Rapport de stage. GAZEAU Damien. Entreprise MAZ AIR à Mazères (09) Du 07/11/2011 au 07/01/2012

Rapport de stage GAZEAU Damien Entreprise MAZ AIR à Mazères (09) Du 07/11/2011 au 07/01/2012 TSRIT AFPA Balma 2011

Sommaire REMERCIEMENTS... 2 LEXIQUE... 3 PRESENTATION DE L ENTREPRISE... 4 I - MIGRATION DU DATACENTER... 6 1-1 Présentation... 6 1-2 Problématique... 6 1-3 Objectif... 6 1-4 Architecture existante... 7 1-5 Définition des besoins... 8 1-6 Solution... 8 1-6 Appel d offres... 9 1-6-1 Proposition d APX :... 9 1-6-2 Proposition de DELL :... 10 1-6-3 Proposition de SPIE :... 10 1-7 Infrastructure RAID mise en place par APX... 11 1-8 Choix final... 12 1-9 Obligations liées au projet :... 12 II - AUDIT DES LATENCES DU RESEAU... 13 2-1 Problématique... 13 2-2 Objectif... 13 2-4 Solutions :... 13 2-4-1 Vérification de la configuration matérielle :... 14 2-4-2 Vérification du réseau local et distant... 15 2-5 Conclusion... 19 III PRESTATIONS SUPPLEMENTAIRES... 20 IV CONCLUSION GENERALE... 201 V ANNEXES... 202 Annexe 1 : Bilan électrique... 22 Annexe 2 : Analyse des risques... 24 Annexe 3 : Mise en place d un partage spécialisé... 25 Annexe 4 : Gestion des sauvegardes... 26 Annexe 5 : Centralisation des logs... 28 Annexe 6 : Ajout du plugin fusioninventory sur GLPI... 29 Annexe 7 : Lecture de trame sur FORTIGATE pour mesurer des VPN grâce à Wireshark... 34 Annexe 8 : Installation du logiciel de supervision CACTI... 41 Page 1 sur 59

REMERCIEMENTS Je tiens tout d abord à remercier Monsieur LARRIEU Michaël, responsable du système d information et tuteur de mon stage,pour m avoir accueilli durant ces deux mois et pour m avoir donné l opportunité, à travers ce stage, d approfondir le métier d administrateur réseau grâce à des missions très intéressantes. Ses informations lucides et pertinentes m ontpermis d avancer rapidement. Je remercie pareillementmonsieur JEANNE-ROSE David, administrateur réseau et Mademoiselle LOUVET Céline, administrateur SI applications et Service Desk pour leurs conseils très utiles, leuramabilité et leur patience. Leur aide m a été très précieuse. Je remercieégalement tout le personnel de MAZ AIR pour leur sympathie et leur bienveillance. Ils m ont permis de me sentir très vite à l aise. Pour finir, je tiens à remercier spécialement Monsieur Mauborgne Jean-Marc et Monsieur Harmel Patrick, formateurs de la section TSRIT à l AFPA de Balma, pour leurs compétences et le savoir-faire qu ils ont su me transmettre et qui m a permis de réaliser tant de projets intéressants. Page 2 sur 59

