Actualisation Septembre 2006 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 1
Table des matières.!"# $% &%' #"$' (%) % * "$' %+) % +!,-%%./ 01) 2/.!!" #!" $! % 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 2
A Généralités. Afin d atteindre à terme l architecture cible (architecture 1 ci-après) et permettre la mise en place des ENT (environnements numériques de travail), plusieurs déclinaisons de cette dernière peuvent être envisagées en fonction des projets des collèges et des moyens financiers disponibles. Ce document est susceptible d évoluer en fonction des évolutions techniques à venir et sera mis à jour au fur et à mesure. La dernière version sera publiée sur les sites du SIGAT-CRIA et de la mission TICE. Le fournisseur d accès internet choisi doit pouvoir fournir une ou des adresses IP fixes et publiques. B Choix de l infrastructure adaptée à une connexion ADSL. Aide au choix : En fonction des services attendus, le tableau page suivante permettra de choisir l architecture réseau adaptée. Les architectures sont évolutives et peuvent être déployées en l'absence de certains serveurs dans les différentes zones. Une prévisite est obligatoire avant toute installation modifiant l'architecture du réseau de l'établissement (connexion Adsl, mise en place d'un pare-feu, mise en place de serveurs en zone commune, etc..). Dans la mesure du possible, afin d aider les établissements à effectuer un choix cohérent en fonction des services souhaités, une intervention conjointe SIGAT-CRIA/AIDAT et Mission TICE/personnes ressources des pôles d appui pourra être organisée. Pour chaque type d infrastructure les différents services sont explicités à la suite du tableau. Signification des sigles utilisés : DMZ signifie : demilitarized zone ou zone démilitarisée ZMI signifie : zone mutuelle interne MNF signifie : Multi Network Firewall ou Pare-feu multi-réseaux SLIS signifie : Serveur de communications Linux pour l'internet Scolaire 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 3
SERVICES sur le réseau administratif et pédagogiqu e 1. Filtrage des accès à Internet De base, avancé et mots clés Autonomi e du filtrage (pédagogi e) 2. Contrôle des accès internet en classe (pédagogi e) 3. Compatibili té Environne ments Numérique s de Travail (ENT) 4. Accès aux espaces personnels depuis le domicile (pédagogie) Préconisations d architecture 5. Télé-administration serveurs SLIS Magret Amon Horus 6. Zone mutuelle Interne (ZMI) 7. Extranet (DMZ) Serveurs nécessaires Connexions Internet nécessaires Architecture 1 (Cible) (4) E T 1 SLIS (1) 1 MNF (1) 1 AMON options : 1 serveur dans DMZ (1) 1 serveur dans ZMI (1) 1 connexion avec 8 adresses IP (2) Architecture 2 (Amon // Slis) (5) E T 1 AMON 1 SLIS (1) option : 1serveur dans DMZ (1) 1 serveur dans ZMI (1) 1 connexion avec 8 adresses IP (2) ou 2 connexions avec chacune 1 adresse IP Architecture 3 (Slis derrière Amon) (3) (3) O U 1 AMON 1 SLIS (1) option : 1serveur dans DMZ (1) ou ZMI (1) 1 connexion avec 1 seule adresse IP (1) voir signification page précédente (2) vendues par bloc de 8 au delà d une adresse (3) uniquement depuis le SIGAT-CRIA (4) nécessite une demande auprès de la mission TICE (5) sous réserve de l ouverture d un accès au travers du SLIS 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 4
Comprendre les différents services accessibles pour la pédagogie et l administratif : 1 - le filtrage des accès à Internet : Conformément au courrier du Rectorat en date du 13 mai 2004 (ref AMG/MN/2004-05-75) les collèges doivent mettre en place un outil de filtrage des accès à Internet sur le réseau pédagogique. Les serveurs AMON comme SLIS permettent de filtrer les accès à Internet grâce à une liste noire (blacklist) mise à jour quotidiennement c est le filtrage de base. Un filtrage que nous appellerons - avancé - permet sur SLIS et AMON, grâce à une interface de gestion accessible aux gestionnaires des différents réseaux, de rajouter des urls de sites ou des domaines à filtrer, en plus des sites de la liste noire. Les serveurs SLIS et AMON permettent aussi de réaliser, grâce à l interface déjà citée, un filtrage encore plus fin par mots clés. Ainsi, les sites dont l'url ou la page contient les mots clés à filtrer sont bloqués. 2 - le contrôle des accès à Internet en classe (Pédagogie) : Sur les réseaux pédagogiques équipés des modules MAGRET (v6.4 et supérieure), une interface accessible aux enseignants, leur permet en direct de dialoguer avec les serveur SLIS (v3.2 et supérieure) afin d ouvrir ou fermer les accès à Internet pour une salle, une classe, des machines particulières, un utilisateur, un groupe d élèves pendant une période donnée (séquence pédagogique, journée, année.) 3 compatibilité Environnements Numérique de Travail (ENT) : Les fonctionnalités avancées du pare-feu (lien sécurisé entre l ENT et le réseau de l établissement) et l architecture assurent une complète compatibilité avec les environnements numériques de travail. 4 accès aux espaces personnels depuis le domicile (pédagogie) hors ENT : Pour des besoins spécifiques et en nombre limité, des certificats peuvent être émis par la Mission TICE permettant l accès aux espaces personnels des enseignants depuis leur domicile. 5 - la télé-administration (administration depuis l'extérieur de l'établissement) : Sur le réseau pédagogique, le serveur SLIS et le serveur MAGRET peuvent être administrés à distance par les gestionnaires de réseaux depuis leur domicile et avec l assistance des services académiques (mission TICE, CRIA et AIDAT). Selon les architectures, ces possibilités d administration diffèrent. Sur le réseau administratif, les serveurs AMON et HORUS peuvent être administrés à distance par le SIGAT-CRIA. Tous les serveurs disposent cependant d interfaces accessibles depuis l intérieur de l établissement. 