Rapport PPE 3.2 Création d un nouveau VLAN

Transcription

1 Rapport PPE 3.2 Création d un nouveau VLAN Johanna KASSAMALY Rapport PPE 2 Page 1 / 18

2 Table des Matières 1. PRESENTATION DE L ENTREPRISE Description du laboratoire GSB Le secteur d activité L entreprise Réorganisation Description du Système Informatique Le système informatique La gestion informatique L équipement Organisation du réseau Répartition des services Segmentation Salle serveur et connexion internet CAHIER DES CHARGES Définition du besoin Annexes Annexe 1 : Liste des utilisateurs à créer Annexe 2 : Script Powershell retrouvé par hasard Annexe 3 : Article trouvé sur le net au sujet des serveurs DHCP Contraintes DOCUMENTATION Diagramme de Gantt de l organisation du projet Plan du réseau Fichiers de configuration des matériels Fichier de configuration du Routeur A Fichier de configuration du Commutateur A Configurations du Serveur DHCP Serveur DHCP Configuration de l étendue «Qualite» pour le VLAN 81 sur le serveur DHCP Configurations sur IPcop Configuration des cartes réseaux de l IPcop Interface Verte Interface Rouge Configurations du DNS et de la Paserelle Routage sur IPCop Jeu d essai Mots de passe FIN Rapport PPE 2 Page 2 / 18

3 1. Présentation de l entreprise 1.1. Description du laboratoire GSB Le secteur d activité L industrie pharmaceutique est un secteur très lucratif dans lequel le mouvement de fusion acquisition est très fort. Les regroupements de laboratoires ces dernières années ont donné naissance à des entités gigantesques au sein desquelles le travail est longtemps resté organisé selon les anciennes structures. Des déboires divers récents autour de médicaments ou molécules ayant entraîné des complications médicales ont fait s'élever des voix contre une partie de l'activité des laboratoires : la visite médicale, réputée être le lieu d'arrangements entre l'industrie et les praticiens, et tout du moins un terrain d'influence opaque L entreprise Le laboratoire Galaxy Swiss Bourdin (GSB) est issu de la fusion entre le géant américain Galaxy (spécialisé dans le secteur des maladies virales dont le SIDA et les hépatites) et le conglomérat européen Swiss Bourdin (travaillant sur des médicaments plus conventionnels), lui même déjà union de trois petits laboratoires. En 2009, les deux géants pharmaceutiques ont uni leurs forces pour créer un leader de ce secteur industriel. L'entité Galaxy Swiss Bourdin Europe a établi son siège administratif à Paris. Le siège social de la multinationale est situé à Philadelphie, Pennsylvanie, aux Etats-Unis. La France a été choisie comme témoin pour l'amélioration du suivi de l'activité de visite Réorganisation Une conséquence de cette fusion, est la recherche d'une optimisation de l activité du groupe ainsi constitué en réalisant des économies d échelle dans la production et la distribution des médicaments (en passant par une nécessaire restructuration et vague de licenciement), tout en prenant le meilleur des deux laboratoires sur les produits concurrents. L'entreprise compte 480 visiteurs médicaux en France métropolitaine (Corse comprise), et 60 dans les départements et territoires d'outre-mer. Les territoires sont répartis en 6 secteurs géographiques (Paris-Centre, Sud, Nord, Ouest, Est, DTOM Caraïbes-Amériques, DTOM Asie-Afrique). Une vision partielle de cette organisation est présentée ci-dessous. NORD PARIS CENTRE OUEST EST SUD Rapport PPE 2 Page 3 / 18

