Documentation : Réseau

2015 Documentation : Réseau Enzo Rideau Swiss-Galaxy 24/03/2015

Table des matières Présentation du contexte... 2 Présentation du réseau... 2 Présentation du matériel... 4 Présentation de la configuration réseau... 4 Le VTP... 5 Les Vlans... 5 Les interfaces VLANS... 5 Pool DHCP... 6 Présentation de la sécurité... 6 Les ACL pour les visiteurs... 6 Les ACL pour le LAN... 7 Les règles de NAT :... 7 Optimisation du réseau... 8 Switch de niveau 2 : SW_DMZ... 8 Switch de niveau 3 : SW_LAN... 8 Switch de niveau 2 : SW_CLT_1... 8 Switch de niveau 2 : SW_CLT_2... 9 Présentation de la VOIP... 9 Matériel utilisé (avec adresse IP)... 9 Présentation du pool DHCP... 9 Présentation de téléphony-service... 10 Configuration accès-wifi... 11 Présentation des SSID :... 11 Configuration de la borne :... 12 o Configuration authentification RADIUS... 12 Présentation de la supervision... 12 Configuration SNMP... 13 Présentation EON... 14 Présentation Nagios et configuration... 15 Présentation Cacti... 17 Weather Map... 19 Conclusion... 20

Présentation du contexte Dans le cadre de notre projet GSB, nous avons été amenés à réaliser différentes tâches. Ces dernières ont concerné les serveurs, les différents systèmes mais aussi toute la partie infrastructure réseau, supervision et administration réseau. Après analyse du cahier des charges, nous avons réalisé un Packet Tracer pour «virtualiser» notre réseau et faire tous les tests nécessaires pour perdre le moins de temps possible. Nous distinguerons donc trois grandes partie, la configuration du réseau «pur», avec présentation des routeurs, des switch etc.. Présentation de la configuration de VOIP, puis en dernier point, nous verrons ensemble, la supervision de notre réseau, grâce à l outil Eyes Of Network. Présentation du réseau Voici notre infrastructure réseau représenté graphiquement. Vous retrouverez plus d informations précises dans les prochaines pages de cette documentation.

Présentation du matériel Vous retrouverez ci-dessus, la configuration de nos équipements réseaux (routeur/commutateurs niveau 2&3 mais aussi notre CME). Une liste des ports et de leur affectation/destination est aussi présenté afin d appréhender au mieux l infrastructure réseau. RT-PLOT A : Cisco 800 Series, est notre routeur qui fait front au réseau «Wan», il représente notre première porte d entrée à notre réseau local. Call-Manager Express : Cisco 2911, est notre call-manager pour nos téléphones SW-DMZ : Cisco 2950, est le switch présent dans la DMZ, auquel est connectée notre borne Wifi. SW-LAN : Cisco 3950, est notre cœur de réseau, il représente notre serveur VTP et possède aussi toutes les ACLS et interfaces VLANS. SW_CLT_1 : Cisco 2960, est notre premier switch client, aucune configuration particulière. SW_CLT_2 : Cisco 2950, est notre deuxième switch client, aucune configuration particulière. Présentation de la configuration réseau Ci-contre, la configuration «Ip» présente sur nos équipements réseaux. Les interfaces VLANS sont seulement configurées sur notre SW-LAN, les vlans sont ensuite diffusé grâce au protocole VTP. Ces interfaces sont aussi configurées avec un IP Helper pointant sur notre serveur DHCP. En effet, lorsqu un PC connecté au VLAN par 10 par exemple, fera une requête DHCP, celle-ci sera redirigé vers le serveur DHCP indiqué dans l IP Helper.

