Plateforme spécialité réseau (PFRES)

Transcription

1 Table des matières Plateforme spécialité réseau (PFRES) Encadrant : O. Fourmaux Etudiants :,, N. Panhaleux, G. Teste 1 Cahier des charges Introduction Finalité Homogénéité Analyse Administration Scénarios Validation/Montée en charge Plan de développement Analyse et remise en état du matériel Documentation Analyse et conception Câblage, installation des OS et configuration des équipements réseaux Configuration des AS Test des scénarios et de montée en charge Diagramme de Gantt Contexte technologique Analyse Liste du matériel disponible et des leurs principales fonctionnalités Choix des scénarios Une plate-forme pédagogique Conception Introduction Architecture générale de la plate-forme Architecture de chaque AS Scénarios proposés Suivi et documentation Compte-rendu du projet Configuration globale de la plateforme Configuration des AS Annexes Wiki/Trac Documentation Possibilités d évolutions /39 Rapport final

2 1 Cahier des charges 1.1 Introduction L explosion de la bulle internet ces dernières années a forcé une évolution croissante des protocoles et des architectures mis en œuvre dans les différentes parties de l Internet et les différents types de réseaux mis en place dans les entreprises, les établissements publiques et autres. Il est donc crucial de mettre en œuvre des solutions adaptées, tant au niveau matériel que protocolaire, pour répondre aux nombreuses exigences des divers acteurs et utilisateurs des réseaux. 1.2 Finalité Une fois complétée, la plateforme représentera une version simplifiée de l architecture réseau de l Internet. Chaque rack représente un système autonome (AS) avec ses problématiques de sécurité, de routage, de qualité de service, La plateforme sera divisée en deux catégories d AS : 1. Les racks extérieurs représentant des réseaux d entreprise connectés à l Internet par des ISP. 2. Les racks intérieurs représentant les réseaux cœurs d ISP. 1.3 Homogénéité L intérêt de la plateforme est de pouvoir utiliser du matériel hétérogène afin de simuler au mieux le monde réel de l Internet. Les systèmes installés sur les différentes machines seront donc également différents entre les AS. A l intérieur d un AS, on mettra en place un ensemble homogène de systèmes d exploitation. 1.4 Analyse Le trafic généré devant être analysé, une sonde (type tcpdump ou wireshark) sera présente dans chaque AS. Le trafic dans les commutateurs pourra être dupliqué sur un VLAN dédié afin d être capturé par la sonde. 1.5 Administration Chaque machine devra être accessible à distance et devra être en mesure d accéder à Internet pour les mises à jour ou l installation de nouveaux paquets. Le statut de chaque machine pourra ainsi être connu en temps réel par les administrateurs. L accès distant se fera à l aide de la passerelle gate-net.rsr.lip6.fr (via sphinx.lip6.fr), les requêtes HTTP se feront via un proxy local sur la passerelle. 2/39 Rapport final

3 1.6 Scénarios La plateforme réseau fera la démonstration de cinq scénarios reflétant les possibilités techniques offertes par le matériel et les systèmes. 1. Sécurité Firewalls o Matériels DMZ : architecture en Y avec 2 firewalls matériels. La DMZ hébergera 3 services : mail, DNS et serveur web. o Logiciels Filtrage classique Certificats : accès SSL sur le serveur web ou mail. Tunnels sécurisés 2. VoIP et QoS QoS (DiffServ) SIP (téléphonie IP) 3. Routage et topologie Protocoles de routage (OSPF, BGP) VLANs NAT 4. IPv6 5. Administration et Supervision Nagios : état du réseau Cacti : graphique d utilisation du réseau et de machines 1.7 Validation/Montée en charge Lors de l installation de la plateforme, des machines génératrices de trafic seront également installées afin de valider les performances de la plateforme. Ces machines permettront aussi de valider la pertinence et l efficacité de la QoS mise en place pour la VoIP. 3/39 Rapport final

4 2 Plan de développement 2.1 Analyse et remise en état du matériel Durée : 2 semaines. Cette phase correspond à la découverte, le listing et les tests de la bonne marche des équipements mis à notre disposition. Le listing nous permet de prendre connaissance de tout le matériel à notre disposition et nous permet de nous faire une première idée de ce qu il est techniquement possible de faire avec. Cela va de pair avec la vérification du bon fonctionnement (ou de la remise en état dans le cas contraire) de tout le matériel. Cette partie est réalisée en collaboration des 4 participants. 2.2 Documentation Durée : toute la durée du projet. Cette phase, de par le fait qu elle est rythmée par la progression du projet, s étend sur toute sa durée. La documentation est primordiale pour comprendre le fonctionnement des différents appareils et avoir une idée précise sur les fonctionnalités à notre disposition pour la mise en place de l architecture retenue et des différents scénarios retenus. Cette partie est réalisée en collaboration par les 4 participants. 2.3 Analyse et conception Durée : 4 semaines. Cette phase correspond à la réflexion sur les différents aspects de la mise en place de l architecture et des protocoles utilisés au travers des scénarios. L analyse du matériel, des besoins spécifiques à nos scénarios et la conception d une architecture en adéquation avec l objectif fixé est primordial pour obtenir un résultat cohérent avec le contexte technologique actuel et les différents paramètres retenus pour les scénarios. Cette partie est réalisée en collaboration des 4 participants pour l architecture et la topologie globale de la plate-forme et individuellement pour chaque AS: : AS1 (Réseau entreprise 1, VLAN d administration, ) : AS2 (Réseau cœur 1, ) G. Teste: AS3 (Réseau cœur 2, ) N. Panhaleux: AS4 (Réseau entreprise 2, DMZ, Multi homing, ) 2.4 Câblage, installation des OS et configuration des équipements réseaux Durée : 2 semaines. Cette phase représente la mise en application de la réflexion sur la plate-forme entreprise les semaines précédentes. Le câblage, l installation et la configuration primaire des équipements réseaux sont 4/39 Rapport final

5 l application directe de la topologie retenue dans la partie précédente, avec quelques éventuels ajustements si des problèmes sont rencontrés. Tout ceci est fait de façon généralisée sur tous les AS afin d obtenir une configuration primaire de la plate-forme. Cette partie est réalisée en collaboration des 4 participants. 2.5 Configuration des AS Durée : 2 semaines. Cette phase correspond à la configuration interne à chaque AS pour un bon fonctionnement individuel et intégré au sein de la plate-forme. La configuration des AS est faite de façon individuelle afin d obtenir un résultat équivalent à la représentation faite dans la conception et permettre la mise en place des divers protocoles nécessaires au fonctionnement de la plate-forme et nécessaire pour les tests des scénarios. Cette partie est réalisée individuellement sur les AS attribués à chacun des participants (liste ci-dessus). 2.6 Test des scénarios et de montée en charge Durée : tout au long du projet, après configuration. Cette phase correspond aux différents tests correspondant aux scénarios préalablement choisis en fonction du contexte technologique actuel et réalisé sur la plate-forme. Le test des s effectue après chaque configuration d un scénario. Il commence par un test local puis un test avec un voisin direct avant de se généraliser par un test sur la plateforme entière. On procède de la même manière pour le test de montée en charge préalable qui validera la topologie retenue. Cette partie est réalisée en collaboration par les 4 participants. 2.7 Diagramme de Gantt 5/39 Rapport final