LEXIQUE Ces mots techniques sont indiqués enitaliquedans le rapport Mots Définitions ESX Serveur de virtualisation VMware (voir schéma ci-dessus : VcenterServer) Vmfs Espace réservé sur un disque pour stocker des machines virtuelles (Vms) DC Contrôleur de domaine Active Directory DHCP Fournit des adresse IP DNS Permet la résolution de nom en fonction de l adresse IP et inversement GED Gestion Electronique des Documents RRDtool Outil de base de donnée permattant de créer des graphiques Vm Vms Machine Virtuelles (Virtual Machines) TSE Terminal Server : Permet de profiter de son bureau à distance SAS Disque Serial Attached SCSI Un taux de transfert de 3 Gbits/s SATA Disque Serial Advanced TechnologyAttachmentUn taux de transfert de150 Mo/s et 300Mo/s pour un SATAII Cacti Logiciel libre de mesure de performances réseau et serveur Cluster Grappe de serveurs (ou «ferme de calcul») constituée de deux serveurs au minimum (appelé aussi nœuds) et partageant une baie de disques commune, pour assurer une continuité de service et/ou repartir la charge de calcul et/ou la charge réseau. ERP «Enterprise Resource Planning», signifiant littéralement en anglais, «planification des ressources de l'entreprise», et traduit en français par «progiciel de gestion intégré» (PGI). requêtes MPLS SDSL VPN Interrogation d'une base pour en récupérer une certaine partie des données MultiProtocol Label Switching (MPLS) est un mécanisme de transport de données basé sur la commutation d'étiquettes ou "labels". La notion d'étiquette provient du fait que les labels sont insérés à l'entrée du réseau MPLS et retirés à sa sortie. Symmetric Digital Subscriber Line (SDSL, en français ligne d'abonné numérique à débit symétrique) est une technique d'accès qui permet de faire transporter des données à haut débit (jusqu'à 2 Mbit/s avec une portée maximale de 2,4 km) par un réseau. SDSL est une des techniques de la famille DSL. Comme son nom l'indique la ligne SDSL a, contrairement à la ligne ADSL, des débits symétriques : son débit en réception (download) est égal au débit en émission (upload). Virtual Private Network, réseau privé virtuel, une connexion inter-réseau permettant de relier deux réseaux locaux différents par un protocole de tunnel (sécurisé en général) VMWare Plateforme de Virtualisation «DATAS» Nom du serveur de Fichier RAID le mot RAID désigne les techniques permettant de répartir des données sur plusieurs disques durs afin d'améliorer la tolérance aux pannes HotSpare Disques de rechange sur un RAID GLPI Logiciel libre de gestion de parc informatique Iperf Logiciel libre de tests de débits TCP / UDP Page 3 sur 59

PRESENTATION DE L ENTREPRISE a) L entreprise Mr LARRIEU Michaël, responsable du système d information, et son équipe doivent harmoniser et consolider les entreprises qui constituent le groupe AIRIA. Ce groupe est composé de 7 sociétés réparties sur 6 sites en France. Ces sociétés sont spécialisées dans des activités telles que l usinage, l assemblage et le suivi de projet. Elles travaillent dans des secteurs d activités comme le composite, le ferroviaire et l aéronautique. Chacun de ces sites fonctionne grâce aux infrastructures informatiques du site de MAZ AIR. Le groupe, à ce jour, totalise environ 350 employés, dont 200 utilisateurs informatiques. b) L infrastructure Les infrastructures réseaux sont composées d un réseau MPLS sur VPNSDSL entre tous les sites, néanmoins chaque site à son propre accès VPN, utilisé principalement pour les communications messagerie électronique et les données des TSE. L équipe informatique est située sur le site de Mazères, qui regroupe aussi la majorité des utilisateurs, 150 à ce jour. Toute l infrastructure informatique est basée sur des solutions de Microsoft c) Le réseau A Mazères, deux accès Internet: 1) 2 * 2 Mb pour le réseau MPLS LAN étendu pour tout le groupe 2) 2 Mb pour la centralisation des accès Internet de tout le groupe Sur chaque site distant une ligne à 2 Mo pour le réseau MPLS d) Le site central de Mazères Il est le site central où la consolidation de l infrastructure se fait pour l ensemble du groupe AIRIA. C est le site qui concentre : 2) L équipe informatique 3) L administration des systèmes 4) L ensemble des activités d opération 5) L ensemble des activités d administration 6) La gestion des comptes utilisateurs 7) Le support utilisateurs (helpdesk) Page 4 sur 59

Mazèrespossède tous les services pour le groupe AIRIA : Point d accès réseaux Internet DNS/DHCP primaire Active Directory Service Mail, serveur Exchange, serveur BlackBerry (logiciel fourni par SFR) Serveurs de fichier Serveurs d impression Serveurs applicatifs (Compta, Paye, GED, ERP ) Serveur TSE C est pourquoi l architecture du réseau MPLS est une étoile à 5 branches depuis le site central vers les sites distants. Néanmoins le SLA contractualisé avec SFR, en particulier une GTR de 4 heures, oblige MAZAIR à mettre un minimum d infrastructure et de services redondants dans les sites distants pour sécuriser le service. Page 5 sur 59

