre d utilisation du réseau explosant au fil des années, plusieurs problématiques 7/39 Rapport final

8 se sont posées. La diversité des besoins des applications actuellement présentes dans l'internet nous ont mené à développer des techniques pour différencier les différents flux et les traiter avec différentes priorités. Cette problématique est dévolue à la Qualité de Service (QoS), afin de répondre aux différentes contraintes en termes de temps de propagation, de débit et de pertes selon le type de flux. Le caractère non-linéaire du taux d'utilisation des réseaux et les caractéristiques d'un réseau IP rendent les réseaux IP fortement susceptibles à la saturation. Pour gérer l'augmentation du débit des différents flux sans provoquer de la congestion, plusieurs mécanismes ont été mis en œuvre. Malgré le fait que ce problème concerne la couche réseau du modèle OSI, c'est TCP qui intègre l'une des solutions à ce défi, permettant de faire un contrôle de congestion aux extrémités. La tendance de fusionner les réseaux de télécommunications et les réseaux du monde de l'informatique ont donné naissance à des technologies qui essaient d'adapter les services historiques à la nouvelle infrastructure. VoIP est le meilleur exemple de cette fusion. Le but de ce projet est de concevoir une plate-forme qui simule le fonctionnement d Internet tant au niveau de la topologie que des mécanismes. A l aide des équipements qui nous ont été fournis, quatre systèmes autonomes seront mis en œuvre, dont deux qui vont correspondent chacun à un réseau d un fournisseur d accès à Internet et les autres à deux entreprises qui sont connectées aux deux FAI. Étant donné que cette plate-forme sera utilisée par les générations d étudiants qui suivent, un certain niveau d évolutivité doit être assuré. Prenant en compte le but pédagogique de la plate-forme, la topologie physique qui sera implémentée ne correspondra pas tout à fait à une topologie que l on trouve dans le monde réel. Ainsi, pour exemplifier, à la sortie de chaque AS, on ne trouvera pas de routeurs mais des commutateurs, qui vont permettre la capture et l analyse de trafic à l aide des VLAN. 8/39 Rapport final

9 4 Analyse La plate-forme ayant déjà été utilisée les années précédentes, la liste du matériel disponible est déjà fixée. Cependant, la plate-forme a été déménagée dans les locaux du LIP6. Tout le câblage a été défait pour le transport des armoires. Le sujet que nous avons à traiter étant un peu particulier (on a déjà le matériel), on va premièrement faire la liste du matériel disponible et de leurs principales fonctionnalités, puis proposer des scénarios pour tirer parti au mieux du matériel et démontrer les principaux mécanismes utilisés dans les AS. 4.1 Liste du matériel disponible et des leurs principales fonctionnalités La liste suivante n inclut pas les serveurs Carri. Ce sont des hôtes XEN qui peuvent accueillir plusieurs machines virtuelles. Les hôtes XEN sont d anciennes Fedora 8. Elles seront donc réinstallées complètement avec un système d exploitation plus récent. 9/39 Rapport final

10 4.1.1 Armoire 1 - AS 1 (Réseau d entreprise) 1x Cisco Catalyst 3560 Series PoE-24 o Commutateur de niveau 3 o Ethernet Gigabit o Power over Ethernet (PoE, 15.4W) o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) o Routage IP o Support IPv6 o Qualité de Service (QoS, V3PN) o Agrégation de port (trunk) 1x Cisco ASA 5510 Series Adaptative Security Appliance o Pare-feu o Système de prévention d intrusion (IPS) o Réseaux privés virtuels (VPN) SSL, DTLS, IPSec 10/39 Rapport final

