La haute disponibilité sur le réseau de l'université Toulouse 3



Documents pareils
Les réseaux de campus. F. Nolot

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

Migration vers la téléphonie sur IP Etude pour l'université Pierre et Marie CURIE Campus JUSSIEU, PARIS

Fonctions Réseau et Télécom. Haute Disponibilité

Eléments actifs du réseau informatique de la MRV - Fourniture, configuration, installation et maintenance

TD 2 Chapitre 4 : Support des Services et Serveurs. Objectifs : Maîtriser l'exploitation des tables de routage dynamique.

Fiche d identité produit

VLAN Virtual LAN. Introduction. II) Le VLAN. 2.1) Les VLAN de niveau 1 (Port-based VLAN)

Présentation du modèle OSI(Open Systems Interconnection)

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

LES RESEAUX VIRTUELS VLAN

NOTIONS DE RESEAUX INFORMATIQUES

Mise en place du réseau métropolitain grenoblois TIGRE

Fiche d identité produit

Commutateur Cisco SRW ports Gigabit : WebView Commutateurs gérés Cisco Small Business

DIFF AVANCÉE. Samy.

FACILITER LES COMMUNICATIONS. Le gestionnaire de réseau VPN global de Saima Sistemas

Menaces et sécurité préventive

THEGREENBOW FIREWALL DISTRIBUE TGB::BOB! Pro. Spécifications techniques

Firewall. Souvent les routeurs incluent une fonction firewall qui permet une première sécurité pour le réseau.

La Solution Crypto et les accès distants

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

Présentation d'un Réseau Eole +

E5SR : PRODUCTION ET FOURNITURE DE SERVICES. Durée : 4 heures Coefficient : 5 CAS RABANOV. Éléments de correction

DSCG : UE5 - Management des Systèmes d'information CARTE HEURISTIQUE...1 ARCHITECTURE PHYSIQUE...2

Westermo i-line MRI-128-F4G / MRI-128-F4G/DC

Administration des ressources informatiques

Dossier de réalisation d'un serveur DHCP et d'un Agent-Relais SOMMAIRE. I. Principe de fonctionnement du DHCP et d'un Agent-Relais

Installation d'un serveur DHCP sous Windows 2000 Serveur

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Cours n 12. Technologies WAN 2nd partie

Description de l entreprise DG

Service de VPN de niveau 3 sur RENATER (L3VPN MPLS)

ÉTUDE DE CAS. Durée : 5 heures Coefficient : 5 CAS FEFORT ÉLÉMENTS DE CORRECTION

Services Colt IP VPN Colt Technology Services Group Limited. Tous droits réservés.

Le réseau IP et son impact sur la vidéosurveillance. Livre blanc

portnox pour un contrôle amélioré des accès réseau Copyright 2008 Access Layers. Tous droits réservés.

7.1.2 Normes des réseaux locaux sans fil

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

MARCHE PUBLIC CAHIER DES CLAUSES TECHNIQUES PARTICULIERES

Le rôle Serveur NPS et Protection d accès réseau

10 choses à savoir sur le 10 Gigabit Ethernet

Solutions réseaux pour. la Voix sur IP (VoIP)

le nouveau EAGLEmGuard est arrivé. Dissuasion maximum pour tous les pirates informatiques:

Le WiFi sécurisé. 16 Octobre 2008 PRATIC RIOM

Internet - Outils. Nicolas Delestre. À partir des cours Outils réseaux de Paul Tavernier et Nicolas Prunier

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Plan de cours. Fabien Soucy Bureau C3513

CAHIER DES CLAUSES TECHNIQUES

Cahier des Clauses Techniques Particulières. Convergence Voix - Données

//////////////////////////////////////////////////////////////////// Administration systèmes et réseaux

Configurer ma Livebox Pro pour utiliser un serveur VPN

How To? Sécurité des réseaux sans fils

Documentation : Réseau

Cisco Certified Network Associate

VoIP ( H323,SIP) et sécurits. curité. Kamel HJAIEJ SUP COM

Extrait de Plan de Continuation d'activité Octopuce

Les Virtual LAN. F. Nolot 2008

Charte d installation des réseaux sans-fils à l INSA de Lyon

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Principes de DHCP. Le mécanisme de délivrance d'une adresse IP à un client DHCP s'effectue en 4 étapes : COMMUTATEUR 1. DHCP DISCOVER 2.