I - MIGRATION DU DATACENTER 1-1 Présentation Aujourd hui, le site de MAZ AIR possède tous ses serveurs d applications virtualisésdans une seule et même salle informatique. Tous les serveurs virtualisésle sont sur une plateforme VMware. Cette même plateforme VMwareest composée de deux serveurs (ESX1 et ESX2) qui contrôlent respectivement quatrevmfs. CesVmfs sonthébergées sur les disques de production (SAS) qui stockent les machines virtuelles. Les données des disques SAS(Baie de Production) sont répliquées de façon asynchrone sur un stockage de disques SATA (Baie de Secours). Un serveur de backup est également présent pour sauvegarder chaque soir l intégralité des données de chaque Vms (Machines Virtuelles) sur la Baie de Secours Une fois par semaine (le week-end), les différents serveurs de backup des sites distants sauvegardent leurs données sur un Disque réseauiomega (SATA) présent dans une autre salle du site de Mazères. Tous les utilisateurs travaillent, pour la majorité, sur deux Terminal Server (TSE) reliésà des postes légers. 1-2 Problématique Aujourd hui, s il arrive un sinistre détruisant la salle 1, l entreprise de MAZ AIR perd une partie de ses données informatiques présente sur le serveur de fichier nommé «DATAS» et ne peut redémarrer ses machines virtuelles qu en mode dégradé, en fonction de ses besoins critiques (voir plus loin). L entreprise sera également obligée de transférer tous les utilisateurs travaillant sur le TSE1vers le TSE2. 1-3 Objectif L objectif est de mettre en place une tolérance de panne de la salle 1 et rendre compte aux utilisateurs d une continuité de service en cas de panne destse pour qu ils puissent travailler sans aucune interruption. Page 6 sur 59

1-4 Architecture existante Page 7 sur 59

1-5 Définition des besoins Voici la liste des serveurs avec le niveau de criticité de chacun. Plus il est petit plus sa fonction est vitale pour l entreprise. Nom du serveur Domaine Physique Virtuel Fonction CRITICITE QCOMPTA AIRIA X ERP 1 PAIE AIRIA X PAYE 1 SILOGTEST AIRIA X ERP 5 SILOG AIRIA X ERP 1 SRVWEB AIRIA X WEB 2 BES AIRIA X BLACKBERRY 2 BODET AIRIA X POINTAGE 2 NAD1 AIRIA X DC,DHCP,DNS 1 NAD2 AIRIA X DC,DNS 2 EXCHANGE AIRIA X MESSAGERIE 2 IMP AIRIA X IMPRESSION 3 IMP2 AIRIA X IMPRESSION 2 CEGID AIRIA X ERP 1 SHAREPNT AIRIA X INTRANET 4 TSE-ADMIN AIRIA X SECURITE + LICENCE TSE 1 DATAS AIRIA X DONNEES 1 TSETEST AIRIA X TEST 5 VM-VC01 AIRIA X Supervisons VMware 1 1-6 Solution Afin d éviter une perte de données conséquente (environ une semaine), il faut pouvoir relancer la majorité des serveurs virtuels d un autre endroit. Pour ce faire il faut, d une part, déporter l infrastructure VMware capable de lancer les machines virtuelles, et d autre part, déporterune partie des disques pour répliquer de façon asynchroneles données des Vms. Si l un des serveurs VMwareest endommagé, le basculement d un serveur à l autre devra être invisible pour l utilisateur. Concernant la réplication des données, deux solutions pourront êtreétudiées : - la mise en place d une fibre optique (Fibre Channel) qui permettra de relier les Switchs SAN entre eux. L entreprise MAZ AIR devra alors rajouter de l espace disque pour ses stockages. - la mise en place d un troisième serveur VMwareet une modification de la licence qui permettra de faire une remontée à chaud des VMs en cas de crash des deux serveurs. Page 8 sur 59

Une partie des VMFS de VmWare pourra ainsi être stockée sur les disques SAS (ERP par exemple) et une autre sur les disques SATA (gestion, comptabilité, paye ). Ce tri se fera en fonction des demandes en ressources des serveurs et de leurs utilisations en entreprise.le serveur de backup ainsi que l espace backup sur la baie de secours deviendront ainsi anodin. 1-7Appel d offres Un appel d offre a été fait à trois fournisseurs : - Apx - Dell - Spie 1-7-1 Proposition d APX : La solution d APX sera donc de : - Déplacer la baie de secours vers la salle 2 - Mettre en place une fibre optique dédiée entre les Switch SAN pour la réplication des données. - Installer un cluster entre les deux serveurs ESX1 et ESX2 de façon à avoir un ESX prêt à fonctionner en cas de panne de l autre. - Mettre en route la réplication asynchrone qui n existe plus à ce jour. Avantage : - Le prix Inconvénients - Si les deux ESX venaient à être en panne en même temps ->Arrêt des serveurs - Nécessite des ressources importantes en stockage - Aucune étude du réseau en réponse aux latences (Voir plus loin) - La licence VMware de base ne supporte pas le redémarrage auto du système Prix : - 18700 Page 9 sur 59

