Dossier technique de l infrastructure du réseau M2L Rappel du contexte : Les Projets Personnels Encadrés (PPE) ont été développés autour d un contexte qui est la Maison des Ligues de Lorraine (M2L). Cet environnement a permit à l étudiant de réaliser un ensemble de projets autour de différentes situations professionnelles (les missions) et acquérir ainsi les compétences en conformité avec le référentiel. La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des espaces d hébergement et des services aux différentes ligues sportives régionales et à d autres structures hébergées. La M2L est une structure financée par le Conseil Régional de Lorraine dont l'administration est déléguée au Comité Régional Olympique et Sportif de Lorraine (CROSL). Pour fournir ses prestations de service, la M2L s appuie sur un réseau et une infrastructure informatique qui couvre un ensemble de besoins répondant ainsi au cahier des charges de la région et aux exigences de ses clients les ligues. L infrastructure informatique et réseau est prise en charge par le département Réseau de M2L qui se charge de l exploitation de l ensemble des équipements du parc ainsi que de la réalisation des projets informatiques.
Présentation Générale de l infrastructure : Le réseau (schéma Annexe 1) est découpé en 3 parties dont l infrastructure réseau de l association M2L, les réseaux des ligues et le réseau d accès à Internet. L association M2L est responsable de l administration de l infrastructure, de la fourniture de services et de la sécurisation des données en déléguant ces tâches au service Informatique qui est le maître d œuvre pour l administration et l exploitation de l ensemble des services et équipements du réseau. Le service Informatique de M2L est mandaté pour l exécution de tous les projets qui concernent le parc informatique de l association et agit comme prestataire au travers de contrats de service vis-à-vis des clients les ligues. L infrastructure générale couvre l ensemble des 4 bâtiments du site et comprend les équipements de réseau, les postes et serveurs informatiques, une infrastructure mobile WIFI, un service d accès à Internet et des liaisons télécom permettant à M2L des connexions dédiées avec ses partenaires. L infrastructure générale est hébergée dans le domaine m2l.fr. Un serveur d annuaire Active Directory et son contrôleur de domaine assure la gestion et l administration du réseau. L Infrastructure système L Infrastructure réseau La structure générale du réseau comprend les sous réseaux de l association M2L, les sous réseaux des ligues, l infrastructure de sécurité DMZ et enfin le service d accès à Internet. Le service Informatique du département réseau héberge toute la structure de contrôle et de supervision du parc informatique du site. Une infrastructure mobile WIFI est présente pour servir les postes nomades du personnel M2L et des ligues. Ce réseau doit être assez souple et adaptable pour permettre de couvrir les manifestations de type événementiel demandées par les ligues. Le schéma de l infrastructure générale est donné en Annexe 1. Plan d adressage IP Le réseau général est construit autour de l adresse 172.16.0.0 avec un masque de 20 bits. Ceci permet de couvrir l ensemble du plan d adressage de l association pour les ligues et M2L mais aussi pour les évolutions. L administrateur a réservé un masque de 26 bits par sous réseau. Le plan d adressage IP 192.168.0.0 /28 est attribué à la DMZ. Le plan d adressage IP 172.16.99.x /26 est réservé pour l administration à distance via les sous réseaux de gestion. Un tableau décrit le plan d adressage IP de l ensemble du réseau. Ce plan d adressage tient compte d une exploitation des adresses dynamique par plusieurs serveurs DHCP. Un ensemble d adresses sont réservées pour les équipements en adressage fixe et ceci pour chaque sous réseaux. Des règles d ingénierie ont été définies et imposent de placer les plages d adresse fixe sur les adresses les plus hautes.