6 6/39 Rapport final

7 3 Contexte technologique L Internet peut être vu comme une gigantesque interconnexion de systèmes autonomes. Un système autonome (Autonomous System - AS - en anglais) est défini comme étant un ensemble de réseaux IP dont la politique de routage interne est cohérente et qui sont, en général, sous le contrôle d une même entité administrative. Le réseau interne d une entreprise ainsi que le réseau d un fournisseur d accès à Internet peuvent être des exemples de systèmes autonomes. Pour acheminer des données vers tout point de l Internet, il faut des mécanismes pour les faire transiter de manière cohérente entre les AS. Cependant, les accords économiques qui existent entre les différentes entités administratives font que l on n utilise pas forcément le chemin le plus court entre deux points. Les mécanismes de routage inter-as doivent prendre en compte ces décisions politiques de routage. A l'intérieur d un AS, ces facteurs économiques n affectent pas le routage des données. Il est possible donc de privilégier une politique du plus court chemin. Le but étant de faire transiter des données le plus rapidement possible avec un impact minimal sur la qualité du service que l on souhaite assurer. L Internet étant accessible par des personnes dont les intentions sont fort peu louables, les AS ont également un fort besoin de se protéger des intrus, mais également de protéger les données qu ils font transiter à l extérieur. C est pourquoi des politiques de sécurité et des pare-feux sont également nécessaires pour se protéger des intrusions, ainsi que des mécanismes comme les tunnels sécurisés pour traverser les environnements non sécurisés. Au niveau matériel, pour acheminer les données, deux principales catégories d équipements ont été conçues: les commutateurs et les routeurs. Les commutateurs sont basés sur l utilisation de la couche 2 du modèle OSI et donc sont par définition destinés aux réseaux locaux tandis que les routeurs opèrent au niveau de la couche 3 et se destinent à l interconnexion de ces réseaux. A cela s ajoute le matériel destiné à la sécurité des réseaux, les pare-feux principalement, mais d autres solutions matériels peuvent être utilisées pour résoudre les divers inhérents à la sécurité. Depuis les débuts d Internet, l évolution des réseaux et leurs utilisations se sont fait de manière rapide, créant de nouveaux moyens de communications et de nouvelles façons d aborder diverses facettes de l accès au média. Avec un nombre croissant d utilisateurs, la multiplication des usages et un besoin en bande passante augmentant de façon exponentielle, les protocoles de toutes couches ont su s adapter aux nécessités techniques de cette évolution. Forcé par l'épuisement de la réserve de blocs libres d'adresses publiques IPv4, le passage à sa version suivante, IPv6, devient peu à peu une réalité. Avec une cohabitation entre les deux protocoles actuellement en utilisation dans l Internet, cette transition est plus que jamais d actualité. Malgré que le protocole IPv6 puise son essence dans le milieu des années 90, la transition est toutefois loin d être achevée. Avec le nombre d utilisation du réseau explosant au fil des années, plusieurs problématiques 7/39 Rapport final

8 se sont posées. La diversité des besoins des applications actuellement présentes dans l'internet nous ont mené à développer des techniques pour différencier les différents flux et les traiter avec différentes priorités. Cette problématique est dévolue à la Qualité de Service (QoS), afin de répondre aux différentes contraintes en termes de temps de propagation, de débit et de pertes selon le type de flux. Le caractère non-linéaire du taux d'utilisation des réseaux et les caractéristiques d'un réseau IP rendent les réseaux IP fortement susceptibles à la saturation. Pour gérer l'augmentation du débit des différents flux sans provoquer de la congestion, plusieurs mécanismes ont été mis en œuvre. Malgré le fait que ce problème concerne la couche réseau du modèle OSI, c'est TCP qui intègre l'une des solutions à ce défi, permettant de faire un contrôle de congestion aux extrémités. La tendance de fusionner les réseaux de télécommunications et les réseaux du monde de l'informatique ont donné naissance à des technologies qui essaient d'adapter les services historiques à la nouvelle infrastructure. VoIP est le meilleur exemple de cette fusion. Le but de ce projet est de concevoir une plate-forme qui simule le fonctionnement d Internet tant au niveau de la topologie que des mécanismes. A l aide des équipements qui nous ont été fournis, quatre systèmes autonomes seront mis en œuvre, dont deux qui vont correspondent chacun à un réseau d un fournisseur d accès à Internet et les autres à deux entreprises qui sont connectées aux deux FAI. Étant donné que cette plate-forme sera utilisée par les générations d étudiants qui suivent, un certain niveau d évolutivité doit être assuré. Prenant en compte le but pédagogique de la plate-forme, la topologie physique qui sera implémentée ne correspondra pas tout à fait à une topologie que l on trouve dans le monde réel. Ainsi, pour exemplifier, à la sortie de chaque AS, on ne trouvera pas de routeurs mais des commutateurs, qui vont permettre la capture et l analyse de trafic à l aide des VLAN. 8/39 Rapport final

9 4 Analyse La plate-forme ayant déjà été utilisée les années précédentes, la liste du matériel disponible est déjà fixée. Cependant, la plate-forme a été déménagée dans les locaux du LIP6. Tout le câblage a été défait pour le transport des armoires. Le sujet que nous avons à traiter étant un peu particulier (on a déjà le matériel), on va premièrement faire la liste du matériel disponible et de leurs principales fonctionnalités, puis proposer des scénarios pour tirer parti au mieux du matériel et démontrer les principaux mécanismes utilisés dans les AS. 4.1 Liste du matériel disponible et des leurs principales fonctionnalités La liste suivante n inclut pas les serveurs Carri. Ce sont des hôtes XEN qui peuvent accueillir plusieurs machines virtuelles. Les hôtes XEN sont d anciennes Fedora 8. Elles seront donc réinstallées complètement avec un système d exploitation plus récent. 9/39 Rapport final

10 4.1.1 Armoire 1 - AS 1 (Réseau d entreprise) 1x Cisco Catalyst 3560 Series PoE-24 o Commutateur de niveau 3 o Ethernet Gigabit o Power over Ethernet (PoE, 15.4W) o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) o Routage IP o Support IPv6 o Qualité de Service (QoS, V3PN) o Agrégation de port (trunk) 1x Cisco ASA 5510 Series Adaptative Security Appliance o Pare-feu o Système de prévention d intrusion (IPS) o Réseaux privés virtuels (VPN) SSL, DTLS, IPSec 10/39 Rapport final