1-7-2 Proposition de DELL : Salle 2 Salle 1 Baie de prod (SAS et SATA) + stockage (sur SATA) La solution de DELL sera de mélanger les disques SAS et SATA afin de supprimer la baie de secours en compartimentant les espaces systèmes et les espaces de stockage. Ceci est réalisable en reconstruisant les RAID matériels (Voir Infrastructure RAID page suivante). Un troisième serveur Vmware(ESX) sera installé avec un stockage et une capacité mémoire capable de remonter à chaud la VMFS et les machines virtuelles endommagées. Avantages : - Migration à chaud des machines virtuelles - Gain de place sur stockage (voir infrastructure RAID) car suppression de la baie de secours - Haute disponibilité (redémarrage automatique après détection d une panne) - Solution mieux étudiée et donc plus élaborée qu APX Inconvénient : - Le prix Prix : - 30000 1-7-3 Proposition de SPIE : A ce jour, nous ne sommes pas en mesure de comparer l offre commerciale de SPIE car nous n avons reçu aucun retour concernant cet appel d offre Page 10 sur 59

1-8Infrastructure RAID mise en place par APX Schéma global d explication SAS Disques de 300Go Un RAID avec tous les disques contenant un espace système de 60 Go SATA Disques de 1T Un RAID avec tous les disques contenant un espace système de 60 Go Le problème actuel est que le RAID matériel n a pas été optimisé lors de sa création. Seulement deux disques ont vraiment besoin d avoir un espace réservé à leur système d exploitation (VMFS). Ce sont les deux seuls qui nécessitent une sauvegarde de la partie «système». Aujourd hui, tous les disques sont copiés de manière à être identiques aux premiers. On perd donc 60 Go sur tous les disques répliqués et il n y a pas de disques HotSpare. En tout : - 60x5 = 300Go de perdus en SAS - 60x7 = 420Go de perdus en SATA 720 Go de perdus au total Dell propose donc une refonte du RAID pour séparer les disques systèmes des disques de stockage afin de récupérer la capacité d espace maximale sur ces disques : SAS RAID n 1 : 720Go Avec systèmes d exploitation 2 disques + 2 disques en RAID RAID 2 : 1200Go Données 2 disques + 2 disques en RAID HS (HotSpare) Disque de secours Page 11 sur 59

SATA RAID n 1 : 720Go Avec systèmes d exploitation 2 disques + 2 disques en RAID RAID 2 : 1200Go Données 2 disques + 2 disques en RAID HS (HotSpare) Disque de secours 1-9 Choix final L entreprise de MAZ AIR a donc choisit la solution de DELL. Un manque de confiance en APX et une solution plus sure de DELL ont fait la différence. 1-10Obligations liées au projet : 1-10-1 Obligations internes : J ai vérifié la validité électrique des nouveaux emplacements en fonction des onduleurs. J en ai profité pour notifier, par des changements de couleurs, les différents éléments à transférer d une salle à l autre ainsi que les nouveaux éléments à installer dans chaque pièce (Annexe 1). 1-10-2 Obligations externes : MAZ AIR doit rendre compte à ses clients de rang 1 sur les dangers de cette migration : j ai donc fait une analyse des risques liés à ce déménagement (Annexe 2). Page 12 sur 59

II - AUDIT DES LATENCES DU RESEAU 2-1 Problématique Les utilisateurs du site de MAZ AIR se plaignent de ralentissements fréquents. 2-2 Objectif Voici les différents points (flèches rouges) qui peuvent bloquer et faire ralentir le réseau : 2-4 Solutions : Afin de résoudre ce problème de latence, j ai vérifié les points suivants : - Configuration matérielle : Installation de Cacti - Configuration réseau local : Test du réseau local avec Iperf - Configuration lignes distantes : Test des réseaux distants (Iperf + SFR) Page 13 sur 59