Le VTP VTP ou VLAN TRUNKING PROTOCOL est un protocole de niveau 2 utilisé pour configurer et administrer les VLANS sur les périphériques Cisco. VTP permet d ajouter, renommer ou supprimer un ou plusieurs réseaux locaux virtuels sur un seul commutateur (le serveur) qui propagera cette nouvelle configuration à l ensemble des autres commutateurs du réseau (clients). Ce protocole permet donc d uniformiser les configurations VLANS sur l ensemble du réseau local, c est donc tout naturellement que nous avons décidé d utiliser le VTP. Nous avons donc configuré le domaine «VTP» nommé GSB sur l ensemble de nos commutateurs, en leur indiquant un mot de passe identique. Après cela, nous avons utilisé notre commutateur de niveau 3 «SW-LAN» comme serveur VTP puis configuré le reste des switch en mode client. Il faut bien penser à «trunk» les liens entre les différents switch afin que la propagation des VLANS se fasse correctement. Les Vlans Voici les VLANS créés sur notre «Serveur Vtp» Vlan 10; Vlan 20; Vlan 30; Vlan 40; Vlan 50; Vlan 60; Vlan 70; Vlan 80; Vlan 99; Vlan 100; Vlan 150: Visiteurs; Vlan 200 ; Vlan 300: Serveurs ; Vlan 400: DMZ. L ensemble de ces vlans ont seulement été créé sur notre Serveur VTP, en effet, le reste des commutateurs ont récupérés les VLANS grâce au protocole VTP. Les interfaces VLANS Lors de leur configuration, nous avons indiqué un «IP- HELPER» sur nos interfaces VLANS. Cette configuration permet de récupérer une adresse IP grâce au DHCP indiqué dans IP HELPER. Du côte, nous avons créé un pool DHCP propre à chaque VLAN. avec une plage d adresse défini etc. Comment cela fonctionne : Nous branchons un PC sur un port dans le VLAN 10. Lors de sa mise en réseau, le PC va essayer de récupérer une adresse IP. Lorsqu il vas effectuer son broadcast, sa trame vas être tagué avec l id de son vlan «10», il va donc automatiquement passé par sa passerelle 192.168.10.1 qui est elle-même configuré avec l IP Helper pointant sur un DHCP. La requête de notre PC vas donc être redirigé vers le DHCP où un pool DHCP vlan 10 est configuré

Pool DHCP Présentation de la sécurité Les ACL pour les visiteurs Action Protocole Source @IP Port Destination @IP Port Remarque Permit UDP Hôte 172.16.0.10 Réseau 192.168.150.0/24 BOOTPS ACL_DHCP_VISITEURS Permit TCP Hôte 172.16.0.10 Réseau 192.168.150.0/24 445 Fichier Partage Windows Deny IP Hôte 172.16.0.20 Any ACL_DENY_MESSAG Deny IP Hôte 172.16.0.70 Any ACL_DENY_EON Deny IP Hôte 172.16.0.90 Any ACL_DENY_LYNC Deny IP Hôte 172.16.0.50 Any ACL_DENY_REMOTEAPP Deny IP Hôte 172.16.100.50 Any ACL_DENY_WDS Deny IP Hôte 172.16.30.100 Any ACL_DENY_STORAGE Permit IP Any Any ACL_WAN Malgré que les utilisateurs présent dans le VLAN 150 soit des visiteurs, il faut quand même les PC récupère une adresse IP correcte en fonction de leur vlan, et que les accès soit restreint pour certains services. Dans notre cas les visiteurs doivent seulement avoir accès au partage fichier de Windows. Et être bloqué pour tout le reste.

Les ACL pour le LAN Action Protocole Source @IP Port Destination @IP Port Remarque Permit IP Hôte 172.16.0.10 Réseau 192.168.0.0/16 ACL_CONTROLEUR_AD Deny ICMP Hôte 172.16.0.20 Réseau 192.168.0.0/16 ACL_SERVEUR_LOTUS Permit IP Hôte 172.16.0.20 Réseau 192.168.0.0/16 ACL_SERVEUR_LOTUS Deny ICMP Hôte 172.16.0.50 Réseau 192.168.0.0/16 ACL_REMOTEAPP Permit TCP Hôte 172.16.0.50 www Réseau 192.168.0.0/16 ACL_REMOTEAPP Permit TCP Hôte 172.16.0.50 3389 Réseau 192.168.0.0/16 ACL_REMOTEAPP Permit TCP Hôte 172.16.0.50 443 Réseau 192.168.0.0/16 ACL_REMOTEAPP Permit IP Hôte 172.16.0.70 Réseau 192.168.0.0/16 ACL_EON Permit IP Hôte 172.16.0.90 3389 Réseau 192.168.0.0/16 ACL_LYNC Permit IP Hôte 172.16.0.99 443 Réseau 192.168.0.0/16 ACL_ADMIN Permit TCP Hôte 172.16.0.100 808 Réseau 192.168.0.0/16 ACL_WEB_GLPI Permit IP Hôte 172.16.100.10 Réseau 192.168.0.0/16 ACL_REDONDANCE Permit TCP Hôte 172.16.100.20 SMTP Réseau 192.168.0.0/16 ACL_WDS Permit TCP Hôte 172.16.0.254 Réseau 192.168.0.0/16 ACL_WAN En ce qui concerne nos PCs présents dans notre réseau LAN, nous devons aussi y appliquer des règles de trafic. En effet, nous devons tout d abord bloquer la communication inter-vlan, autorisé le protocole utilisé par un serveur donné à destination de ce dernier et bloquer tout le reste. Les règles de NAT :