11 o Support IPv6 o Serveur DHCP o Translation d adresse (NAT) o Qualité de service (QoS) o Routage IP o IEEE 802.1x 1x Cisco 2800 Series o Routage IP o IEEE 802.1q VLAN o VPN o Qualité de Service (QoS, V3PN) o Routage inter-vlan o Support IPv Armoire 2 - AS 2 (Réseau cœur) 1x Cisco Catalyst 2960G o Commutateur de niveau 2 o Ethernet Gigabit o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) o Qualité de Service (QoS, V3PN) o Power over Ethernet (PoE) o Agrégation de port (Trunk) 2x Cisco 3825 o Routage IP o Ethernet Gigabit o Network Access Control (NAC) o IEEE 802.1q VLAN o VPN o Qualité de Service (QoS) o Support IPv Armoire 3 - AS 3 (Réseau cœur) 2x HP ProCurve G o Commutateur de niveau 3 o Jumelage des commutateurs o Support IPv6 o Agrégation de port (Trunk) 4x Juniper Network J4350 o Routage IP o Pare-feu o IEEE 802.1q VLAN 11/39 Rapport final

12 o VPN o Ethernet Gigabit Armoire 4 - AS 4 (Réseau d entreprise) 2x Juniper Network SSG20 o Pare-feu o Routage IP o Support IPv6 o Qualité de Service (QoS) o IEEE 802.1q VLAN o VPN o IEEE 802.1x Network Access Control (NAC) 1x Extreme Network Summit X450e o Commutateur de niveau 3 o Routage IP o IEEE 802.1x o Qualité de Service (QoS) o Ethernet Gigabit o Power over Ethernet (PoE) o Support IPv6 o Agrégation de port (Trunk) 2x Juniper Network J2300 o Routage IP o Qualité de Server (QoS) o VPN o IEEE 802.1x Network Access Control (NAC) On dispose également de plusieurs téléphones IP compatibles avec les deux commutateurs PoE installés dans les AS d entreprise (n 1 et 4). 4.2 Choix des scénarios Il va de soi que l on ne peut pas reproduire tous les mécanismes de l Internet sur la plateforme. Nous n aurions pas le temps de tous les recenser et de les intégrer de manière satisfaisante. Nous allons donc nous concentrer sur 4 scénarios qui nous semblent illustrer au mieux les problématiques majeures dans les réseaux actuels Routage et topologie Quand on pense aux réseaux, c est cette problématique qui nous vient à l esprit en premier : quels sont les mécanismes utilisés pour assurer le transit des données d un point à un autre. Dans ce scénario seront abordés les protocoles de routage internes et externes aux AS (comme BGP et OSPF) ainsi que le mécanisme de translation d adresses (NAT). On regardera également les mécanismes de VLANs utiles pour créer des topologies réseau virtuelles pour contourner des contraintes liées à l implantation physique du matériel. 12/39 Rapport final

13 4.2.2 IPv6 Les adresses IPv4 sont à présent épuisées. La nouvelle version d IP, IPv6 offre une solution à ce problème ainsi que des améliorations par rapport à l ancienne version, notamment avec un adressage sur 128 bits, une simplification de l en-tête pour une analyse plus rapide au niveau des routeurs et des en-têtes d extensions pour offrir de nouvelles fonctionnalités. Le matériel actif de niveau 3 dont nous disposons est déjà compatible avec ce nouveau standard, on va donc pouvoir le déployer sur la plate-forme. Le changement vers IPv6 n étant pas encore amorcé, ou tout du moins pas complet (la majorité des AS utilisant encore IPv4), la version 4 d IP sera toujours disponible sur la plateforme Sécurité La sécurité des données en transit, mais également de l AS lui-même est une préoccupation majeure. Il est important de protéger son matériel et ses données contre les intrusions. Les pare-feux matériels seront utilisés pour protéger l accès au réseau et aux serveurs applicatifs (notamment avec une topologie incluant une zone démilitarisée). Des pare-feux logiciels seront également activés au niveau des serveurs applicatifs pour une seconde ligne de défense. Il est également important de pouvoir communiquer vers son entreprise de façon sécurisée depuis l extérieur (autrement dit un environnement non sécurisé). On mettra donc en place des tunnels sécurisés avec SSL ou IPSec pour garantir l intégrité et la confidentialité de nos données lors de leur transit sur Internet VoIP et QoS La téléphonie IP est de plus en plus utilisée par les entreprises pour réduire leurs coûts de fonctionnement (par rapport à une téléphonie classique à commutation de circuit via un opérateur téléphonique). Cependant, les réseaux à commutation de paquets n allouent pas de ressources au préalable et ne permettent pas de garantir la qualité de service. Cependant il existe des mécanismes au niveau du matériel actif qui permettent d émuler cette allocation de ressources et ainsi garantir une qualité de service. Un serveur applicatif devra également être mis en place pour les communications VoIP Administration et supervision Administrer convenablement un réseau nécessite de pouvoir connaître à tout moment l état du matériel et des liens à tout instant dans le réseau. On utilisera pour cela des mécanismes de gestion comme SNMP et on installera des sondes sur les serveurs qui remonteront des informations vers une plate-forme de supervision. Administrer ne se limite pas seulement à résoudre les incidents qui surviennent sur le matériel. Il faut pouvoir également être capable de planifier les futurs besoin de l entreprise en réalisant des statistiques sur l utilisation des liens. On déploiera donc un outil capable de collecter des données d utilisation au niveau du matériel et de générer des statistiques d utilisation en temps réel et sur le long terme à partir de ces informations. 13/39 Rapport final

14 4.2.6 Répartition de charge Obtenir une meilleure optimisation des liens au sein d un AS. On pourra faire de l équilibrage de charge à la fois en entrée (x serveurs web pour un lien d entrée) mais aussi en sortie (x FAI pour alimenter le même site). Dans le premier cas, il faudra effectuer une redondance de serveurs et les synchroniser afin que chaque requête donne le même résultat quelque soit le serveur interrogé. Dans le second cas, il faudra mettre en place un mécanisme permettant de tester les différents FAI disponible et d orienter les paquets en fonction de la charge de ceux ci Agrégation de lien Afin d'accélérer les transits sur le réseau, on pourra faire de l'agrégation de liens. Ce procédé permettra, notamment dans les réseaux de cœur, de pouvoir évacuer ou recevoir plusieurs Gigabits de trafic par seconde sans provoquer de congestion dans les routeurs Simulateur de trafic Pour réaliser des traces de trafic réalistes et effectuer des tests de monter en charge, il devra être disposé dans les AS de simulateurs de trafic. Ils devront permettre de générer du trafic de type Web, Mail, IM avec une intensité réglable afin de pouvoir simuler de petites entreprises ou au contraire de grosses entreprises avec un nombre important de postes informatiques Services supplémentaires Il pourra être implémenté au sein des AS toujours plus de services afin de refléter au mieux la réalité de l Internet. Ces services pourront être de l ordre du transfert de fichiers local (NFS, AFP, SMB), transfert de fichier distant (FTP, Torrent, HTTP), messagerie instantanée (IRC, Jabber), Une plate-forme pédagogique La plate-forme a un but pédagogique. Il faut donc être capable de remodeler la topologie aisément sans avoir à modifier le câblage du matériel. On va donc créer notre topologie à l aide de VLANs. On doit également pouvoir être en mesure d analyser le trafic que l on génère. Le trafic généré au niveau des commutateurs pourra donc être répliqué sur un port dédié à la capture, relié à une sonde. 14/39 Rapport final

