Refonte du LAN, Administration, Performance & Sécurité. Projet réalisé par Jean-Damien POGOLOTTI et Vincent LAYRISSE dans le cadre d un appel d offre
Description du projet Le design suivant a été réalisé suite à un appel d offre d une grande société toulousaine concernant la refonte du LAN, son administration et sa sécurisation. Cet appel d offre a été gagné et la solution mise en place. Tous les équipements réseaux sont de type Cisco, une redondance du cœur de réseau en OSPF a été implémentée. Les outils retenus sont les suivants : HP Openview NNM pour la cartographie du réseau et la détection de pannes. MRTG pour la partie suivi de performance, capacity planning. CiscoWorks LMS pour la gestion de la configuration des équipements réseaux. CiscoWorks ACS pour la gestion de la sécurité via le protocole TACACS. Plusieurs profils d utilisateurs sont configurés afin de séparer les rôles d administration. SNMP ICMP Openview NNM / MRTG 3 Serveurs sont dédiés à l administration de tout le réseau. Ils sont tous accessibles en HTTP par les opérateurs. HTTP Telnet SSH Client NNM SNMP Telnet ICMP CiscoWorks LMS Administrateur HTTP Telnet SSH Client NNM Réseau TACACS LDAP CiscoSecure ACS Active Directory Maintenance Réseau
Cartographie et détection de pannes Utilisé dans le travail quotidien des équipes de supervision, NNM présente la cartographie du réseau ( incluant une vue des sites, des routeurs, segments LAN, serveurs, équipements IPs ). Cette vue utilisée en tant que premier niveau d expertise présente les équipements sous forme de couleurs : vert en fonctionnement normal, rouge en cas de panne. Les couleurs étant propagées entre les cartes, la localisation des problèmes est quasi instantanée. Les traps générées par les équipements Cisco sont envoyées vers le serveur CiscoWorks qui après traitement ( remontant ou pas une alarme ) sont ensuite envoyées au serveur NNM pour historisation. Si des problèmes sont détectés en dehors de la plage horaire couverte par l équipe de supervision, une alerte par SMS est automatiquement envoyée à l administrateur réseau qui, suivant la gravité, peut décider d intervenir. Polling ICMP / SNMP MaJ Temps réel HP Openview NNM Supervision Réseau Envois d alertes Mails Forward du message TRAP SNMP Réseau Envois d alertes Mails CiscoWorks Serveur SMTP
Gestion des configurations L outil CiscoWorks Ressource Manager Essentials est un outil développé par Cisco destiné à assurer le suivi du parc matériel routeur / switchs de la même marque. Il est configuré de sorte à inventorier de façon régulière les équipements composant le RdSU, traquer les modifications apportées aux matériels et les modifications de configuration. L historisation des versions d IOS ainsi que des configurations des équipements actifs permet de facilement revenir à une version antérieure du réseau sans avoir à repasser manuellement en console sur tous les switchs / routeurs La politique de backup des serveurs a été adaptée grâce à un plan de disaster recovery efficace permettant de restaurer le serveur Cisco Works ainsi que la base de données contenant les configurations. Tous les jours Récupération de la configuration Vérification des modifications CiscoWorks LMS Envois d un Syslog L archivage des configurations se fait de façon automatique tous les jours. Si une personne de l équipe réseau modifie la configuration de façon manuelle ( telnet, ssh ), un Syslog est envoyé au serveur LMS et déclenche l archivage automatique. Maintenance Réseau Modification d une configuration Réseau
Gestion de la sécurité L accès à tous les équipements réseaux composant le RdSU s effectuera en utilisant des comptes Active Directory identifiés. La gestion des comptes est simplifiée à l extrême car fondée sur l appartenance de groupes dans l AD. Plusieurs groupes sont crées afin de séparer les rôles : Accès en lecture ( opérateurs ) Accès en écriture ( opérateurs / administrateur ) Accès durant une plage horaire. Le serveur CiscoSecure ACS est dédié à ce rôle d autorité de vérification d accès. Il conserve les logs des tentatives de connexion et peut être très utile pour traquer les tentatives pirates. Tentative d accès Contrôle d accès Validation des crédits Administrateur ou opérateur Serveur CiscoSecure Active Directory Réseau
Cartographie du réseau La console NNM qu utilise l équipe de supervision réseau permet de suivre en temps réel toutes les défaillances des équipements. Liée aux outils de la suite CiscoWorks elle permet rapidement à l opérateur par simple clic sur l équipement en défaut d aller sur son interface d administration ( via CiscoView ou RME par exemple ) La cartographie automatique de NNM est enrichie par l introduction de sites, conténaires et vues. Cette représentation graphique permet instantanément de savoir quel type d équipement est en panne (routeur, switch, serveur, caméra, ) et dans quel site il se trouve. Détection de panne Gestion des alarmes HP Openview NNM est le point central depuis lequel sont configurées toutes les alarmes. En définissant des listes d équipement suivant leur importance, l envoi d alerte est réduit au minimum critique.
Gestion des performances MRTG est l outil qui réalise la collecte d indicateurs SNMP ou ICMP. Il permet d agréger sur de longues périodes ces compteurs et de les afficher sous forme graphique. MRTG est un programme gratuit codé en perl qui se configure via fichiers textes. Afin d en rendre l administration plus aisée, un framework en php a été développé autour. Il permet d analyser les performances du cœur de réseau en terme de disponibilité, de temps de réponse, de débit, de charge CPU.. Au sens plus large, il permet également de monitorer l utilisation des serveurs ( CPU, Disques, Mémoire ) ainsi que l évolution des onduleurs ( charge des phases, mode normal / secouru ), mais également n importe quel équipement IP / SNMP. MRTG est configuré de sorte à conserver toutes les périodes d indisponibilité ( non réponse à une requête ICMP ) dans une base de donnée MySQL sans faire d agrégation ni de moyennes. Cela permet de générer facilement des rapports de disponibilité de services par équipement et sur une période donnée. Site A Site B SNMP/ICMP Site C Server MRTG Cœur de Réseau Site D Le serveur interroge chaque compteur 1 fois toutes les 5 minutes. L utilisation CPU, mémoire, la disponibilité et les temps de réponse sont monitorés sur les équipements du cœur de réseau RdSU. L utilisation des liens fibres peut également être historisés. Tout équipement IP peut être monitoré ( en terme de temps de réponse et de disponibilité ). Les périphériques SNMP comme les onduleurs & les serveurs seront suivis de façon plus fine ( CPU, disques, charges ).