AGREGATION DE LIENS ENTRE UNE APPLIANCE FAST360 ET UN COMMUTATEUR. Table des matières PRINCIPES DE L'AGREGATION DE LIENS... 2

Ebauche Rapport finale

Branch on Demand pour détaillants

Chapitre 2 Rôles et fonctionnalités

Présentation et portée du cours : CCNA Exploration v4.0

ManageEngine IT360 : Gestion de l'informatique de l'entreprise

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

KASPERSKY DDOS PROTECTION. Découvrez comment Kaspersky Lab défend les entreprises contre les attaques DDoS

ALOHA Load Balancer 2.5. Guide de démarrage rapide. EXCELIANCE ALOHA 2.5 Guide de démarrage rapide 30/01/2008 1/17

Mise en place d'un Réseau Privé Virtuel

II/ Le modèle OSI II.1/ Présentation du modèle OSI(Open Systems Interconnection)

Fonctionnalités de la mise en réseau virtuelle du commutateur réparti VMware vsphere et des commutateurs de la gamme Cisco Nexus 1000V

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

Plan du Travail. 2014/2015 Cours TIC - 1ère année MI 30

La continuité de service

Architecture Mobile Virtual Enterprise : Commutateur d'accès à la mobilité S3500 Aruba

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

1. Personnalisation de la page d'accueil

Fourniture et mise en œuvre d'une plate-forme de téléphonie IP MARCHÉ N Cahier des Clauses Techniques Particulières

Fiche descriptive de module

Discussion autour d un réseau local

TR2 : Technologies de l'internet. Chapitre VII. Serveur DHCP Bootp Protocole, Bail Relais DHCP

Déploiement sécuritaire de la téléphonie IP

Business et contrôle d'accès Web

ETI/Domo. Français. ETI-Domo Config FR

Cahier des charges "Formation à la téléphonie sur IP"

Sage CRM. 7.2 Guide de Portail Client

Protocoles réseaux. Abréviation de Binary Digit. C'est la plus petite unité d'information (0, 1).

11/04/2014 Document Technique des Services Disponibles. 16/04/2014. Document Technique des Services Disponibles.

Présentation et portée du cours : CCNA Exploration v4.0

Routeur Chiffrant Navista Version Et le protocole de chiffrement du Réseau Privé Virtuel Navista Tunneling System - NTS Version 3.1.

Bibliographie. Gestion des risques

Switches ProSAFE Plus Gigabit

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Gamme d appliances de sécurité gérées dans le cloud

Appliance FAST360 Technical Overview. Sécurité de la VoIP. Copyright 2008 ARKOON Network Security

Transcription:

La haute disponibilité sur le réseau de l'université Toulouse 3 Christian ESCAFFRE CICT Université Toulouse 3 118 route de Narbonne 31062 Toulouse cédex 9 Dominique INCERTI CICT Université Toulouse 3 118 route de Narbonne 31062 Toulouse cédex 9 Résumé L'université Toulouse 3 a souhaité remplacer ses auto-commutateurs téléphoniques par un système basé sur la technologie de la voix sur IP. Pour préparer le déploiement de téléphones IP à l'université Toulouse 3, le CICT, qui est chargé de l'infrastructure inter-bâtiments et des équipements de coeur du réseau informatique de l'université, a repensé l'architecture du réseau pour apporter un maximum de disponibilité et de sécurité sur le réseau. Cela a concerné 3 aspects primordiaux : 1) La redondance sur les liens et les équipements actifs du réseau afin que si un lien ou un équipement est défaillant la solution continue à fonctionner. 2) La sécurité de l'information qui circule sur le réseau en protégeant les serveurs de téléphonie et les communications téléphoniques. 3) La protection de l'infrastructure d'un maximum de perturbations ou d'attaques provoquées par une mauvaise utilisation du réseau : boucles sur le réseau, tempêtes de broadcast, serveur dhcp pirate, usurpation d'identité, saturation du réseau... Ce poster décrit l'architecture mise en place en détaillant les différents points permettant d'assurer une meilleure disponibilité de l'ensemble aussi bien au niveau du réseau de l'université que de son accès au réseau métropolitain Rémip 2000 ; l'architecture de Rémip 2000 est aussi brièvement décrite afin de montrer la redondance mise en place jusqu'à l'accès RENATER. Seront également abordés quelques problèmes que nous avions sur l'ancienne architecture de réseau informatique et que avons voulu éviter sur la nouvelle ainsi que les moyens que nous avons mis en oeuvre pour essayer d'arriver à une meilleure disponibilité du réseau. Mots clefs Redondance ; châssis virtuel ; VRF ; VRRP ; LACP ; Spanning tree ; DHCP snooping ; QOS ; DAI 1) Introduction : Le CICT a mis en place une infrastructure réseau à haute disponibilité pour supporter la téléphonie sur IP à l'université Paul Sabatier. Pour assurer au mieux cette disponibilité cette nouvelle infrastructure s'appuie principalement sur la redondance des liens et des équipements, la sécurisation des informations qui transitent sur le réseau et sur la sécurisation de l'infrastructure afin d'éviter au maximum que des erreurs ou des malveillances puissent perturber le bon fonctionnement du réseau. 2) Redondance sur les liens et les équipements actifs du réseau : JRES 2009 Haute disponibilité sur le réseau de l'université Toulouse III 1

2.1) But : L'ensemble de la solution doit pouvoir continuer à fonctionner dans le cas où un lien (cuivre ou optique) entre les équipements se casse ou si un des équipements ne fonctionne plus correctement. 2.2) Protections (redondances) mises en oeuvre : Afin d'obtenir un fonctionnement "continu" des équipements réseau même en cas de coupure électrique, les équipements stratégiques, châssis de coeur de réseau, firewalls, commutateurs d'entrée des bâtiments et IPmgw, équipement permettant de connecter sur le réseau des postes analogiques, fax ou modems, sont branchés sur des onduleurs leur permettant une autonomie de 4 heures. Une partie du coeur du réseau est branchée sur un groupe électrogène afin de lui permettre une plus grande autonomie. Les équipements de coeur de réseau, châssis, firewalls sont doublés et sont situés dans deux bâtiments différents et indépendants électriquement, reliés à des transformateurs différents sur la boucle électrique qui alimente le Campus. Les deux châssis de coeur de réseau, des 6506 de CISCO, forment un châssis virtuel par l'intermédiaire du protocole VSS. Cette notion de châssis virtuel permet de ne plus avoir besoin du spanning-tree entre les deux équipements et les équipements d'entrée de bâtiment qui sont double-attachés sur eux. Les équipements nécessaires au fonctionnement de la téléphonie : call-server, serveurs dhcp/radius sont également doublés et répartis sur les deux bâtiments. Les bâtiments du campus sont connectés en fibre optique par l'intermédiaire de 2 liens en fibre monomode vers les deux équipements de coeur de réseau. A terme chacun de ces liens utilisera un cheminement différent vers chacun des coeurs. L'équipement d'entrée de bâtiment est formé d'un "stack" entre 2 commutateurs Alcatel 6850. chacun des commutateurs utilise un lien optique vers un 6506, les deux liens formant un lien agrégé de 2gigabit/s. les équipements d'accès, Alcatel 6224 POE sont doublement attachés sur le stack de 6850, afin que si un 6850 ou un lien optique ne fonctionne plus leur liaison vers le coeur de réseau ne s'arrète pas. la sécurité interne ainsi que la connectivité vers Internet est assurée par 2 firewalls Juniper ISG 2000 ; chacun est situé dans un des bâtiments du coeur et est doublement attaché sur le châssis virtuel composé des 2 6506. chacun des firewalls est attaché à un commutateur d'accès de Rémip 2000. Ces deux firewalls fonctionnent en actif-passif en utilisant le protocole NSRP tant sur le réseau interne du Campus que face à Rémip 2000. Afin de détecter les pannes sur un commutateur ou un routeur de Rémip 2000 le protocole RIP et de l'ip-tracking ont été mis en place sur les ISG. Le réseau métropolitain Rémip 2000 est complètement redondant pour les sites avec un double-attachement. Les protocoles ISIS et VRRP sont activés entre les deux routeurs de Rémip 2000. Du spanning-tree qui devrait évoluer prochainement vers des liens agrégés (évolution prévue du fonctionnement des châssis 7600 de CISCO) assure la redondance au niveau 2. Rémip 2000 est doublement attaché sur le NR de RENATER qui actuellement est le seul point non redondant de l'infrastructure entre le Campus et Internet. 3) Sécurité de l'information JRES 2009 Haute disponibilité sur le réseau de l'université Toulouse III 2