Ce tableau est présenté en ANNEXE 2. Le réseau Ce réseau regroupe les fonctions suivantes : - Une structure de VLAN de niveau 3 comprenant 6 sous réseaux VLAN organisés selon la structure hiérarchique de M2L (structure par département). La maquette comprend les VLAN du service Informatique du département Réseau et le VLAN du service Administratif (VLAN ADMIN) crée mais qui n a pas été pourvu. Le service Informatique est placé à l adresse de base du réseau général 172.16.0.0 /24. - Le VLAN de gestion permet d accéder aux équipements de réseau via le poste Administrateur du service Informatique du département réseau. Le service Informatique accède à distance sur ces équipements pour assurer la maintenance, les mises à jours des configurations ou des IOS. Ce VLAN est intégré dans le sous réseau 172.16.99.x ou x détermine le sous réseau. Le VLAN de gestion de M2L est dans le sous réseau 172.16.99.0 /28. - Un routeur (RM2L) permet d interconnecter ces sous réseaux au réseau général via ses sous interfaces VLAN et l encapsulation 802.1Q. - Un réseau backbone qui assure le liens entre les Ligues et M2L. Ce réseau est administré par le protocole de routage dynamique OSPF. Les équipements de réseau sont administrés par les postes administrateurs. - Une administration à distance en mode sécurisé via le protocole SSH permet une prise de contrôle à distance des équipements routeurs et commutateurs du réseau global, - Les services et applications nécessaires au fonctionnement général du site. Tous ces services et applications sont administrés par le serveur d annuaire AD-DC. Ce sont : - les serveurs DHCP, DNS, le service d annuaire AD + Contrôleur de domaine dans l environnement Windows Server 2003 ou 2008 (gestion des habilitations, GPO ) - Le 2 ème serveur DHCP (Tolérance de panne) est installé sous Linux Debian comme serveur Open source. - les services applicatifs (gestion de parc OCS-NG sous Windows, Terminal Server..), - Les services de déploiement et automatisation de tâches RIS, WDS, Package MSI, Scripts - Le service de distribution d adresse IP DHCP est installé dans 2 serveurs physiquement séparés pour assurer la tolérance aux pannes. Un de ces Serveurs fonctionne sous Linux Debian. Le service DHCP assure la distribution d adresses IP à l ensemble du réseau. - Les serveurs sont virtualisés. Un poste client est installé dans ce département pour simuler le poste administrateur. Infrastructure des ligues Chaque ligue est intégrée à un sous réseau dans un VLAN. Le plan d adressage des ligues est donné dans le tableau Annexe1.
La maquette comprend la ligue de Tennis, d Athlétisme et la ligue de Basket avec 1 postes informatique au titre de poste client. Ce poste est équipé du système d exploitation Windows Seven sur lequel sera placé un agent OCS pour la supervision de parc. Ces ligues sont réparties sur les commutateurs SW2LIGUE et SW3LIGUE. Le commutateur de distribution SW1LIGUE assure le lien entre les commutateurs ligues et le routeur. Les sous réseaux des ligues sont connectés au réseau général par un routeur (routeur RLIGUES) supportant des sous interfaces VLAN et l encapsulation 802.1Q. Cette structure de réseau de commutateurs à chemin redondant garantit la continuité du service sur la transmission des données est installée en utilisant 3 commutateurs connectés en boucle. Le spanning tree a été configuré pour privilégier en phase opérationnelle les chemins principaux qui relient les commutateurs d accès au commutateur de distribution (continuité de service). Accès Internet et DMZ Cette partie représente le périmètre de sécurité pour l accès à Internet. Une zone DMZ est intégrée dans le routeur M2L permettant aussi l accès à Internet. Ce routeur assure la gestion du sous réseau DMZ qui renferme les services WEB et FTP, la fonction de pare feu et l interconnexion au réseau privé et Internet. Les 2 services FTP et WEB de la DMZ sont intégrés dans une machine avec une VM Windows Admin Server 2003 pour héberger le service WEB M2L et le serveur FTP FileZilla sur la machine hôte Windows Seven. Ces services sont accessibles depuis l Internet et le réseau interne sous certaines conditions. Le Pare Feu assure le périmètre de sécurité avec l Internet au travers des fonctions suivantes : - Interconnexion entre le réseau interne, la DMZ et Internet avec sécurisation par des règles de contrôle d accès. Ces règles sont données ci-dessous. - Connexion avec l Internet via une interface intégrant la fonction NAT/PAT. L Internet est ici simulé par un switch non manageable et un poste intégrant un serveur WEB IIS sous Windows 2003. Règles de contrôle d accès : 1/ Les sous réseaux des ligues et de M2L peuvent accéder à Internet. 2/ Les Internautes peuvent accéder aux ressources de la DMZ mais pas aux réseaux privés Ligues et M2L. 3/ Les sous réseaux M2L peuvent accéder aux ressources de la DMZ tout comme les ligues. 4/ Les postes de l administrateur et des techniciens réseau (adresses IP 172.16.0.54 et 172.16.0.55) peuvent tester (ping ou trace route) toutes les machines de tous les réseaux M2L, Ligues, DMZ et Internet. 5/ Le trafic ICMP provenant de l Internet est interdit.
Maintenance Mise en service La détection de panne, l analyse de réseau s effectue en utilisant l outil d analyse de trame Wireshark qui permettra de vérifier le bon fonctionnement des composants du réseau pour la validation mise en service et de dépanner une situation en cas de blocage. La prise de contrôle à distance via le protocole Telnet ou SSH permet de surveiller, modifier ou visualiser les états des équipements de réseau.