11 o Support IPv6 o Serveur DHCP o Translation d adresse (NAT) o Qualité de service (QoS) o Routage IP o IEEE 802.1x 1x Cisco 2800 Series o Routage IP o IEEE 802.1q VLAN o VPN o Qualité de Service (QoS, V3PN) o Routage inter-vlan o Support IPv Armoire 2 - AS 2 (Réseau cœur) 1x Cisco Catalyst 2960G o Commutateur de niveau 2 o Ethernet Gigabit o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) o Qualité de Service (QoS, V3PN) o Power over Ethernet (PoE) o Agrégation de port (Trunk) 2x Cisco 3825 o Routage IP o Ethernet Gigabit o Network Access Control (NAC) o IEEE 802.1q VLAN o VPN o Qualité de Service (QoS) o Support IPv Armoire 3 - AS 3 (Réseau cœur) 2x HP ProCurve G o Commutateur de niveau 3 o Jumelage des commutateurs o Support IPv6 o Agrégation de port (Trunk) 4x Juniper Network J4350 o Routage IP o Pare-feu o IEEE 802.1q VLAN 11/39 Rapport final

12 o VPN o Ethernet Gigabit Armoire 4 - AS 4 (Réseau d entreprise) 2x Juniper Network SSG20 o Pare-feu o Routage IP o Support IPv6 o Qualité de Service (QoS) o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) 1x Extreme Network Summit X450e o Commutateur de niveau 3 o Routage IP o IEEE 802.1x o Qualité de Service (QoS) o Ethernet Gigabit o Power over Ethernet (PoE) o Support IPv6 o Agrégation de port (Trunk) 2x Juniper Network J2300 o Routage IP o Qualité de Server (QoS) o VPN o IEEE 802.1x Network Access Control (NAC) On dispose également de plusieurs téléphones IP compatibles avec les deux commutateurs PoE installés dans les AS d entreprise (n 1 et 4). 4.2 Choix des scénarios Il va de soi que l on ne peut pas reproduire tous les mécanismes de l Internet sur la plateforme. Nous n aurions pas le temps de tous les recenser et de les intégrer de manière satisfaisante. Nous allons donc nous concentrer sur 4 scénarios qui nous semblent illustrer au mieux les problématiques majeures dans les réseaux actuels Routage et topologie Quand on pense aux réseaux, c est cette problématique qui nous vient à l esprit en premier : quels sont les mécanismes utilisés pour assurer le transit des données d un point à un autre. Dans ce scénario seront abordés les protocoles de routage internes et externes aux AS (comme BGP et OSPF) ainsi que le mécanisme de translation d adresses (NAT). On regardera également les mécanismes de VLANs utiles pour créer des topologies réseau virtuelles pour contourner des contraintes liées à l implantation physique du matériel. 12/39 Rapport final

13 4.2.2 IPv6 Les adresses IPv4 sont à présent épuisées. La nouvelle version d IP, IPv6 offre une solution à ce problème ainsi que des améliorations par rapport à l ancienne version, notamment avec un adressage sur 128 bits, une simplification de l en-tête pour une analyse plus rapide au niveau des routeurs et des en-têtes d extensions pour offrir de nouvelles fonctionnalités. Le matériel actif de niveau 3 dont nous disposons est déjà compatible avec ce nouveau standard, on va donc pouvoir le déployer sur la plate-forme. Le changement vers IPv6 n étant pas encore amorcé, ou tout du moins pas complet (la majorité des AS utilisant encore IPv4), la version 4 d IP sera toujours disponible sur la plateforme Sécurité La sécurité des données en transit, mais également de l AS lui-même est une préoccupation majeure. Il est important de protéger son matériel et ses données contre les intrusions. Les pare-feux matériels seront utilisés pour protéger l accès au réseau et aux serveurs applicatifs (notamment avec une topologie incluant une zone démilitarisée). Des pare-feux logiciels seront également activés au niveau des serveurs applicatifs pour une seconde ligne de défense. Il est également important de pouvoir communiquer vers son entreprise de façon sécurisée depuis l extérieur (autrement dit un environnement non sécurisé). On mettra donc en place des tunnels sécurisés avec SSL ou IPSec pour garantir l intégrité et la confidentialité de nos données lors de leur transit sur Internet VoIP et QoS La téléphonie IP est de plus en plus utilisée par les entreprises pour réduire leurs coûts de fonctionnement (par rapport à une téléphonie classique à commutation de circuit via un opérateur téléphonique). Cependant, les réseaux à commutation de paquets n allouent pas de ressources au préalable et ne permettent pas de garantir la qualité de service. Cependant il existe des mécanismes au niveau du matériel actif qui permettent d émuler cette allocation de ressources et ainsi garantir une qualité de service. Un serveur applicatif devra également être mis en place pour les communications VoIP Administration et supervision Administrer convenablement un réseau nécessite de pouvoir connaître à tout moment l état du matériel et des liens à tout instant dans le réseau. On utilisera pour cela des mécanismes de gestion comme SNMP et on installera des sondes sur les serveurs qui remonteront des informations vers une plate-forme de supervision. Administrer ne se limite pas seulement à résoudre les incidents qui surviennent sur le matériel. Il faut pouvoir également être capable de planifier les futurs besoin de l entreprise en réalisant des statistiques sur l utilisation des liens. On déploiera donc un outil capable de collecter des données d utilisation au niveau du matériel et de générer des statistiques d utilisation en temps réel et sur le long terme à partir de ces informations. 13/39 Rapport final