4 1.2. Description du Système Informatique Le système informatique Sur le site parisien, toutes les fonctions administratives (gestion des ressources humaines, comptabilité, direction, commerciale, etc.) sont présentes. On trouve en outre un service labo-recherche, le service juridique et le service communication. La salle serveur occupe le 6ème étage du bâtiment et les accès y sont restreints (étage accessible par ascenseur à l'aide d'une clé sécurisée, portes d'accès par escalier munies d'un lecteur de badge, sas d'entrée avec gardien présent 24h/24). Les serveurs assurent les fonctions de base du réseau (DHCP, DNS, Annuaire et gestion centralisée des environnements) et les fonctions de communication (Intranet, Messagerie, Agenda partagé, etc.). On trouve aussi de nombreuses applications métier (base d'information pharmaceutique, serveurs dédiés à la recherche, base de données des produits du laboratoire, base de données des licences d'exploitation pharmaceutique, etc.) et les fonctions plus génériques de toute entreprise (Progiciel de Gestion Intégré avec ses modules RH, GRC, etc.). Un nombre croissant de serveurs est virtualisé. Constitué autour de VLAN, le réseau segmente les services de manière à fluidifier le trafic. Les données de l'entreprises sont considérées comme stratégiques et ne peuvent tolérer ni fuite, ni destruction. L'ensemble des informations est répliqué quotidiennement aux Etats-Unis par un lien dédié. Toutes les fonctions de redondances (RAID, alimentation, lien réseau redondant, Spanning-tree, clustering, etc.) sont mises en œuvre pour assurer une tolérance aux pannes maximale La gestion informatique La DSI (Direction des Services Informatiques) est une entité importante de la structure Europe qui participe aux choix stratégiques. Pour Swiss-Bourdin, qui occupait le siège parisien avant la fusion, l'outil informatique et l'utilisation d'outils décisionnels pour améliorer la vision et la planification de l'activité ont toujours fait partie de la politique maison, en particulier pour ce qui concerne la partie recherche, production, communication et juridique L équipement L'informatique est fortement répandue sur le site. Chaque employé est équipé d'un poste fixe relié au système central. On dénombre ainsi plus de 350 équipements terminaux et un nombre de serveurs physiques conséquent (45 en 2012) sur lesquels tournent plus de 100 serveurs virtuels. On trouve aussi des stations de travail plus puissantes dans la partie labo-recherche, et une multitude d'ordinateurs portables (personnels de direction, service informatique, services commerciaux, etc). Les visiteurs médicaux reçoivent une indemnité bisannuelle pour s'équiper en informatique (politique Swiss-Bourdin) ou une dotation en équipement (politique Galaxy). Il n'y a pas à l'heure actuelle d'uniformisation des machines ni du mode de fonctionnement Chaque employé de l'entreprise a une adresse de messagerie de la forme nomutilisateur@swiss-galaxy.com. Les anciennes adresses de chaque laboratoire ont été définitivement fermées au 1er janvier Rapport PPE 2 Page 4 / 18

5 1.3. Organisation du réseau Répartition des services Chaque étage dispose d'une baie de brassage qui le relie par une fibre à la baie centrale de la salle serveurs. Toutes les salles de réunion sont équipées d'un point d'accès Wifi positionné par défaut dans le VLAN "Visiteurs" qui autorise uniquement un accès Internet. Les portables connectés en wifi à ce point d'accès reçoivent ainsi une adresse IP et n'ont, par conséquent accès qu'aux services DHCP et DNS. Le point d accès peut être configuré à la demande pour être raccordé à un VLAN présent au niveau de l'étage. Chaque salle de réunion dispose d'un vidéoprojecteur, d'enceintes et d'un tableau numérique interactif. La salle "Démonstration" est destinée à l'accueil des organismes de santé (AFSSAPS notamment) et des partenaires scientifiques. Elle dispose de paillasses et d'équipements de laboratoire, en plus d'une salle de réunion Segmentation L'organisation des VLAN et de l'adressage IP est la suivante : N VLAN Service(s) Adressage IP 10 Réseau & Système /24 20 Direction / DSI /24 30 RH / Compta / Juridique / /24 Secrétariat Administratif 40 Communication / /24 Rédaction 50 Développement /24 60 Commercial /24 70 Labo-Recherche / Accueil / Visiteurs / Démonstration /24 XXX Serveurs 172.x.x.0/ Sortie x.0/30 Les règles actuelles concernant les vlans sont les suivantes : chaque vlan (sauf le vlan visiteur) peut uniquement accéder (quel que soit le protocole) aux vlans "Serveurs" et "Sortie"; le vlan "Visiteurs" peut uniquement interroger les serveurs DNS et DHCP et sortir sur internet. Rapport PPE 2 Page 5 / 18