15 5 Conception 5.1 Introduction Dans un premier temps, notre tâche va consister à réassembler la plate-forme, c est à dire de câbler les machines, les réinstaller, les tester et pour certaine, les réparer. Il faudra aussi obtenir, des administrateurs du LIP6, une passerelle vers leur réseau afin de pouvoir accéder à la plate-forme de l extérieur de l Université et d avoir accès à Internet depuis la plate-forme. La suite du projet va consister à réaliser les différents scénarios décrits dans la partie 5d de ce rapport. 5.2 Architecture générale de la plate-forme VLAN d administration Pour chaque AS, un VLAN doit être créé, afin de pouvoir, de la passerelle, accéder aux différents équipements. De ce fait, il est possible de configurer, par le biais de la passerelle, n importe quel routeur, commutateur ou serveur de n importe quel AS. Ces VLANs contiennent donc les commutateurs administrables, les routeurs, les pare-feux et ordinateurs physiques et virtuels pour chaque AS ainsi que la passerelle VLAN de fonctionnement La topologie logique qu on met en place est différente de la topologie physique. On a des VLANs pour les liaisons point-à-point entre les équipements réseau (inter et intra AS) ainsi que sur les LANs dans les AS Port de capture de trames Tous les commutateurs de la plateforme sont capables de dupliquer le trafic d un ou plusieurs ports, ou de tout un VLAN. Pour chaque commutateur, on a réservé un port sur un des serveurs. Ce port sera dédié à la capture des trames dupliquées par le commutateur. Cette installation nous permet alors de mesurer, contrôler ou visionner ce qui passe sur le réseau. 5.3 Architecture de chaque AS AS1 : Modélisation d une entreprise standard Dans cet AS, nous devons simuler une entreprise disposant de matériel réseau Cisco. Dans cette entreprise, nous aurons un pare-feu protégeant le réseau local mais laissant passer les requêtes sur les serveurs de l entreprise (Web et mail notamment). Ce n est pas une DMZ (zone démilitarisée) mais un simple filtrage basé sur l adresse et port destination des paquets. Nous avons prévu les VLANS suivants: 210: Connexion vers l AS2 111: Lien entre le firewall et le routeur 15/39 Rapport final

16 112: Réseau de l entreprise 16/39 Rapport final

17 5.3.2 AS2 : Modélisation d un ISP standard Cet AS représentera le premier ISP de notre système. Celui aura pour clients l AS1 et l AS4 (le dernier étant connecté en mode multi-homing - aux deux ISPs) et comme pair l AS3 (également un ISP) On a prévu les VLANs suivants: 210, 320, 240 : Connexions vers les AS 1, 3 respectivement : Lien entre les routeurs. 222: Réseau public. 17/39 Rapport final

18 18/39 Rapport final

19 5.3.3 AS3 : Modélisation d un ISP répondant à des contraintes de haute disponibilité Les 4 routeurs Junipers permettront de créer une topologie en miroir garantissant une redondance du lien entre les deux routeurs de bordure. On profitera également de cette redondance pour mettre en place une répartition de charge entre ces deux liens. L AS devra également assurer la connectivité de ses clients vers le reste d Internet, ainsi que leur visibilité sur Internet. On aura donc à charge de fournir des services aux clients (comme DNS, NTP, QoS) et d assurer la visibilité des serveurs DNS et des IPs publiques des clients. On a prévu les VLANS suivants: 320 et 340: Connexions vers les autres AS 332, 333, 334 et 335: Liens entre les routeurs 331: LAN 336: Réseau public 19/39 Rapport final

20 20/39 Rapport final

21 5.3.4 AS4: Modélisation d une entreprise ayant une contrainte de disponibilité Internet Comme exprimé dans le paragraphe sur l AS2, cette entreprise devra disposer de deux ISPs. Elle pourra donc se connecter à Internet soit par l AS2, soit par l AS3. De plus, disposant de deux pare-feux nous pourrons réaliser une zone démilitarisée afin d'héberger les serveurs de l entreprise et ainsi pouvoir protéger de manière plus efficace le réseau privé de l entreprise. On a prévu les VLANs suivants: 240 et 340 : Connexions vers les FAI 441 : LAN de la DMZ 442 et 443 : Liens entre les Firewall et les routeurs 444 : Réseau entre les routeurs et le Load Balancer 445 : LAN de l entreprise 21/39 Rapport final

22 22/39 Rapport final

23 5.4 Scénarios proposés VoIP et QoS Dans ce scénario, nous devrons mettre en place la QoS afin de pouvoir faire passer les paquets vocaux avant les autres. De plus, il faudra mettre tous les dispositifs SIP en œuvre afin de pouvoir contacter les deux correspondants en liaison, à travers l Internet IPv6 Ce scénario consiste à faire évoluer notre plate-forme fonctionnant en IPv4 vers une plateforme fonctionnant en IPv6. En effet, afin de simuler au mieux le réseau Internet, qui subit aujourd hui une pénurie d adresses IPv4, nous devrons migrer notre reproduction d Internet actuel (en IPv4) vers une reproduction d Internet de demain (en IPv6) Sécurité Ici, pour répondre à un besoin de sécurité, nous créeront au sein de l AS4 (d entreprise), une zone démilitarisée (DMZ) afin d'héberger les serveurs Web, mail et DNS. De la sorte, leur réseau privé d entreprise ne sera plus exposé aux yeux de l Internet Routage et topologie Grâce à la multitude de routeurs qui ont été mis à notre disponibilité pour ce projet, pourrons mettre en œuvre une gestion de routage politique afin de pouvoir atteindre un point donné du réseau. Dans ce scénario, nous devrons paramétrer chaque routeur afin d indiquer les routes à suivre tout en gardant les protocoles de routage internes aux AS. Ainsi, BGP sera le protocole utilisé dans le cœur du réseau tandis qu OSPF sera implémenté au sein des entreprises Administration et supervision Afin de pouvoir contrôler à tout instant l état d un réseau chaque AS doit pouvoir savoir dans quel état se trouvent ses équipements. C est pourquoi, nous avons décidé de mettre en place Nagios au sein des AS qui nous permettra de suivre, en temps réel, l état du réseau qui lui est confié. 5.5 Suivi et documentation Suivi La supervision de l état d avancement du projet se fera à l aide du logiciel Trac, mis à disposition par le LIP6 sur le serveur Tibre. Chaque élément du développement et incident conduira à l ouverture d un ticket. On mettra également en place des «milestones» pour définir les éléments clés du développement ainsi que leur avancement Documentation La documentation sera compilée sur le wiki de Trac. Elle pourra ainsi être consultée 23/39 Rapport final