Optimisation du réseau Switch de niveau 2 : SW_DMZ Switch de niveau 3 : SW_LAN Switch de niveau 2 : SW_CLT_1

Switch de niveau 2 : SW_CLT_2 Présentation de la VOIP La voix sur IP ou «VoIP» pour Voice Over Ip, est une technique qui permet de communiquer par la voix (ou via des flux Multimedia : audio ou video) sur des réseaux compatibles IP, qu il s agisse de réseaux privés ou d internet, filaire ou non. La VoIp concerne le transport de la voix sur un réseau IP. Cette technologie est complémentaire de la téléphonie sur IP («ToIP»). Matériel utilisé (avec adresse IP) Pour la matériel utilisé, nous avons implémenté 3 télepone IP «Cisco IP Phone 7942», pour notre call-manager, nous avons utilisé un routeur 2911 qui fera le rôle d un PABX. Pour cela nous avons utilisé le «telephony-service» des routeurs de Cisco qui est un service implémenté dans une grande partie des routeurs Cisco. C est dans ce routeur que nous allons configuré les paramètres de nos téléphones. Pour ce qui est de la configuration du routeur 2911, l interface connecté Fa0/0 est configuré en : 172.16.0.80 255.255.128.0, donc dans le VLAN serveur (300) et directement connecté au SW_CLIENT_1 où se trouve le reste des serveurs. Nous avons aussi créé un VLAN 80 qui sera notre vlan VOICE. Ce VLAN sera configuré sur 3 interfaces du commutateur du niveau 3 où les téléphones seront connectés. A ne pas oublier que l affection d un port dans un vlan Voice se fait par la commande suivante : vlan voice access 80. Présentation du pool DHCP La configuration IP d un téléphone IP se fait comme un PC. Lors de sa mise en réseau, le téléphone va effectuer un broadcast DHCP pour récupérer une adresse IP. La seule différence qui va être présente entre un téléphone et un pc, est quand le téléphone va récupérer son adresse IP, il va aussi récupérer une option «TFTP» avec une adresse IP pointant vers un TFTP donné. Dans notre cas, le téléphone va récupérer dans cette option l adresse 172.16.0.80 qui correspond à notre call manager. Cette information vas permettre au téléphone d aller récupère à cette adresse, son numéro de téléphone, son nom etc. Après cela il sera fonctionnel.

Voici notre pool DHCP pour le vlan 80 : Présentation de téléphony-service Avant toutes choses, il faut savoir que l adresse IP de notre routeur est configurée de la manière suivante : Port : Ge0/0 @IP : 172.16.0.80

Ephone-dn : correspond au numéro du téléphone. Par exemple, pour le téléphone qui récupérera l ID 1, il aura pour numéro 8001. On peut remarquer plus bas, nos 3 téléphones enregistrés dans le CME, avec leur adresse mac, et la configuration de leurs boutons respectifs Configuration accès-wifi Présentation des SSID :

Configuration de la borne : o Configuration authentification RADIUS Présentation de la supervision La supervision est une technique de suivi et surveillance du bon fonctionnement d un système ou d une activité. Cette supervision concerne l acquisition de données (mesures, alarmes, retour d état de fonctionnement) que nous devons interprétés mais surtout utiliser. Plusieurs application sont disponibles permettant la surveillance système et réseau. Tels que Nagios, Cacti, etc. Dans notre cas, nous avons décidé d utiliser Eyes Of Network (EON) qui bundle composé des meilleures applications de supervision.

Nous avons jugés qu il était plus que primordiale d utiliser ce système de supervision, afin de superviser mais surtout d optimiser notre infrastructure réseau et de détecter le plus rapidement possible des pannes ou saturations réseau. Configuration SNMP La supervision EON se fait au travers du protocole ICMP mais aussi SNMP : Simple Network Management Protocol, qui en Français donne «Protocole Simple de Gestion de Réseau». C est un protocole de communication qui permet aux administrateurs réseau de gérer les équipements réseau, de superviser et de diagnostiquer des problèmes réseaux et matériels à distance. Les systèmes de gestion de réseau sont basés sur trois éléments principaux : un superviseur (manager), des nœuds (nodes) et des agents. Dans la terminologie SNMP, le synonyme manager est plus souvent employé que superviseur. Le superviseur est la console qui permet à l'administrateur réseau d'exécuter des requêtes de gestion (management). Les agents sont des entités qui se trouvent au niveau de chaque interface, connectant au réseau l'équipement géré (nœud) et permettant de récupérer des informations sur différents objets. Commutateurs, concentrateurs, routeurs, postes de travail et serveurs (physiques ou virtuels) sont des exemples d'équipements contenant des objets gérables. Ces objets gérables peuvent être des informations matérielles, des paramètres de configuration, des statistiques de performance et autres objets qui sont directement liés au comportement en cours de l'équipement en question. Ces objets sont classés dans une sorte de base de données arborescente définie par l'iso appelée MIB («Management Information Base»). SNMP permet le dialogue entre le superviseur et les agents afin de recueillir les objets souhaités dans la MIB. Pour pouvoir donc récupérer les informations de la MIB de nos équipements, il a fallu configurer sur ces derniers, la communauté SNMP dans laquelle il se trouve et surtout quel serveur est autorisé à consulter la MIB. La communauté SNMP : swiss-galaxy.com Le serveur : 172.16.0.70 Notre serveur EON. Nous avons donc appliqué ces informations suivantes à l ensemble de nos serveurs virtuels, à nos routeurs et nos Switchs. Configuration d un Swich/Routeur