14 4.2.6 Répartition de charge Obtenir une meilleure optimisation des liens au sein d un AS. On pourra faire de l équilibrage de charge à la fois en entrée (x serveurs web pour un lien d entrée) mais aussi en sortie (x FAI pour alimenter le même site). Dans le premier cas, il faudra effectuer une redondance de serveurs et les synchroniser afin que chaque requête donne le même résultat quelque soit le serveur interrogé. Dans le second cas, il faudra mettre en place un mécanisme permettant de tester les différents FAI disponible et d orienter les paquets en fonction de la charge de ceux ci Agrégation de lien Afin d'accélérer les transits sur le réseau, on pourra faire de l'agrégation de liens. Ce procédé permettra, notamment dans les réseaux de cœur, de pouvoir évacuer ou recevoir plusieurs Gigabits de trafic par seconde sans provoquer de congestion dans les routeurs Simulateur de trafic Pour réaliser des traces de trafic réalistes et effectuer des tests de monter en charge, il devra être disposé dans les AS de simulateurs de trafic. Ils devront permettre de générer du trafic de type Web, Mail, IM avec une intensité réglable afin de pouvoir simuler de petites entreprises ou au contraire de grosses entreprises avec un nombre important de postes informatiques Services supplémentaires Il pourra être implémenté au sein des AS toujours plus de services afin de refléter au mieux la réalité de l Internet. Ces services pourront être de l ordre du transfert de fichiers local (NFS, AFP, SMB), transfert de fichier distant (FTP, Torrent, HTTP), messagerie instantanée (IRC, Jabber), Une plate-forme pédagogique La plate-forme a un but pédagogique. Il faut donc être capable de remodeler la topologie aisément sans avoir à modifier le câblage du matériel. On va donc créer notre topologie à l aide de VLANs. On doit également pouvoir être en mesure d analyser le trafic que l on génère. Le trafic généré au niveau des commutateurs pourra donc être répliqué sur un port dédié à la capture, relié à une sonde. 14/39 Rapport final