ANNEXE 1 - SCHEMA DE L INFRASTRUCTURE Domaine : m2l.fr VLAN M2L Poste 1 (PC1) 172.16.X.0 /24 (X=N VLAN) Continuité du service Spanning Tree VLAN LIGUES Poste Client DNS/DHCP1 AD Win2003 AD Win2008 OCS-NG Windows DHCP2 Linux SW1LIG RLIGUES RM2L SWM2L SW2LIG SW3LIG 10.10.10.0 /30 192.168.0.0 /28 10.10.10.4 /30 RFAI - - - - - - DMZ 221.87.149.0 /29 NAS RAID 172.16.0.0 /24 Ligue Poste 2 (PC2) Poste 3 (PC3) INTERNET M2L FTP M2L WEB WEB Poste 4 (PC4) (Windows 2003)
ANNEXE 2 - PLAN D ADRESSAGE IP VLAN 2 VLAN 3 VLAN 4 VLAN 5 VLAN 6 VLAN M2L INFORMATIQUE ADMINISTRATIF DIR GENERALE COMMERCIAL RESSOURCES Masque 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 255.255.255.192 Adresse du réseau 172.16.2.0 172.16.3.0 172.16.4.0 172.16.5.0 172.16.6.0 Adresse de diffusion 172.16.2.63 172.16.3.63 172.16.4.63 172.16.5.63 172.16.6.63 Plage adresse DHCP1 172.16.2.1 172.16.2.25 Plage adresse DHCP2 172.16.2.26 172.16.2.50 Plage fixe 172.16.2.55 172.16.2.62 172.16.3.1 72.16.3.25 172.16.3.26 72.16.3.50 172.16.3.55 72.16.3.62 172.16.4.1 172.16.4.25 172.16.4.26 172.16.4.50 172.16.4.55 172.16.4.62 172.16.5.1 72.16.5.25 172.16.5.26 72.16.5.50 172.16.5.55 72.16.5.62 172.16.6.1 72.16.6.25 172.16.6.26 72.16.6.50 172.16.6.55 72.16.6.62 Serveurs DHCP 172.16.2.61 (DHCP1) 172.16.2.60 (DHCP2) Passerelle 172.16.2.62 172.16.3.62 172.16.4.62 172.16.5.62 172.16.6.62 VLAN LIGUES TENNIS VLAN10 ATHLE VLAN11 BASKET VLAN12 VTT VLAN13 - - - - LIGUE 32 VLAN N Masque 255.255.255.192 255.255.255. 192 255.255.255. 192 Adresse du réseau 172.16.10.0 172.16.11.0 172.16.12.0 Adresse de diffusion 172.16.10.63 172.16.11.63 172.16.12.63 Plage adresse DHCP1 172.16.10.1 172.16.10.25 Plage adresse DHCP2 172.16.10.26 172.16.10.50 172.16.11.1 172.16.11.25 172.16.11.26 172.16.11.50 172.16.12.1 172.16.12.25 172.16.12.26 172.16.12.50 Plage fixe 172.16.10.55 172.16.11.55 172.16.12.55 172.16.10.62 172.16.11.62 172.16.12.62 Passerelle 172.16.10.62 172.16.11.62 172.16.12.62
ANNEXE 2 - PLAN D ADRESSAGE IP (suite) VLAN de gestion Gestion M2L Gestion LIGUES DMZ Internet Masque 255.255.255.240 255.255.255.240 255.255.255.240 255.255.255.248 Adresse du réseau 172.16.99.0 172.16.99.16 192.168.0.0 221.87.149.0 Adresse de diffusion 172.16.99.15 172.16.99.31 192.168.0.15 221.87.149.7 172.16.99.1 172.16.99.17 192.168.0.1 221.87.149.1 Plage fixe 172.16.99.14 172.16.99.30 192.168.0.14 221.87.149.6 Passerelle 172.16.99.14 172.16.99.30 192.168.0.14 221.87.149.6 Plan d'adresse d'interconnexion LIGUES <> M2L M2L <> FAI Masque 255.255.255.252 255.255.255.252 Adresse du réseau 10.10.10.0 10.10.10.0 Adresse de diffusion 10.10.10.3 10.10.10.3 10.10.10.1 <> 10.10.10.1 <> Passerelle 10.10.10.2 10.10.10.2 Plan d adressage des serveurs Machine Nom Rôles physiques Rôles Virtuels Adresse IP Masque passerelle PC 1 M2L PC 3 DMZ PC 4 WEB PC-admin PC admin 172.16.0.54 255.255.255.192 172.16.0.62 m2l-ad AD, DNS, DHCP1 172.16.0.59 255.255.255.192 172.16.0.62 m2l-debian DHCP2 172.16.0.58 255.255.255.192 172.16.0.62 m2l-ocs OCS-NG 172.16.0.57 255.255.255.192 172.16.0.62 m2l-ftp FTP 192.168.0.12 255.255.255.240 192.168.0.14 m2l-web WEB(IIS) 192.168.0.13 255.255.255.240 192.168.0.14 PC-hote Simulation WEB 221.87.149.3 255.255.255.248 221.87.149.1 yahoo.com Simulation WEB 221.87.149.6 255.255.255.248 221.87.149.1 PC 2 PC-Tennis PC client Ligue 172.16.10.10 255.255.255.192 172.16.10.62 DHCP