6 1.4. Salle serveur et connexion internet L'organisation des serveurs est la suivante. Il n est pas précisé si les serveurs sont virtualisés ou non. Seuls les serveurs principaux sont présentés, les redondances n'apparaissent pas. Les bases de données des serveurs BDMED et BDPHARMA sont achetées périodiquement auprès d'organismes extérieurs et tenues à jour par les employés entre deux achats. Le commutateur MUTLAB assure un fonctionnement de niveau 3. À ce titre, il réalise un routage inter-vlan en limitant les communications grâce à des listes de contrôles d'accès (ACL). Le serveur de messagerie et l'intranet sont limités à un usage interne au site parisien. Des services externalisés (relai de messagerie auprès de l'opérateur et recopie d'une partie du serveur intranet sur le serveur Web hébergé chez un prestataire) permettent aux visiteurs médicaux d'utiliser la messagerie de l'entreprise et d'avoir accès aux principales informations de l'intranet (Comité d'entreprise, circulaires importantes, stratégie de l'entreprise, comptes rendus de CA, etc.). La messagerie est hébergée aux États-Unis. Rapport PPE 2 Page 6 / 18

7 2. Cahier des charges 2.1. Définition du besoin Suite à la fusion et pour harmoniser les pratiques, un service qualité est créé. Sa première mission sera de mettre en place un manuel des procédures, permettant une intégration plus rapide des nouveaux arrivants, un meilleur respect des normes en vigueur, une qualité améliorée des produits, des documentations et des services associés. Ce service Qualité est donc organisé en cinq équipes : équipe procédures, équipe normes, équipe qualité des produits, équipe qualité des services et équipe qualité de la documentation. Physiquement ce nouveau service qualité est implanté au troisième étage du site parisien. Les postes informatiques sont intégrés dans le VLAN 81. Votre mission est de mettre en place ce VLAN 81 au sein de l'infrastructure de GSB. Les postes informatiques seront adressés en dynamique et pourront accéder à l'internet et au Vlan serveurs. Les utilisateurs posséderont tous un compte sur l'active Directory (domaine gsb.local) du site parisien. Ces comptes seront crées dans l'ou Qualité. Chaque personne possèdera un répertoire personnel. Chaque équipe aura un répertoire de partage où les fichiers et répertoires ne pourront être supprimés que par leurs propriétaires. Chaque équipe aura un accès en lecture au répertoire partagé des autres équipes. Ces répertoires réseau seront automatiquement connectés à l'ouverture de session des utilisateurs Annexes Annexe 1 : Liste des utilisateurs à créer NOM Prénom Equipe BARRATIN Ludovic Procédures BAUDINOT Florian Procédures BESSILOT Vincent Procédures BROPOUT Nicolas Procédures COQUILLETTE Maxime Procédures DAGIBUS Maxime Normes DURANOU Benjamin Normes FERRITINE Henri Normes GAUDUCHE Kévin Normes GRECOT Mickaël Normes HENVILAT Kilian Normes KISSAMAREK Thibault Produits KOWAMALY Johanna Produits LECAMERA Michel Produits LERAYONSOL Gaël Produits LEGRAND Joseph Produits LECELIB Simon Produits MACRAME Julien Produits Rapport PPE 2 Page 7 / 18

8 MARINGOT Thomas Services MASSUS Steve Services MAUSSIVUR Teddy Services MIKADO Mathias Services PERRENE Mylène Services PRESTATION Jérémy Services SAKAVIN Patrick Documentation SIMOREG Joris Documentation SURRATOUT Estelle Documentation TADOUSSAC Jordan Documentation TIRAUFLAN Florian Documentation TISSEROND Bertrand Documentation Annexe 2 : Script Powershell retrouvé par hasard # lecture des utilisateurs $rep = Read-Host "Saisissez le nom du répertoire" # définir la connexion $connexion = [ADSI]"LDAP://OU=Artistes,OU=Departements,DC=delamare,DC=local" if (Test-Path $rep) { # le répertoire existe bien $nomfichier = Read-Host "Donnez le nom du fichier contenant les comptes utilisateurs à créer" # former le nom complet du fichier $nomcomplet = $rep + "\" + $nomfichier $listeutilisateurs = Get-Content $nomcomplet ForEach ($utilisateur in $listeutilisateurs) { $donneesutilisateur = $utilisateur.split(";") $compte = $donneesutilisateur[1].substring(0,1) + $donneesutilisateur[0] $nomentier = $donneesutilisateur[0] + " " + $donneesutilisateur[1] $cn = "CN=" + $nomentier $objectutilisateur = $connexion.create('user',$cn) $objectutilisateur.put('givenname',$donneesutilisateur[1]) $objectutilisateur.put('sn',$donneesutilisateur[0]) $objectutilisateur.put('displayname',$nomentier) $objectutilisateur.put('telephonenumber',$donneesutilisateur[2]) $objectutilisateur.put('userprincipalname',$compte) $objectutilisateur.setinfo() $objectutilisateur.setpassword('p@ssword') $objectutilisateur.psbase.invokeset('accountdisabled',$false) $objectutilisateur.setinfo() } } else { Write-Host "Le répertoire" $rep "n'existe pas " } Exemple de ligne du fichier des utilisateurs : toto;titi; ;1; Rapport PPE 2 Page 8 / 18