2-4-1 Vérification de la configuration matérielle : 1. Un besoin Ace jour MAZ AIR n aaucunapplicatif lui permettant de savoir rapidement et facilement comment se comportent ses machines virtuelles. 2. Quelle application? Pour vérifier la configuration matérielle des serveurs de l entreprise, j ai choisi de les superviser avec Cacti. Celogiciel dit de «capacity planning» est basé sur RRDtool. Il permet de surveiller l'activité de son architecture informatique à partir de graphiques quotidiens, hebdomadaires, mensuels et annuels. Cette solution n'est donc pas destinée à alerter en temps réel sur les dysfonctionnements d'un système mais bien de proposer une vision dans le temps de l'évolution d'indicateurs matériels et logiciels (trafic réseau, occupation des disques, taille de la mémoire utilisée, etc.). L installation détaillée de Cacti est présente dans l ANNEXE 8 3. Observations Après plusieurs semaines d utilisation, les graphiques nous ont montré que les ralentissements venaient dutse et de l ERP. Le processeur du TSEest monté régulièrement à 100% saturant ainsi l utilisation du serveur pour tous les autres utilisateurs. L audit auprès du personnel a montré que cela venait derequêtes très gourmandes en ressources processeur. 4. Solutions TSE :Suite à cela nous avons compartimenté les utilisateurs de l atelier sur un TSE et les utilisateurs des bureaux sur un autretse, de façon à limiter l impact de ces requêtes malveillantes. L administrateur réseau a également créé un troisième TSE spécial pour les utilisateurs «spécial grosse requête». FORTIGATE : Cet appareil est au centre du réseau car il sert à la fois de pare-feu et de proxy pour tous les utilisateurs. Cacti m a également été utile pour le superviser car lorsque je suis rentré dans son interface, je me suis rendu compte que l utilisation de son processeur était de 95% avant son redémarrage. J ai également installéun plugin (THOLD) permettant d envoyer un mail d ALERTE au HELPDESK lorsque l utilisation de son processeur dépassait les 80% pendant 5 minutes pour les prévenir de cette montéet un mail d ALARME lorsque son processeur atteignait les 95 % pendant 5 minutes pour qu ils sachent qu un redémarrage est nécessaire par la suite. Page 14 sur 59

2-4-2 Vérification du réseau local et distant Problématique : Le réseau local et distant a-t-il une bande passante suffisante et les lignes SDSL arrivent-elles à saturation certaines fois? Solution : - Test du réseau local et distant avec Iperf - Mesure du flux réseau sur chaque ligne (sniffeurfortigate + courbes SFR)VoirAnnexe 7 Schéma d explication : Description du logiciel Iperf : Ce logiciel de mesure de performance réseau, disponible sur de nombreuses plateformes (Linux, BSD, Mac, Windows ), se présente sous la forme d une ligne de commande à exécuter sur deux machines disposées aux extrémités du réseau à tester. Iperf fonctionne en client/serveur selon le diagramme suivant: Page 15 sur 59

Iperf doit être lancé sur deux machines se trouvant de part et d autre du réseau à tester. La première machine lance Iperf en mode serveur (avec l option -s), la seconde le lance en mode client (option -c). Par défaut le test réseau se fait en utilisant le protocole TCP (mais il est également possible d utiliser le mode UDP avec l option -u). Installation : - Télécharger et installer Iperf - Ouvrir un terminal et se placer dans le répertoire correspondant à Iperf - Lancer les commandes sur le poste client et sur le poste serveur Etude de notre réseau : Dans notre cas nous mesurons la bande passante avec Iperf. 1- J ai tout d abord voulu tester Iperf sur ma machine pour mesurer ma bande passante interne : Ici j ai lancé le serveur sans option (iperf s) qui écoute sur le port 5001 et le client sur la même machine avec les options suivantes : Iperf -c 192.168.200.66 -i 1. Le client envoi pendant 10 secondes des trames TCP et l options i 1 nous fait un rapport tous les 1 secondes. On peut voir que ma bande passante moyenne interne est d environ 1,13 Gbits/sec. 2- Ensuite, j ai testé Iperf en mesurant la bande passante locale qui devrait correspondre à la vitesse des interfaces réseaux (~100 Mbits/s théoriques) Page 16 sur 59