15 5 Conception 5.1 Introduction Dans un premier temps, notre tâche va consister à réassembler la plate-forme, c est à dire de câbler les machines, les réinstaller, les tester et pour certaine, les réparer. Il faudra aussi obtenir, des administrateurs du LIP6, une passerelle vers leur réseau afin de pouvoir accéder à la plate-forme de l extérieur de l Université et d avoir accès à Internet depuis la plate-forme. La suite du projet va consister à réaliser les différents scénarios décrits dans la partie 5d de ce rapport. 5.2 Architecture générale de la plate-forme VLAN d administration Pour chaque AS, un VLAN doit être créé, afin de pouvoir, de la passerelle, accéder aux différents équipements. De ce fait, il est possible de configurer, par le biais de la passerelle, n importe quel routeur, commutateur ou serveur de n importe quel AS. Ces VLANs contiennent donc les commutateurs administrables, les routeurs, les pare-feux et ordinateurs physiques et virtuels pour chaque AS ainsi que la passerelle VLAN de fonctionnement La topologie logique qu on met en place est différente de la topologie physique. On a des VLANs pour les liaisons point-à-point entre les équipements réseau (inter et intra AS) ainsi que sur les LANs dans les AS Port de capture de trames Tous les commutateurs de la plateforme sont capables de dupliquer le trafic d un ou plusieurs ports, ou de tout un VLAN. Pour chaque commutateur, on a réservé un port sur un des serveurs. Ce port sera dédié à la capture des trames dupliquées par le commutateur. Cette installation nous permet alors de mesurer, contrôler ou visionner ce qui passe sur le réseau. 5.3 Architecture de chaque AS AS1 : Modélisation d une entreprise standard Dans cet AS, nous devons simuler une entreprise disposant de matériel réseau Cisco. Dans cette entreprise, nous aurons un pare-feu protégeant le réseau local mais laissant passer les requêtes sur les serveurs de l entreprise (Web et mail notamment). Ce n est pas une DMZ (zone démilitarisée) mais un simple filtrage basé sur l adresse et port destination des paquets. Nous avons prévu les VLANS suivants: 210: Connexion vers l AS2 111: Lien entre le firewall et le routeur 15/39 Rapport final

16 112: Réseau de l entreprise 16/39 Rapport final

17 5.3.2 AS2 : Modélisation d un ISP standard Cet AS représentera le premier ISP de notre système. Celui aura pour clients l AS1 et l AS4 (le dernier étant connecté en mode multi-homing - aux deux ISPs) et comme pair l AS3 (également un ISP) On a prévu les VLANs suivants: 210, 320, 240 : Connexions vers les AS 1, 3 respectivement : Lien entre les routeurs. 222: Réseau public. 17/39 Rapport final

18 18/39 Rapport final

19 5.3.3 AS3 : Modélisation d un ISP répondant à des contraintes de haute disponibilité Les 4 routeurs Junipers permettront de créer une topologie en miroir garantissant une redondance du lien entre les deux routeurs de bordure. On profitera également de cette redondance pour mettre en place une répartition de charge entre ces deux liens. L AS devra également assurer la connectivité de ses clients vers le reste d Internet, ainsi que leur visibilité sur Internet. On aura donc à charge de fournir des services aux clients (comme DNS, NTP, QoS) et d assurer la visibilité des serveurs DNS et des IPs publiques des clients. On a prévu les VLANS suivants: 320 et 340: Connexions vers les autres AS 332, 333, 334 et 335: Liens entre les routeurs 331: LAN 336: Réseau public 19/39 Rapport final

20 20/39 Rapport final

21 5.3.4 AS4: Modélisation d une entreprise ayant une contrainte de disponibilité Internet Comme exprimé dans le paragraphe sur l AS2, cette entreprise devra disposer de deux ISPs. Elle pourra donc se connecter à Internet soit par l AS2, soit par l AS3. De plus, disposant de deux pare-feux nous pourrons réaliser une zone démilitarisée afin d'héberger les serveurs de l entreprise et ainsi pouvoir protéger de manière plus efficace le réseau privé de l entreprise. On a prévu les VLANs suivants: 240 et 340 : Connexions vers les FAI 441 : LAN de la DMZ 442 et 443 : Liens entre les Firewall et les routeurs 444 : Réseau entre les routeurs et le Load Balancer 445 : LAN de l entreprise 21/39 Rapport final