9 Annexe 3 : Article trouvé sur le net au sujet des serveurs DHCP Extrait wikipédia Client et serveur sur des segments différents Lorsque le serveur DHCP et le client ne figurent pas sur le même segment ethernet, les diffusions émises par ce dernier ne parviennent pas au serveur parce que les routeurs ne transmettent pas les diffusions générales (broadcast). Dans ce cas, on utilise un agent de relais DHCP. Cet hôte particulier est configuré avec une adresse IP statique, et connaît l adresse d un serveur DHCP auquel il transmet les découvertes DHCP qui lui parviennent sur le port 67 (écouté par le programme agent de relais). Il diffuse sur son segment (qui est aussi celui du client) les réponses qu il reçoit du serveur DHCP. Configuration du serveur DHCP Pour qu un serveur DHCP puisse servir des adresses IP, il est nécessaire de lui donner un «réservoir» d adresses dans lequel il pourra puiser : c est la plage d adresses (address range). Il est possible de définir plusieurs plages, disjointes ou contiguës. Les adresses du segment qui ne figurent dans aucune plage mise à la disposition du serveur DHCP ne seront en aucun cas distribuées, et peuvent faire l objet d affectations statiques (couramment : pour les serveurs nécessitant une adresse IP fixe, les routeurs, les imprimantes réseau ). Il est également possible d exclure pour un usage en adressage statique par exemple, des adresses ou blocs d adresses compris dans une plage. Enfin, on peut effectuer des réservations d adresses en limitant la possibilité d octroi de cette adresse au client possédant une adresse physique donnée. Lors de l utilisation sur un même segment de plusieurs serveurs DHCP, l intersection des plages d adresses des différents serveurs doit être vide, sous peine d ambiguïté dans les affectations et les renouvellements. En effet, les serveurs DHCP n échangent aucune information relative aux baux qu ils octroient Contraintes D'un point de vue matériel, l équipe utilisera son IPCOP, un commutateur CISCO 2960 et un routeur CISCO L'Active directory et le serveur DHCP seront installés sur la même machine virtuelle (Windows 2008 R2) hébergée dans notre ferme de serveur. Le numéro du VLAN serveur sera donc adapté à notre environnement et le nom du domaine à chaque équipe (équipe A gsba.local, équipe B gsbb.local, équipe C gsbc.local, équipe D gsbd.local, équipe E gsbe.local).. Le Vlan 81 sera représenté par un poste SEVEN physique du labo SISR. Ce numéro de Vlan sera adapté pour chaque équipe de la manière suivante équipe A vlan /24, équipe B vlan /24, équipe C vlan /24, équipe D vlan /24, équipe E vlan /24). Un inter-réseau entre IPCOP et le routeur 2901 sera crée et adressé conformément au plan général du réseau GSB fourni dans la description du contexte (on changera l'adresse pour chaque groupe de la manière suivante équipe A /30, équipe B /30, équipe C /30, équipe D /30, équipe E /30). La carte internet de l'ipcop sera brassée sur le commutateur 2960RG2 VLAN 402 (ports 18 à 22). On n'implante pas les ACL. Rapport PPE 2 Page 9 / 18