ANNEXE 3 - PLAN DE BRASSAGE Client Ligue RLIGUES Constitution de la maquette (1 et 2) Serveurs M2L SW1LIG SWM2L SW2LIG RM2L SW3LIG Ligue TENNIS Ligue - - - DMZ WEB / FTP INTERNET Brassage switchs ligues / M2L SWM2L Ports SW1LIGUE Ports VLAN INFO Ports 3 à 10 Liaison SW2LIG Ports 2 à 3 VLAN DG Ports 11 à 15 Liaison SW3LIG Ports 4 à 5 Trunk Port 1 à 2 Liaison RLIG Port 1 SW2LIG Ports SW3LIG Ports VLAN TENNIS 4 à 8 VLAN Basket 4 à 8 VLAN ATHLE 9 à 12 - - - - - - Trunk 1 à 3 Trunk 1 à 3
ANNEXE 4 - IDENTIFIANTS & MOTS DE PASSE Tableau des identifiants Accès Identifiant Mot de passe Machines virtuels administrateur Laboimc Postes physiques administrateur laboimc Compte "root" de m2l-debian root Laboimc Compte administrateur de domaine administrateur Laboimc Accès routeur via ssh admin admin Mot de passe enable cisco ANNEXE 5 - REGLES DE FILTRAGE FIREWALL 1/ Les sous réseaux des ligues et de M2L peuvent accéder à Internet. 2/ Les Internautes peuvent accéder aux ressources WEB et au téléchargement de documents FTP dans la DMZ mais pas vers le réseau privé interne. 3/ La DMZ est accessibles par les services de M2L, les ligues et de l Internet. 4/ Seuls les postes de test du service Informatique du département Réseau (adresses IP 172.16.0.240 à 172.16.0.247) peuvent tester les postes (ping ou trace route) de tous les réseaux M2L, Ligues, DMZ et Internet.
Description de l opération E4 La salle est divisée en 2 parties. Il y a 2 élèves qui passent en même temps. Il y a donc 2 maquettes qui comportent chacune les fonctions suivantes : - 3 switch pour assurer la fonction de continuité de service en cas de panne (spanning-tree) pour le réseau des ligues. Parmi ces 3 switch, seuls les switch SW2LIGUES et SW3LIGUES peuvent supporter les ligues. - 2 routeurs et un routage OSPF pour assurer la liaison entre les réseaux ligues, M2l et accès Internet simulé, - 1 PC Serveur M2L dans lequel sont virtualisés tous les éléments d administration de l infrastructure M2L. Ce PC contient les machines virtuelles 2003, 2008, Linux Debian ou encore OCS-NG qui contrôle l ensemble des ressources du réseau. Dans Windows server 2003 et 2008 sont installés : l annuaire AD-DC (domaine m2l.local), DNS et DHCP configurés (2 plages) - Le poste Client Ligue est destiné à servir de client pour simuler une nouvelle ligue, - La DMZ est représentée par un poste et supporte le serveur FTP Filezilla hébergé dans la machine hôte et le WEB M2L dans une VM 2003. Une mission vous est donnée parmi les 2 que vous avez proposé. Cette mission met en œuvre une situation spécifique choisie par les 2 examinateurs. Vous devez tout d abord définir sur papier toutes les actions que vous allez effectuez de façon suffisamment précise (2 pages). Vous décrirez les opérations coté réseau tout d abord puis coté système et enfin les tests. Exemple : proposition de mission OCS Installation d une nouvelle ligue et déploiement d agent OCS avec GPO sur les postes de cette ligue et vérification de la remontée des états par l agent. Réseau : - Préparation du plan d adressage IP pour cette ligue. - Configuration d un Vlan pour cette ligue (brassage sur le commutateur) - Configuration du sous réseau Vlan sur le routeur (Interface virtuelle, OSPF, Relais DHCP) - Configuration de l étendue DHCP - Tests réseau (Table de routage, ping) on utilise le poste prévu pour simuler le client. Système : - Préparation de l agent (OCS deployment tool) si l agent est déployé automatiquement - Mise en place de la GPO - Installation de l agent dans la machine cliente - Test de la solution finale