6 - la zone mutuelle interne (ZMI) : Dans cette zone peuvent être installés des serveurs sur lesquels seront mutualisées des données et/ou des applications accessibles uniquement depuis les réseaux administratif et pédagogique. Exemples : intranet, logiciels de notes, de gestion des absences, de cahier de texte 7 - l extranet (DMZ) : Dans cette zone peuvent être installés des serveurs accessibles depuis l Internet (serveur Web,, module de saisie ou consultation des notes via internet. par exemple). Attention : La connexion Internet ADSL ayant généralement un débit asymétrique, le débit en sortie étant plus faible que le débit entrant, la connexion risque de ne pas être suffisante pour offrir un service de qualité et même nuire aux usages en interne du fait de l occupation de la bande passante montante. 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 5
C Architectures possibles. Architecture 1 : architecture cible (actuellement déployée dans les lycées) : 2 pare-feux en parallèle, 1 connexion à internet, une zone mutuelle interne et un extranet Caractéristiques : un seul abonnement Internet haut débit (1024 minimum) par Routeur avec plusieurs adresses IP fixes publiques Services : - filtrage des accès à Internet avancé - contrôle des accès à Internet en classe - télé-administration possible des serveurs AMON, SLIS, HORUS et MAGRET - zone mutuelle interne ZMI (pour un logiciel de notes mutualisé réseau administratif et pédagogique (par exemple) et zone extranet DMZ (pour la consultation et saisie des notes depuis internet par exemple) Conditions optimales de fonctionnement : - Magret v 6.4 et supérieures sur le réseau pédagogique - gestionnaire de réseau formé Eléments nécessaires à la mise en oeuvre : 1 abonnement ADSL avec 8@IP fixes et publiques (soit 5 adresses utilisables par l établissement) 1 serveur Amon, 1 serveur SLIS et 1 serveur MNF (pour les préconisations matérielles se reporter au document «Préconisations matérielles» sur le site du SIGAT-CRIA et de la mission TICE) optionnel : 1 serveur pour la zone mutuelle interne (ZMI), 1 serveur pour la zone extranet (DMZ) et un système d exploitation compatible en fonction du logiciel choisi. 1 abonnement MNF (contacter la mission TICE pour plus d informations) 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 6
Architecture 2 : 2 pare-feux en parallèle, une zone mutuelle interne et 1 ou 2 connexions à internet Ou 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 7
Caractéristiques : Un seul abonnement Internet haut débit (1024 minimum) par routeur avec plusieurs adresses IP fixes publiques ou 2 abonnements Internet haut débit (1024 minimum) par modem avec chacun une adresse IP fixe publique Services : - filtrage des accès à Internet avancé - contrôle des accès à Internet en classe - télé-administration possible des serveurs SLIS, MAGRET (sous réserve de l ouverture d un accès au travers du SLIS), AMON et HORUS. - zone mutuelle interne ZMI (pour un logiciel de notes mutualisé réseau administratif et pédagogique -par exemple) et zone extranet DMZ (pour la consultation et saisie des notes depuis internet par exemple) Conditions optimales de fonctionnement : - Magret v 6.4 et supérieures sur le réseau pédagogique - gestionnaire de réseau formé Eléments nécessaires à la mise en oeuvre : 1 abonnement ADSL avec 8@IP fixes et publiques (soit 5 adresses utilisables par l établissement) 1 serveur Amon, 1 serveur SLIS (pour les préconisations matérielles se reporter au document «Préconisations matérielles» sur le site du SIGAT-CRIA et de la mission TICE) optionnel : 1 serveur pour la zone mutuelle externe (DMZ) et 1 pour l espace mutuel (ZMI) et un système d exploitation compatible en fonction du logiciel choisi. 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 8
Architecture 3 : serveur Amon en tête, 1 connexion à Internet et Slis avec 2 cartes réseaux 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 9
Caractéristiques : un seul abonnement internet haut débit (1024 minimum conseillé) avec 1 adresse IP fixe publique Services : - filtrage des accès à Internet avancé et par mot clé. - contrôle des accès à Internet en classe - télé-administration possible des serveurs SLIS et Magret (sous réserve de l ouverture d un accès à travers AMON), AMON et HORUS. - zone mutuelle interne ZMI (pour un logiciel de notes mutualisé) ou une zone extranet DMZ (pour un serveur web d établissement voir paragraphe 6 p5) Inconvénients : - Il faut faire un choix entre zone mutuelle interne (ZMI) et zone extranet (DMZ) car il est impossible d avoir ces 2 fonctions simultanément - La télé-administration des serveurs SLIS et Magret implique l ouverture d un accès temporaire au travers du serveur AMON par le SIGAT-CRIA - L activation du filtrage sur le serveur Amon peut limiter les usages de l internet pédagogique. Conditions optimales de fonctionnement : - Magret v 6.4 et supérieures sur le réseau pédagogique - gestionnaire de réseau formé Eléments nécessaires à la mise en oeuvre : 1 abonnement ADSL avec 1@IP publique fixe 1 serveur Amon et 1 serveur SLIS (pour les préconisations matérielles se reporter au document «Préconisations matérielles» sur le site du SIGAT-CRIA et de la mission TICE) optionnel : 1 serveur pour la zone mutuelle interne (ZMI) ou 1 serveur pour la zone extranet (DMZ) et un système d exploitation compatible en fonction du logiciel choisi. 22-09-2006 Académie de Toulouse - Mission TICE/ SIGAT - CRIA 10