10 3.Documentation 3.1. Diagramme de Gantt de l organisation du projet Rapport PPE 2 Page 10 / 18

11 3.2. Plan du réseau Rapport PPE 2 Page 11 / 18

12 3.3. Fichiers de configuration des matériels Fichier de configuration du Routeur A1 version 15.1 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname RouteurA1 boot-start-marker boot-end-marker logging buffered warnings enable password cisco no aaa new-model no ipv6 cef ip source-route ip cef ip domain name yourdomain.com multilink bundle-name authenticated crypto pki token default removal timeout 0 crypto pki trustpoint TP-self-signed enrollment selfsigned subject-name cn=ios-self-signed-certificate revocation-check none rsakeypair TP-self-signed crypto pki certificate chain TP-self-signed certificate self-signed B A D0609 2A F70D F30 2D F532D 53656C66 2D E65642D D E 170D A17 0D A F302D F532D53 656C662D E 65642D D F 300D0609 2A F70D D DF5B 01DC BABA4D C624D88C 1CCAFB82 32D2702B DB3838F C26D98DE F1 C5F05DD5 ECA4D489 E744D B 21AB88DF 0CD7616A 880B03F8 626DDF3A D2812CA4 FAE7C33C 9781D0B4 2AC413E7 A977A65A EB88C6DE D C65CDB0F 611CCA4D B50FB6EE 582F1E4D 8E44C D848E 00E0B9DD C6B A F D FF FF 301F D E118B EC59A562 6FCA88E4 9DB6CD39 09B82C D D0E E118BEC 59A5626F CA88E49D B6CD3909 B82C D0609 2A F70D B3FDB337 93DF835A 29AB9B25 9A79F750 C9A1BB F7E6 D4A756D2 9E90175A 7598AE97 D70686E0 10DB127B 1BAC1B0E 97D4C0D6 DBD1B1FB FC1D93DA 6E2A5880 F6CAD4DA A6BF0B75 39B670E1 98CACB5F Rapport PPE 2 Page 12 / 18

13 A7E96C42 CD28BCAC C D66245FE D1 C9DFED54 9D0962B0 796CE00D 1057CD F quit license udi pid CISCO2901/K9 sn FCZ G username etudiant privilege 15 secret 4 4J2zr7qYyr8Yc3uqOFRIXHmEztHJENsT6qDie7rysRo interface Embedded-Service-Engine0/0 no ip address shutdown interface GigabitEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$ ip address duplex auto speed auto interface GigabitEthernet0/1 no ip address duplex auto speed auto interface GigabitEthernet0/1.1 encapsulation dot1q 431 ip address interface GigabitEthernet0/1.2 encapsulation dot1q 81 ip address ip helper-address interface Serial0/0/0 no ip address shutdown clock rate interface Serial0/0/1 no ip address shutdown clock rate ip forward-protocol nd ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life requests access-list 23 permit Rapport PPE 2 Page 13 / 18

14 control-plane line con 0 login local line aux 0 line 2 no activation-character no exec transport preferred none transport input all transport output pad telnet rlogin lapb-ta mop udptn v120 ssh stopbits 1 line vty 0 4 access-class 23 in privilege level 15 login local transport input ssh line vty 5 15 access-class 23 in privilege level 15 login local transport input ssh scheduler allocate end Fichier de configuration du Commutateur A1 version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption hostname CommutateurA1 boot-start-marker boot-end-marker enable secret 5 $1$UZZ7$L9yC5zQE3Q0kGGLfpb7my. username etudiant privilege 15 secret 5 $1$GUZo$.fRRlKJVRbyoE5qXhKIjl0 no aaa new-model system mtu routing 1500 ip subnet-zero ip domain-name btssio crypto pki trustpoint TP-self-signed enrollment selfsigned subject-name cn=ios-self-signed-certificate revocation-check none rsakeypair TP-self-signed Rapport PPE 2 Page 14 / 18