24 directement par les futures équipes qui travailleront sur la plate-forme. Elle contiendra des documents techniques sur la configuration des différents serveurs, de la topologie Adresse Le wiki est disponible à cette adresse : 24/39 Rapport final

25 6 Compte-rendu du projet 6.1 Configuration globale de la plateforme Réutilisation de l existant Pour reconstruire sur des bases saines, il a été décidé de faire table rase du passé, aussi bien au niveau des configurations des équipements réseau que des systèmes d exploitation Câblage Chaque AS a été connecté avec ses voisins. La plateforme devant être évolutive, on a cherché à connecter toutes les interfaces des équipements réseau aux commutateurs. Certaines interfaces n ont pas pu être câblées dû à un manque de place au niveau de certains commutateurs. Un peu plus de 80 câbles ont été nécessaires pour cette opération Passerelle La passerelle est la porte d entrée de l AS depuis l extérieur, et la porte de sortie vers l extérieur de la plateforme Solution de virtualisation Les AS disposent d au plus 3 machines physiques. Il a donc été décidé d installer une solution de virtualisation sur chaque serveur. Cela permet une grande flexibilité au niveau des systèmes d exploitation installés, ainsi qu une évolutivité des AS. La solution retenue est la distribution ProxMox. Elle propose une virtualisation basée sur qemu-kvm ou openvz, ainsi qu une interface web de gestion et d administration et un client web VNC. On peut également grouper les serveurs ProxMox en clusters et migrer les machines entre les nœuds du cluster VLANs et plan d adressage Le numéro des VLANs partagés entre les AS est xy0 avec x le numéro de l AS fournisseur et y le numéro de l AS client. Pour les AS pairs, on prend x > y. En IPv4, chaque AS dispose d une classe B : 10.x.0.0/16, avec x ϵ { 10, 20, 30, 40 }, respectivement pour les AS 1, 2, 3 et 4. Le réseau d administration est 10.x.130.0/24, en adéquation avec la configuration IP de la passerelle. Pour les connexions entre AS, on a utilisé des /30 dans la plage 10.x.0.0/24. En IPv6, chaque AS dispose d une plage d adresse définie comme suit : 2001:db8:x::/48 avec x le numéro de l AS. Pour les plages de chaque VLAN, on suit la formule suivante : 2001:db8:x:y::/64 avec y le numéro du VLAN. 25/39 Rapport final

26 6.1.6 Session à distance Les systèmes d exploitation sont tous accessibles via SSH. Les équipements réseau administrables sont tous accessibles par Telnet sur le réseau d administration Routage Le protocole de routage interne retenu par tous les AS est OSPF (OSPFv3 pour les IPv6). Pour le routage externe, une session ebgp a été établie entre chaque AS. Les réseaux publics sont exportés depuis OSPF vers BGP. La politique de partage pour les AS de cœur est d exporter toutes les routes apprises via le protocole BGP. Les AS d entreprise n exportent que leur réseau public. BGP et OSPF sont configurés pour gérer IPv4 comme IPv Supervision La solution de supervision retenue pour tous les AS est Nagios. Chaque AS gère son propre serveur de supervision. La connectivité vers les différents éléments du réseau est vérifiée à l aide d un Ping. 6.2 Configuration des AS AS1 (65001) - Entreprise Topologie de l AS La topologie est décrite dans la partie précédente Adressage IPv4 et IPv6, VLAN Pour l IPv4, le sous réseau où résident tous les serveurs a pour adresse /24. En ce qui concerne IPv6, le sous-réseau contenant tous les serveurs se voit attribuer l adresse 2001:DB8:1:112::/64. Les VLANs de l AS se décomposent ainsi: 1: Administration. o Ce VLAN n a pas d adresse IPv6. o IPv4: /24 112: Réseau public o IPv4: /24 o IPv6: 2001:db8:1:112::/64 111: Lien entre le routeur et le firewall o IPv4: /30 o IPv6: 2001:db8:1:111::/64 210: VLAN inter-as, contient le routeur MIR de l AS2 et le routeur de l AS1 o IPv4: /30 o IPv6: 2001:db8:2:210::/64 26/39 Rapport final

27 Routage Les routes annoncées pour les deux sessions BGP (IPv4 et v6) sont les suivantes: /24 en IPv6 2001:DB8:1:112::/64 pour IPv Serveurs implémentés DNS, DHCP Pour gérer le nom de domaine (as65001.com) et les noms d hôtes correspondant (en particulier les serveurs web et mail pour l accès distant), un serveur DNS a été installé, basé sur une distribution CentOS 5.5, il gère la translation adresse/nom que ce soit en IPv4 ou bien en IPv6 et la résolution inverse. Afin d être visible pour les autres AS et de pouvoir résoudre les noms globaux, il a été forwardé sur le serveur DNS de l AS2. Il a de plus été couplé à un serveur DHCP basique afin de gérer l attribution automatique d adresse IPv4 (l attribution d adresse IPv6 se faisant par le mécanisme d auto-configuration à partir de l adresse MAC). Web Afin de pouvoir faire sa promotion et aussi de pouvoir générer du trafic http, un serveur web a été déployé, lui aussi basé une distribution CentOS 5.5, il dispose d un adressage IPv4 et IPv6 fixe. Pour le côté service, cela repose sur apache dans une configuration minimale (page html par défaut). Mail Pour garantir la gestion d adresse et du trafic mail lié à l activité de l entreprise, un serveur mail a été déployé. Il dispose d adresses fixes, et est basé sur Ubuntu server En ce qui concerne les services déployés, Postfix s occupe de SMTP, Dovecot pour la gestion de POP3 et IMAP. Supervision La supervision du réseau d entreprise a été décomposée en trois serveurs distincts occupant des rôles précis. Tous les trois basés sur une distribution all-in-one FAN 2.1, le premier est dévolu à la centralisation et à l audit du réseau (nagios), il est épaulé par un serveur s occupant de sonder le réseau (nagios-poller) et d une base de données regroupant toutes les informations reçues et envoyées (nagios-db). L utilisation de 3 serveurs est justifiée par la volonté d une charge distribuée tant niveau processeur que de stockage, il est cependant possible de regrouper le poller avec la machine de monitoring principale afin d éviter le déploiement de trop nombreux serveurs dans le cas d un monitoring d un petit réseau. Actuellement le seul service monitoré est un Ping sur les équipements et hosts à intervalles réguliers afin de vérifier leur connectivité. VoIP (Asterisk) Occupant une place de choix dans les communications d entreprises, un serveur VoIP a été déployé dans la plateforme, basé sur une distribution all-in-one AsteriskNOW! 1.8. Ce dernier n est que partiellement configuré et il n existe qu une ligne locale non fonctionnelle à l heure 27/39 Rapport final