Configuration d un PC/Serveur Présentation EON Le «bundle» EyesOfNetwork est composé d un système d exploitation minimaliste incluant un ensemble intégré d application répondant aux différents besoin de supervision : GED (Generic Event Dispatcher) : gestion multi sites et sécurisée des évènements, NAGIOS : gestion des incidents et des problèmes, THRUK : interface de supervision multibackend, NAGVIS : cartographie personnalisée de la disponibilité, NAGIOSBP : gestion de la criticité des applications, CACTI et PNP4NAGIOS : gestion des performances, WEATHERMAP : cartographie de la bande passante, BACKUP MANAGER : Outil de sauvegarde de la solution, EONWEB : Interface Web unifiée de la solution, EZGRAPH : Librairie d affichage des graphiques, SNMPTT : Traduction des traps snmp,

GLPI / OCS / FUSION : Gestion de parc et inventaire. Eyes Of Network est accessible via une interface Web unique dont l objectif est de réunir les différents acteurs d un système d informations (DSI, Administrateurs, Techniciens, Opérateurs). Chacun de ces acteurs dispose donc d une vue correspondant à son métier. Notre serveur EON possède l adresse IP suivante : 172.16.0.70 La communauté SNMP de notre serveur EON est : swiss-galaxy.com Présentation Nagios et configuration Maintenant nous allons ajouter l équipement sur lequel on a installé et configurer le service SNMP. Connectez-vous sur l interface WEB de Eyes of Network. Dans la partie Nagios et administration, cliquer sur «Add a New Child Host».

Voici la page et les informations qu il faut renseigner. Sur cette page il faut renseigner : Le nom de la machine Description Adresse IP Et il ne faut pas oublier le «Add template to Inherit from» c est le système d exploitation de la machine. Add Host Voilà pour ce qu il y est des renseignements sur la machine. Pour terminer l insertion de la machine sur EON cliquer sur «Tools», «Exporter» et sur «Restart»

Votre machine est bien remontée sur EON et se mettra à jour sous peu. Voici la liste des équipements réseaux répertorié sur le service NAGIOS. réseau. Une vue d ensemble est proposé en page d accueil, cette vue nous permet de nous faire une idée sur l état général des machines présentes sur le Présentation Cacti

Voici la liste des équipements réseaux répertoriés sur Cacti, ils sont les mêmes que Nagios. Dès lors que nous avons créé ces équipements sur Cacti, nous avons créé un graph par équipement. Voici quelques exemples de graphique créé grâce à Cacti. Nous créons principalement des graphiques sur les cartes réseaux des serveurs/pc et des ports essentiels des Commutateurs/routeurs. Pour les serveurs et parfois même les routeurs, nous créons aussi un graph sur le CPU.

Weather Map La finalité de ces graph étant de créer une Weather Map pour avoir une vue d ensemble. Voici la nôtre.

Conclusion Voici les informations essentielles à retenir de cette documentation. Le réseau est configuré de telle sorte que les utilisateurs d un VLAN différent ne peuvent communiquer entre eux. La communication inter-vlan est en revanche permise. Pour ce qui est des adresses IP, chaque VLAN reçoit une adresse venant d un pool DHCP différent ce qui permet de les différencier rapidement. Les ACL sécurisent le réseau, une ACL (110) est commune à tous les utilisateurs présents dans le LAN et une ACL sécurisent le réseau VISITEURS se connectant à la borne WIFI. La VOIP est configuré grâce au CME qui est le Call Manager Express d un routeur Cisco. 3 Téléphones sont mis à disposition. La supervision se fait grâce à l outil Eyes Of Network, grâce au plugin Nagios, Cacti mais aussi WeatherMap.