15 crypto pki certificate chain TP-self-signed certificate self-signed A B3 A D0609 2A F70D E30 2C F532D 53656C66 2D E65642D D E17 0D A170D A E302C F 532D5365 6C662D E65 642D D F300D 06092A F70D D BC6E998 BBA23BC D4 E97BC1F3 E80F0830 C2D11CD8 7B0ED6A5 5A3B14BE 1D63C906 E5221EC E4 AD059AF0 07A D85 2FB0DCFA 3EB080B9 FBCB9A C72C D C61 1CD73801 ACA51D9D F98EFF A6CA 025F4CBF 561EBD D219 9F41A49C D6DC6360 BA D645BE A F D FF FF301F D F6D6D E F30 1F D AAC ED4298E6 6A C5 249AED46 301D D0E AACED 4298E66A C524 9AED4630 0D06092A F7 0D AED B3D9F AE 6195B768 BB ADB6AF 3AB81E B725 C1C8AE0E A9CE87E9 7472D6C BEF 4F59B7A7 A9AAFB76 E01D5196 0C0F5180 9F40941C 1351A6C4 61D11FB0 9D73A55C B C828F272 D470673E AD3C5414 B8C8F06D D79EC0A7 984FADBE 7DE C2E05 1CD8E FB884 FE18C2FB 6371 quit spanning-tree mode pvst no spanning-tree optimize bpdu transmission spanning-tree extend system-id vlan internal allocation policy ascending interface FastEthernet0/1 switchport access vlan 404 switchport mode access interface FastEthernet0/2 switchport mode access interface FastEthernet0/3 interface FastEthernet0/4 interface FastEthernet0/5 interface FastEthernet0/6 interface FastEthernet0/7 interface FastEthernet0/8 interface FastEthernet0/9 interface FastEthernet0/10 Rapport PPE 2 Page 15 / 18

16 interface FastEthernet0/11 interface FastEthernet0/12 interface FastEthernet0/13 interface FastEthernet0/14 interface FastEthernet0/15 interface FastEthernet0/16 interface FastEthernet0/17 interface FastEthernet0/18 interface FastEthernet0/19 interface FastEthernet0/20 interface FastEthernet0/21 interface FastEthernet0/22 interface FastEthernet0/23 switchport access vlan 81 switchport mode access interface FastEthernet0/24 interface GigabitEthernet0/1 switchport mode trunk interface GigabitEthernet0/2 switchport mode trunk interface Vlan1 no ip address no ip route-cache interface Vlan404 ip address no ip route-cache ip default-gateway ip http server ip http secure-server ip access-list standard Unrestricted snmp-server community public RO Unrestricted control-plane line con 0 line vty 0 4 login local transport input telnet line vty 5 15 login local Rapport PPE 2 Page 16 / 18

17 transport input telnet End Configurations du Serveur DHCP Serveur DHCP Adresse IP : Masque : Passerelle : VLAN Configuration de l étendue «Qualite» pour le VLAN 81 sur le serveur DHCP Nom de l étendu : Qualite Etendu début : fin : Masque de sous-réseau : Configurations sur IPcop Configuration des cartes réseaux de l IPcop Interface Verte Adresse IP : Masque de sous-réseau : Interface Rouge Adresse IP : Masque de sous-réseau : Configurations du DNS et de la Paserelle DNS Primaire : DNS Secondaire : (Wanadoo) Passerelle par défaut (IPcop Lycée) : Routage sur IPCop Dans le fichier : vi /etc/rc.d/rc.local de l IPCOP Route add net gw eth0 Route add net gw eth0 -net Gw Eth Adresse Réseau Masque Passerelle Interface (par défaut) (IPcop connait car une de ses cartes réseau) (IPcop le connait car une de ses cartes réseau) (A ajouter dans IPCOP) (A ajouter dans IPCOP) Rapport PPE 2 Page 17 / 18

18 3.4. Jeu d essai Vlan 81 et Vlan 431 se ping : OUI Vlan 81 ping sa passerelle : OUI Vlan 431 ping sa passerelle : OUI Vlan 81 ping le proxy : OUI Vlan 431 ping le proxy : OUI Proxy ping Internet : OUI Vlan 81 ping Internet : OUI Vlan 431 ping Internet : OUI 3.5. Mots de passe PPE3 2groupeA.gsba.local Identifiant :Administrateur Mdp : Password1 RouteurA1 Identifiant : etudiant Mdp : Password1 CommutateurA1 Identifiant : etudiant Mdp : Password1 4.FIN Rapport PPE 2 Page 18 / 18