3.1) But : Les serveurs de téléphonie, les communications téléphoniques doivent être protégées "au mieux" d'attaques quelle que soit la provenance de celles-ci. 3.2) Protections mises en oeuvre : Afin de séparer au mieux les réseaux data et téléphonie et pour éviter des «intrusions» de postes data sur la partie téléphonie, nous avons créé en plus des vlans data existant dans chaque bâtiment un vlan spécifique à la téléphonie. Etant donné le nombre de postes téléphoniques à l'université Paul Sabatier, environ 5000, nous avons préféré définir un vlan téléphonie par bâtiment, chacun des vlans va donc regrouper de quelques dizaines à 200 postes maximum. Sur notre réseau data filaire, nous n'avons pas encore déployé d'authentification 802.1X pour, entre autres, des raisons de compatibilité des commutateurs d'extrémité et de maîtrise de leur configuration dans tous les bâtiments. De nouveaux équipements sont introduits dans les bâtiments pour permettre la connexion des téléphones. Sur ces équipements les téléphones s'authentifient en 802.1X et après authentification sont redirigés dans le vlan téléphonie. Les postes de travail, non authentifiés, soit directement connectés sur le commutateur, soit connectés derrière un téléphone sont basculés dans un vlan par défaut du commutateur correspondant à leur vlan data. Sur les équipements de routage centralisés nous avons créé deux VRF (Virtual Routing and forwarding) qui correspondent en fait à deux instances de routage virtuel indépendantes. Dans l'une des instances virtuelles sont traités tous les vlans data avec le filtrage adéquat entre les différents subnets correspondants. Dans l'autre instance sont gérés tous les vlans voix, vlans des téléphones dans les bâtiments et vlans des serveurs vocaux, avec là aussi le filtrage ne permettant que les communications autorisées entre les postes téléphoniques et entre ces postes et les serveurs. Les firewalls sont interconnectés avec chacune des VRF et gèrent et filtrent le trafic entre les deux VRF voix et data mais aussi entre chacune de ces VRF et l'extérieur du Campus. 4) Sécurité de l'infastructure 4.1) But : Protéger l'infrastructure de dysfonctionnements liés à des perturbations au niveau de l'accès : boucles, tempêtes de broadcasts, saturation du réseau. 4.2) Protections mises en oeuvre : - 4.2.1 Boucles : Comme indiqué plus haut, le CICT ne maitrise pas tous les commutateurs d'accès dans les bâtiments, d'autre part dans les bâtiments on retrouve de plus en plus de prises RJ45 en libre service authentifié. Il est donc possible et cela nous est déjà arrivé à plusieurs reprises que malencontreusement un technicien fasse une boucle lors du brassage sur un commutateur ou bien que, la nature ayant horreur du vide, deux prises du libre service se retrouvent reliées entre elles. Si rien n'est mis en place sur les équipements actifs du réseau de tels incidents peuvent provoquer de véritables catastrophes en bloquant l'ensemble des équipements de niveau 2 avec des tempêtes de broadcast de BPDU ou bien peut faire tomber des liaisons actives et importantes dans le cas d'un spanning-tree non maîtrisé. Les deux châssis CISCO 6506 sont déployés dans deux bâtiments différents. Grâce à la fonctionnalité VSS (Virtual Switching System) récemment introduite sur ces équipements, ils forment un châssis virtuel. Cela fonctionne par l'intermédiaire d'une aggrégation de liens 10Gb/s entre les deux cartes SUP des châssis, bien entendu, sur le campus de l'université, ces liens 10G utilisent des fibres et des cheminements différents. Un lien supplémentaire (lien dual-active) 1Gb/s interconnecte les 2 châssis afin de détecter, en cas de rupture des liens 10G, que les deux châssis sont actifs en même temps. Si ce cas de figure se produit, JRES 2009 Haute disponibilité sur le réseau de l'université Toulouse III 3