28 actuelle. Client En prenant en compte le fait que les postes de travail servent à naviguer sur internet ou consulter des mails entre autres et qu il faut des machines permettant de valider du bon fonctionnement de certains services, une machine cliente a été déployée sous Debian AS2 (65002) - Core VLANs et adressage Pour pouvoir cloisonner les équipements en réseaux isolés et simuler la topologie (logique) souhaitée, des VLANs ont été utilisés. Les VLANs mis en place et les adresses (IPv4 et IPv6) qui correspondent sont les suivants: 999 : Administration. o Ce VLAN n a pas d adresses IPv6. o IPv4: / : Réseau public o IPv4: /24 o IPv6: 2001:db8:2:222::/ : Lien entre les routeurs o IPv4: /30 o IPv6: 2001:db8:2:221::/ : VLAN inter-as, contient le routeur MIR de l AS2 et le routeur de l AS1 o IPv4: /30 o IPv6: 2001:db8:2:210::/ : VLAN inter-as, contient le routeur ISS de l AS2 et le Firewall2 de l AS4 o IPv4: /30 o IPv6: 2001:db8:2:240::/ : VLAN inter-as, contient le routeur ISS de l AS2 et le routeur Juniper1 de l AS3 o IPv4: /30 o IPv6: 2001:db8:3:320::/64 Toutes les interfaces de tous les équipements sont configurées statiquement, le serveur DHCP décrit dans la partie Services ne servant qu à faciliter l administration/configuration. Le routeur ISS n ayant pas suffisamment d interfaces physiques pour respecter la topologie et le connecter sur le VLAN d administration en même temps, une de ses interfaces a été connectée à deux interfaces virtuelles. Cela lui permet d avoir sur la même interface physique 2 adresses IP. Du côté du commutateur, l interface qui correspond à celle décrite ci-dessus a été mise en mode trunk pour laisser passer des trames avec des étiquettes VLAN différentes. L encapsulation utilisée est 802.1q. La même technique a été utilisée sur le routeur MIR pour préserver une symétrie. 28/39 Rapport final

29 Topologie La topologie décrite dans la partie Conception a été implémentée, inchangée Routage Les deux routeurs jouent le rôle de routeurs de bordure du système autonome. Ainsi ibgp est utilisé pour l échange de l information de routage entre les deux et ebgp vers les autres 3 AS auxquels on est connecté. Pour les routes IPv6 le choix a été fait de ne laisser que BGP assurer les échanges, ainsi OSPF est n est mis en place que pour les routes IPv4. Le filtrage en entrée a été configuré pour n accepter qu une seule route venant de l AS1 et du coté des AS3 et 4 une préférence locale plus élevée des routes en provenance de l AS3 a été choisie, pour forcer le trafic à destination de l AS4 à passer par l AS3. Cela nous permettrait de générer du trafic transversal, de l AS1 à l AS4 en passant par l AS2 et 3. Comme le firewall de l AS4 ne gère pas BGP en IPv6, la session ebgp vers cet AS a été configurée en multi-hop, son routeur étant derrière le firewall Services Sur chaque serveur, une machine virtuelle Debian a été installée. Celles-ci ont une interface virtuelle qui fait partie du sous-réseau public et une autre du sous-réseau d administration. Comme les machines physiques ne doivent pas offrir de services, elles ne sont atteignables que depuis le VLAN d administration. NTP Le Serveur1 fait office de serveur NTP, indispensable pour la synchronisation des horloges systèmes des machines ProxMox. Ce service est implémenté au niveau de la machine physique et non pas au niveau de la machine virtuelle Debian. Les services suivants sont tous implémentés sur les machines virtuelles Debian. DHCP Le Serveur2 offre le service DHCP sur le VLAN d administration ainsi que sur le VLAN public de l AS. Son rôle principal est de faciliter la connectivité d un ordinateur d administration/configuration sur ces deux réseaux locaux. DNS Ce service est hébergé par le Serveur1. Le domaine géré est as2.kp. Comme un serveur racine n a pas été implémenté sur la plate-forme, les requêtes DNS pour les autres 3 domaines correspondant aux 3 AS sont envoyées aux serveurs DNS l aide de la technique de zone forwarding. Le serveur gère les adresses IPv4 ainsi que IPv6. 29/39 Rapport final

30 HTTP Un serveur Apache2 a été installé sur le Serveur1. Il n héberge qu une page de démonstration. Ce serveur est aussi indispensable pour la mise en place du logiciel de supervision Nagios. FTP Pour pouvoir faire des tests et des captures de trames, un gros fichier a été créé dans le répertoire de l utilisateur michael. L accès anonyme n est pas disponible. Supervision Le serveur Nagios (Serveur1) est configuré pour lui permettre aussi de vérifier l état des services décrits ci-dessus qui tournent sur les Serveurs 1 et 2. Il vérifie aussi que les équipements réseau (routeurs et commutateur) sont administrables depuis le réseau en vérifiant que le service Telnet répond aux demandes de connexion AS3 (65003) - Core Infrastructure Les commutateurs HP Procurve G L AS dispose de deux commutateurs HP Procurve G disposant chacun 24 ports Gigabit Ethernet. Ils ont été jumelés pour créer un unique commutateur doté de 48 ports. Le jumelage est réalisé avec deux câbles 10-GbE Base CX4 branchés à l arrière des commutateurs. L intégralité des ports n étant pas utilisés sur les commutateurs et au vu de la bande passante disponible entre les deux commutateurs (20Gb/s pour une dizaine de ports à 1Gb/s utilisés), on considère que le jumelage ne générera pas un goulot d étranglement lors de la montée en charge du réseau. Le commutateur HP1 a été configuré comme maître du jumelage, et HP2 comme un esclave Le matériel de l AS est réparti équitablement entre les deux commutateurs. On a connecté un serveur et deux routeurs. En plus de ces équipements, chaque commutateur est connecté à un AS Topologie Une première topologie en carré avec deux routeurs de bordures du côté de l AS 4 et deux routeurs du côté de l AS 2 avait été définie. Elle a été par la suite abandonnée. En effet une telle topologie ne comporte pas de routeurs internes à l AS. Par exemple, si on avait voulu mettre en place une solution de QoS basée sur IntServ/RSVP, on n aurait pas pu voir les différences de configuration entre les routeurs de bordure et les routeurs internes. De plus, le commutateur de l AS 4 était plein et ne pouvait pas accueillir un second câble venant de l AS 3. 30/39 Rapport final