22 22/39 Rapport final

23 5.4 Scénarios proposés VoIP et QoS Dans ce scénario, nous devrons mettre en place la QoS afin de pouvoir faire passer les paquets vocaux avant les autres. De plus, il faudra mettre tous les dispositifs SIP en œuvre afin de pouvoir contacter les deux correspondants en liaison, à travers l Internet IPv6 Ce scénario consiste à faire évoluer notre plate-forme fonctionnant en IPv4 vers une plateforme fonctionnant en IPv6. En effet, afin de simuler au mieux le réseau Internet, qui subit aujourd hui une pénurie d adresses IPv4, nous devrons migrer notre reproduction d Internet actuel (en IPv4) vers une reproduction d Internet de demain (en IPv6) Sécurité Ici, pour répondre à un besoin de sécurité, nous créeront au sein de l AS4 (d entreprise), une zone démilitarisée (DMZ) afin d'héberger les serveurs Web, mail et DNS. De la sorte, leur réseau privé d entreprise ne sera plus exposé aux yeux de l Internet Routage et topologie Grâce à la multitude de routeurs qui ont été mis à notre disponibilité pour ce projet, pourrons mettre en œuvre une gestion de routage politique afin de pouvoir atteindre un point donné du réseau. Dans ce scénario, nous devrons paramétrer chaque routeur afin d indiquer les routes à suivre tout en gardant les protocoles de routage internes aux AS. Ainsi, BGP sera le protocole utilisé dans le cœur du réseau tandis qu OSPF sera implémenté au sein des entreprises Administration et supervision Afin de pouvoir contrôler à tout instant l état d un réseau chaque AS doit pouvoir savoir dans quel état se trouvent ses équipements. C est pourquoi, nous avons décidé de mettre en place Nagios au sein des AS qui nous permettra de suivre, en temps réel, l état du réseau qui lui est confié. 5.5 Suivi et documentation Suivi La supervision de l état d avancement du projet se fera à l aide du logiciel Trac, mis à disposition par le LIP6 sur le serveur Tibre. Chaque élément du développement et incident conduira à l ouverture d un ticket. On mettra également en place des «milestones» pour définir les éléments clés du développement ainsi que leur avancement Documentation La documentation sera compilée sur le wiki de Trac. Elle pourra ainsi être consultée 23/39 Rapport final

24 directement par les futures équipes qui travailleront sur la plate-forme. Elle contiendra des documents techniques sur la configuration des différents serveurs, de la topologie Adresse Le wiki est disponible à cette adresse : 24/39 Rapport final

25 6 Compte-rendu du projet 6.1 Configuration globale de la plateforme Réutilisation de l existant Pour reconstruire sur des bases saines, il a été décidé de faire table rase du passé, aussi bien au niveau des configurations des équipements réseau que des systèmes d exploitation Câblage Chaque AS a été connecté avec ses voisins. La plateforme devant être évolutive, on a cherché à connecter toutes les interfaces des équipements réseau aux commutateurs. Certaines interfaces n ont pas pu être câblées dû à un manque de place au niveau de certains commutateurs. Un peu plus de 80 câbles ont été nécessaires pour cette opération Passerelle La passerelle est la porte d entrée de l AS depuis l extérieur, et la porte de sortie vers l extérieur de la plateforme Solution de virtualisation Les AS disposent d au plus 3 machines physiques. Il a donc été décidé d installer une solution de virtualisation sur chaque serveur. Cela permet une grande flexibilité au niveau des systèmes d exploitation installés, ainsi qu une évolutivité des AS. La solution retenue est la distribution ProxMox. Elle propose une virtualisation basée sur qemu-kvm ou openvz, ainsi qu une interface web de gestion et d administration et un client web VNC. On peut également grouper les serveurs ProxMox en clusters et migrer les machines entre les nœuds du cluster VLANs et plan d adressage Le numéro des VLANs partagés entre les AS est xy0 avec x le numéro de l AS fournisseur et y le numéro de l AS client. Pour les AS pairs, on prend x > y. En IPv4, chaque AS dispose d une classe B : 10.x.0.0/16, avec x ϵ { 10, 20, 30, 40 }, respectivement pour les AS 1, 2, 3 et 4. Le réseau d administration est 10.x.130.0/24, en adéquation avec la configuration IP de la passerelle. Pour les connexions entre AS, on a utilisé des /30 dans la plage 10.x.0.0/24. En IPv6, chaque AS dispose d une plage d adresse définie comme suit : 2001:db8:x::/48 avec x le numéro de l AS. Pour les plages de chaque VLAN, on suit la formule suivante : 2001:db8:x:y::/64 avec y le numéro du VLAN. 25/39 Rapport final