un des deux châssis passe alors en standby et désactive toutes ses interfaces afin d'éviter les problèmes de boucles sur les liens agrégés sur le châssis virtuel constitué. En fonctionnement normal seule la carte SUP d'un châssis est active mais toutes les autres cartes et fonctions sont actives sur les deux châssis. Cette notion de châssis virtuel nous permet d'une part d'éviter de traiter du spanning-tree entre le cœur de réseau et les bâtiments du campus tout en ayant une redondance actif-actif sur les liens agrégés depuis les bâtiments sur le cœur du réseau. La problématique du spanning-tree se trouve donc maintenant localisé au bâtiment et afin qu'un problème potentiel ne vienne pas perturber le cœur de réseau du filtrage de BPDU a été mis en place entre les équipements d'entrée de bâtiment et le cœur de réseau. Le root du spanning-tree est donc l'équipement d'entrée de bâtiment. Sur cet équipement le root est forcé avec une valeur bien supérieure à la valeur par défaut. Sur les interfaces de cet équipement connectées vers des commutateurs d'accès, nous avons également mis en place du «root protect» afin qu'un autre équipement sur le réseau du bâtiment ne vienne pas usurper la fonction de root. Il existe deux possibilités pour se protéger de boucles internes au bâtiment, soit gérer du spanning-tree avec les équipements d'accès, c'est ce qui peut être fait avec des équipements que nous maitrisons, soit activer la fonction «BPDU protection» dans ce dernier cas tous les BPDUs sont bloqués et le port correspondant est désactivé avec émission d'un trap SNMP. Dans ce dernier cas bien sûr il ne faut pas faire de spanning-tree sur les commutateurs d'accès. Sur les commutateurs d'accès on peut soit activer le spanning-tree sur le commutateur et vers le commutateur d'entrée de bâtiment, dans ce cas il est impératif de faire du spanning tree sur l'interface du commutateur d'entrée du bâtiment et pas de «BPDU protection», soit mettre en place la fonction «loop protection» pour gérer les boucles au plus près et ne pénaliser que les interfaces du commutateur concernés par la boucle. En supposant qu'aucune de ces fonctionnalités ne soit mise ne place sur un commutateur d'accès, en cas de boucle sur celui-ci, il sera bloqué par le commutateur d'entrée de bâtiment, un trap snmp sera envoyé depuis le commutateur d'entrée de bâtiment mais le reste du réseau ne sera pas perturbé. - 4.2.2 tempêtes de broadcast : les tempêtes de broadcast ont pratiquement les mêmes effets qu'une boucle sur l'infrastructure réseau. Elles peuvent être provoquées par des équipements, des postes ou des imprimantes soit qui ont été mal configurées soit qui présentent un dysfonctionnement. Les tempêtes de broadcast sont à dissocier dans la mesure du possible du trafic multicast, certains équipements ne sont pas capables de différencier ces deux types de trafic et donc les limitations de bande passante que l'on pourrait faire pour le broadcast pourraient pénaliser le «vrai» trafic multicast. Les 6224 de chez Alcatel savent faire la différence entre le trafic multicast et le broadcast, en temps normal il existe toujours un trafic de fond en broadcast, ce trafic est nécessaire au bon fonctionnement du réseau, notamment les requêtes ARP. Il ne faut donc pas supprimer complètement le trafic broadcast mais évaluer le seuil à partir duquel le trafic peut paraître anormal. Nous avons positionné ce seuil à 1Mb/s car en dessous de ce seuil le trafic broadcast ne perturbe pas le fonctionnement du réseau. Le trafic est donc limité à 1Mb/ pour les broadcast avec émission d'un TRAP SNMP lorsque ce seuil est dépassé. NB : souvent la limitation de bande passante s'exprime en pourcentage de la bande passante de l'interface, dans ces conditions il est difficile de traiter plus finement la bande passante allouée au broadcast. - 4.2.3 usurpation d'adresse ou de serveur DHCP : Afin d'éviter qu'une machine pirate puisse se substituer au serveur institutionnel, ou à un poste ou téléphone sur le réseau nous avons activé la fonction «dhcp snooping» sur les commutateurs d'accès, cette fonction permet de ne permettre aux réponses à des requêtes DHCP d'être acceptées uniquement sur l'interface qui le relie au cœur de réseau. Les autres interfaces n'ont pas le droit de faire transiter des réponses à des requêtes DHCP. Afin qu'une machine n'usurpe pas l'adresse IP d'un poste ou d'un téléphone, nous avons mis en place la fonction DAI, cette fonction permet, après l'attribution dynamique d'une adresse IP à une adresse mac, de figer le couple correspondant sur les interfaces des commutateurs d'accès, cette fonction associée à l'authentification 802.1X sur tous les ports du commutateur JRES 2009 Haute disponibilité sur le réseau de l'université Toulouse III 4