31 Ancienne topologie 31/39 Rapport final

32 Elle a été finalement remplacée par une topologie en losange. En plus d offrir une hétérogénéité dans le rôle des routeurs, cette topologie est également plus simple à appréhender et à configurer. Chaque routeur gère un point géographique de l AS. Au nord et au sud, les routeurs de bordure gère l interconnexion avec les AS voisins. À l est et à l ouest, les routeurs internes gère les deux réseaux (public et privé) de l AS. VLANs Les VLANs mis en place pour réaliser la topologie de l AS peuvent être classés dans 3 catégories: Interconnexion avec un AS : 320 et 340. Lien direct entre deux équipement: 332, 333, 334 et 335 (, 337 et 338. Les deux derniers avaient été mis en place pour un maillage complet, avant la mise en place de réflecteurs de route ibgp.) LAN : 331 (public) et 336 (privé) On a également un VLAN pour l administration de l équipement et des machines qui porte le numéro 2. Pour les besoins de multihoming de l AS 4, une connexion entre l AS 2 et l AS 4 est nécessaire. Le commutateur de l AS 4 étant plein, un VLAN, numéroté 240, a été mis en place pour simuler une connexion directe entre les deux AS. Dans l AS 3, aucun autre équipement que les commutateurs n appartient à ce VLAN. Le débit maximum de l AS 4 étant de 200Mbps, le lien Gigabit ne saturera pas, même à pleine charge. Tous les paquets qui transitent à destination de l interface d un routeur sont taggés 802.1q. Adressage IPv4 Les deux LANs sont respectivement /24 et Pour les connexions directes entre les équipements, on avait tout d abord utilisé des /30 dans la plage /24. La tailles de plages a été agrandi par la suite en /29. Les commutateurs HP possédant quelques fonctionnalités de niveau 3, des IP ont été assignés aux VLANs pour pouvoir réaliser de tests de connectivité depuis le commutateur. Adressage IPv6 Pour s y retrouver plus facilement, les 8 derniers bits des adresses IPv6 sont exactement les même que ceux des adresses IPv4. Les routeurs annoncent les préfixes réseau dans les LAN (VLAN 2, 331 et 336) pour la configuration automatique Routage Préfixes partagés L unique préfixe partagé par BGP correspond au réseau public de l AS, qui contient les 32/39 Rapport final

33 serveurs applicatifs: /24 en IPv4 et 2001:db8:3:336::/64 en IPv6. Répartition de charge Une répartition de charge par paquet a été mise en place au niveau des routeurs de bordure. Elle est faite en se basant sur les informations de niveau 3. ibgp Le partage des routes BGP à travers tout l AS est assuré par des sessions ibgp. Cette solution nécessitant un maillage complet des routeurs, deux VLANs (337 et 338) ont été ajoutés pour connecter les routeurs nord-sud et est-ouest. Réflecteurs de routes Finalement, pour simplifier la topologie de l AS et sa configuration, les deux VLANs ont été supprimés et les routeurs est-ouest ont été configurés comme réflecteurs de routes. Ils propagent les routes apprises via une session ibgp à tous les autres routeurs du groupe. Multihop Pour la session ebgp en IPv6 vers l AS 4, on a été obligé de configurer la session en multihop directement à travers le firewall de l AS, ce dernier ne gérant pas BGP en IPv Services Outre la connectivité, l AS propose trois services sur Internet. Serveur DNS Le serveur DNS gère le nom de domaine de l AS: core2.co.uk. Il connait également le SOA du nom de domaine de l AS 4 : ent2.com. Il n autorise pas la récursion. Son IP est / 2001:db8:3:336::1 Synchronisation de temps. Le serveur NTP public propose une source de temps avec un stratum de 4. Il se synchronise sur un serveur de temps de stratum 3 dans le réseau interne de l AS. Il est accessible via ntp.core2.co.uk. Performance réseau Un serveur a été mis en place pour réaliser des tests de montée en charge. On y a installé un serveur iperf pour y générer du trafic TCP et UDP. Une autre machine est disponible dans le réseau interne avec un client iperf pour générer du trafic entre les deux LANs et saturer le réseau. On a également un serveur web Apache, avec un fichier de 1Go disponible en téléchargement pour des tests de débits HTTP. Il est accessible via ou iperf.core2.co.uk. 33/39 Rapport final

34 6.2.4 AS4 (65004) - Entreprise Les VLANs de l AS et adressage Pour une meilleure facilité d analyse, tous les équipements de cet AS sont directement connectés au switch. (i.e.: Le lien Firewall -> Routeur est en réalité Firewall -> Switch et Switch -> Routeur ). Ne disposant que d un seul switch, l isolation de chaque sous réseau se fait à l aide de VLAN dont voici la liste et la plage d adresse utilisée pour chaque : Core1toAS4 : Connectivité Internet par l AS Core2toAS4 : Connectivité Internet par l AS DMZ o IPv4 : /24 o IPv6 : 2001:db8:4:441::/64 o De plus les machines hébergées dans cet AS sont numérotées de 31 à 39 car hébergées sur le serveur 3. (exemple : , 2001:db8:4:441::31 pour le serveur DNS) F1toG1 o IPv4 : /30 o IPv6 : 2001:db8:4:442::/ F2toG2 o IPv4 : /30 o IPv6 : 2001:db8:4:443::/ GWtoLB o IPv4 : /24 o IPv6 : 2001:db8:4:444::/ LAN o IPv4 : /24 o IPv6 : 2001:db8:4:445::/64 Les machines du LAN sont réparties sur les serveurs 1 et 2. De ce fait, la répartition est effectuée de la façon suivante : - Configuration par adressage fixe : Serveur 1 - Configuration par adressage DHCP : Serveur 2 (numéroté de 21 à 29 comme pour la DMZ). En ce qui concerne l adressage fixe, il ne respecte pas de règle spécifique. Afin d obtenir des adresses faciles à retenir, les adresses 40 et 50 désignent les serveurs Nagios et Asterisk et 254 le LoadBalancer qui sert de passerelle pour ce sous-réseau Topologie de l AS DMZ ( VLAN 441) Cette zone a été créée afin d héberger les serveurs de la société qui doivent être accessible aussi bien depuis l Internet que depuis le LAN. Cette architecture permet d isoler totalement le LAN de l entreprise et permet donc de protéger les serveurs locaux. De ce fait, si le serveur Web ou DNS de l entreprise est compromis, les serveurs de VoIP et de monitoring ne risque 34/39 Rapport final