d'accès permet d'être sur qu'une machine ne peut pas se connecter «à la place» d'une autre en se mettant sur un port différent de celle-ci. - 4.2.4 QOS : Même en cas de saturation du réseau sur le vlan data il faut que la téléphonie et l'administration des équipements restent possibles. Pour permettre un fonctionnement optimal de la téléphonie et de l'administration des équipements réseau, nous avons décidé de donner la priorité maximale aux paquets voix tant en niveau qu'en niveau 3 en faisant attention de ne dropper aucun paquet pour ce type de trafic. La priorité de l'administration du réseau vient juste en dessous et il est toléré d'avoir des pertes de paquets jusqu'à 20 % si nécessaire, en effet nous considérons que nous n'allons pas faire en tftp de récupération de configuration ni de changement de version lorsque le réseau est saturé. Les vlans data configurés sur les commutateurs d'accès n'ont aucune priorité configurée, ils travaillent donc avec la priorité par défaut. Sur le réseau du campus la QOS en niveau 3 est calquée sur ce qui est fait sur RENATER et Rémip 2000. 5) Perspectives d'évolution : Redondance des accès opérateurs en cours. Authentification de tous les postes de travail au même titre que les téléphones et attribution d'un vlan data en fonction de cette authentification. Possibilité d'utilisation de softphone et attribution de vlans en fonction de l'application. BFD à l'étude sur Rémip 2000 et sur le réseau du campus pour limiter les temps de convergence JRES 2009 Haute disponibilité sur le réseau de l'université Toulouse III 5

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back