35 pas d être contaminé. Réseaux entre Routeur et Firewall (VLAN 442 et 443) Sous-réseaux permettant d isoler le trafic entre les routeurs et firewalls de celui des autres réseaux. Entre les routeurs et le Load Balancer (VLAN 444) Un réseau est en place afin que le trafic sortant du LAN soit réparti sur les deux routeurs. De ce fait, ce trafic entre dans le Load Balancer qui le réparti sur l un ou l autre des routeurs (Juniper). LAN (VLAN 445) Dans ce réseau résideront tous les ordinateurs de la société. Il accueille aussi les téléphones IP (Il faudra peut-être dans une version future de la plateforme, penser à créer un réseau dédié à la VoIP) Hôtes hébergés DMZ La DMZ est hébergés sur le serveur 3. Elle héberge deux serveurs : Un serveur Web (Fonctionnant avec Apache) Héberge les services Web de la société (Non existant). Étant synchronisé avec le serveur NTP du Core2, il sert de serveur de temps au sein de l AS. Un serveur DNS Ce serveur résout les noms du domaine ent2.com. Il est accessible des Core2 et Core1 ce qui lui permet de résoudre des noms de son domaine pour les connections entrantes. De plus, il accède au serveur DNS du Core2 afin de résoudre les noms qu il ne connait pour le compte des réseaux intra-as. LAN Les machines du LAN sont hébergées sur les serveurs 1 et 2. Parmi ces machines nous avons : Deux clients o Un client sous Debian o Un client sous Ubuntu Un serveur Nagios o Fonctionne avec une distribution All in one : FAN o Configurés à l aide de Centreon. Un serveur Asterisk o Fonctionne avec une distribution All in one : AsteriskNOW! o Deux lignes téléphoniques sont configurés dans sur le serveur Asterisk en local. (Postes 100 et 200) 35/39 Rapport final

36 Un Load Balancer o Fonctionne sous Debian o Le Load Balancer réparti les connexions sortantes sur les deux FAIs de manière aléatoire grâce à l utilisation de deux routes par défaut ayant le même poids Détails techniques Le fonctionnement de cet AS est relativement simple. Sur le plan technique, toutes les machines sont câblées en Gigabit et peuvent communiquer à cette vitesse au sein de leurs propres réseaux. Cependant, traverser un routeur ou un firewall implique de passer par des liens à 100 Mbps théoriques. Une des solutions utilisées pour augmenter les débits est d être multihomé. On a donc la possibilité d avoir un débit maximal théorique de 2x 100 Mbps sur l Internet Scénarios implémentés Globaux à la plateforme Routage inter-as (BGP) et intra-as (OSPF) Connectivité IPv6 Supervision des équipements Spécifiques à certains AS DMZ (AS 4) Multihoming (AS 4) Load balancing (AS 4 & 3) Partiellement ou non-implémentés VoIP (AS 4) QoS (non-implémentée) Tests et validation des scénarios Pour chaque scénario mis en place, des tests graduels ont été réalisés tout au long de la mise en place. Les tests ont d abord été faits en local, puis se sont étendus aux voisins une fois ceux-ci configurés, pour finir sur un test sur l ensemble de la plateforme. Une fois que tous les tests ont été passés pour chaque AS, le scénario est validé Documentation Une documentation a été mise en place sur le Wiki de la plateforme, tout au long du projet. Elle recense les descriptions du fonctionnement des AS et des services mis en place. On y trouve également des documentations techniques sur les configurations des équipements réseau, les configurations des différents services et les mots de passe. 36/39 Rapport final

37 7 Annexes 7.1 Wiki/Trac Documentation La documentation technique du projet, qui faisait partie du cahier des charges, se trouve sur le Wiki de la plateforme, à l adresse : Possibilités d évolutions Global Mise en place de la QoS o Policing & Shaping o Plusieurs files d attente o Politiques de gestion des files o Politiques d ordonnancement des files Mise en place de serveurs de mails Mise à niveau de la passerelle qui est vétuste Investissement dans des équipements Gigabit Ethernet pour les AS d entreprise Investissement dans des GBICs/SFPs et de la fibre optique pour les AS de cœur o Permettrait d avoir des liens inter-as à 10Gbps o Permettrait aux futurs étudiants d acquérir une expérience dans la manipulation de la fibre optique. Amélioration/Spécialisation des configurations de supervision Chaque AS a un service Nagios qui fonctionne avec des réglages de supervision basiques. Il faudrait à terme configurer SNMP sur tous les équipements, et installer NRPE/NCSA sur tous les serveurs. Un paramétrage plus avancé afin de tester la santé des machines et des services, et l état du réseau devrait être mis en place AS1 Services o Web Création d une page exemple (SSL/TLS, certificat) et de services complémentaires (FTP) 37/39 Rapport final

38 o Trafic Mettre en place un simulateur de trafic. o Authentification Mise en place d une authentification centralisée pour les postes clients (NIS/LDAP) o Stockage Ajouter un serveur NFS pour un stockage centralisé des données des postes clients. o Systèmes d exploitation Utiliser d autres types de distribution, en particulier la mise en place d un réseau Windows. Routage Mettre en place IS-IS afin de pouvoir observer les différences avec les techniques de routage intra-domaine OSPF/RIP. Matériel Mettre à jour l ASA pour des fonctionnalités IPv6 accrues AS2 Ajouter et configurer de nouveaux services o Ajouter un serveur NTP sur une machine virtuelle o Authentification des utilisateurs par NIS ou LDAP Configuration avancée des services existants o Apache: IP-based Virtual Hosting o Apache + DNS : Name-based Virtual Hosting Ajouter de la redondance au niveau des services o DNS: ajouter un serveur secondaire o DHCP serveur backup (plages disjointes ou FailOver) Port mirroring pour la capture et analyse du trafic Installation des systèmes d exploitation hétérogènes pour simuler l administration des systèmes dans un environnement réel. o autres distributions Linux que Debian o BSD o Windows AS3 Mise à jour des JunOS pour supporter complètement l IPv6 o NTP o Firewall MPLS Forwarding 38/39 Rapport final

39 7.2.5 AS4 Ajouter des services : o Ajouter la compatibilité IP Mobile o Maintenir des connexions VPN (Etudier l'intérêt...) Port trunking : o Seuls 3/5 ports sont utilisés sur les firewalls. Il pourrait être intéressant d'utiliser les deux derniers pour obtenir un débit 2 fois plus important sur une zone. Load balancing : o Actuellement, un LoadBalancing bête et méchant est utilisé. Le LB envoie le trafic un coup à gauche, un coup à droite. Il pourrait être mis un place un système qui vérifie la charge des liens avant de forwarder le trafic. Mettre à jour les équipements : o Notamment les SSG20. Ils disposent d'un des premières versions de ScreenOS compatible IPv6. Nombres de fonctionnalités ne sont pas prises en charge (Oblige à faire tourner BGP pour IPv6 sur les Gateway par exemple) Simulateur de trafic : o Afin de pouvoir faire des tests sur des cas d'utilisations réelles, il serait bien de mettre en place des PC générant du trafic propre aux entreprises en activité (Mail, Facebook, MSN, Jeux en ligne,...) Réseau Microsoft : o Si un(e) passionné(e) de l'administration Microsoft, installer des machines Windows dans l'as (Voir pour avoir des licences MSDNA...) Mise en place de sonde(s) : o Il serait bien de pouvoir visualiser quelques informations sur le trafic au sein de l'as comme : Par qui arrive le trafic dans la DMZ? Qui dans le LAN génère du trafic? Quel est le FAI le plus utilisé en entrée? en sortie? Détecter des goulots d'étranglement. 39/39 Rapport final