C est vérifié ici car notre bande passante moyenne locale est d environ 88 Mbits/sec. Voici tableau récapitulatif du réseau avec l ajout de l option correspondant à un test sur 60 secondes coté client : Iperf -c 192.168.200.66 -i 1 -t 60 et coté serveur la commande Iperf s. Type Nom client Iperf Client Iperf Serveur Iperf Bande passante Valeur moyenne Système D exploit. Nad 2 192.168.200.31 192.168.200.66 90 M 2008 R2 Qcompta 192.168.200.45 192.168.200.66 5.12 M 2003 TSE2 192.168.200.50 192.168.200.66 5 M 2003 TSE1 192.168.200.51 192.168.200.66 91 M 2008 R2 Paie 192.168.200.44 192.168.200.66 5 M 2008 Silog 192.168.200.28 192.168.200.66 80 M 2008 BES 192.168.200.46 192.168.200.66 4.75 M 2003 MSO 04 192.168.200.5 192.168.200.66 5.21 M XP Maquette 192.168.200.249 192.168.200.66 4.36 M XP Srv clé 192.168.200.228 192.168.200.66 4.83 M XP SilogTest 192.168.200.40 192.168.200.66 82 M 2008 R2 Bodet 192.168.200.47 192.168.200.66 85 M 2008 R2 exchange 192.168.200.34 192.168.200.66 4.52 M 2008 sd LOCAL Imp 192.168.200.35 192.168.200.66 4.80 M 2003 Imp2 192.168.200.42 192.168.200.66 88 M 2008 R2 Cegid 192.168.200.36 192.168.200.66 4 M 2003 Sharepoint 192.168.200.37 192.168.200.66 86 M 2008 R2 TSE admin 192.168.200.43 192.168.200.66 85 M 2008 R2 DATAS 192.168.200.38 192.168.200.66 5 M 2003 Srv back 192.168.200.32 192.168.200.66 4.85 M 2008 sd TSE 4 192.168.200.6 192.168.200.66 5.38 M 2003 Nad1 192.168.200.30 192.168.200.66 84 M 2008 R2 Page 17 sur 59

Marignane (Fibres de Berres) 192.168.207.253 192.168.200.66 750 K / 1.10 M DISTANT Belestat (Salvaire) 192.168.203.13 192.168.200.66 700 K / 1.20 M Vaulx (CemaIndustrie) 192.168.206.254 192.168.200.66 500 K / 1.18 M Colomiers (MSO) 192.168.202.23 192.168.200.66 1.18 Mbits Résultats : - Concernant la bande passante Comme on peut le constater ici : certaines mesures plafonnent à 5Mbits/sec alors qu elles devraient atteindre les 90Mbits/sec. Au début, je pensais plutôt à un problème de réseau.un appareil (switch) ou des câbles endommagés empêchent d utiliser pleinement la capacité des interfaces réseaux qui est de 100 Mbits/sec, car seulement huit équipements sur 20 profitent pleinement de la bande passante de leurs interfaces. Mais après des tests tous positifs concernant les appareils du réseau, j ai dû chercher un autre point commun. Pourquoi certains ordinateurs ont une bande passante maximum de 90Mbits/sec et d autres sont complètement bridés à 5Mbits/sec? Avec l administrateur réseau de l entreprise, Mr Jeanne-Rose, nous avons exploré la piste des systèmes d exploitation.il s est avéré que tous les serveurs qui ne sont pas équipés d un système d exploitation en 2008 R2 disposent d une bande passante (via iperf) très médiocre vers mon serveur iperf sous XP. Après beaucoup d essais et d interrogations pour comprendre à quoi cela était dû, j ai remarqué qu en augmentant la taille des fenêtres TCP de 64k (par défaut) à 128 k (en moyenne), tous les serveurs annonçaient alors une bande passante moyenne de 90Mbits/sec alors qu en laissant la taille des fenêtres TCP à 64k entre deux serveurs 2008, la bande passante reste aussi élevée (90Mbits/sec). - Concernant l utilisation des lignes SDSL Comme l utilisation des lignes SDSL n est utilisée que pour l échange de données des postes légers, d internet pour les rares postes lourds et les différentes sauvegardes du soir et du weekend, les courbes nous montrent des lignes qui ne sont pas du tout saturées. Quelques pointes sont visibles mais seulement pendant les périodes de sauvegardes. En revanche, la ligne concernant internet montre des saturations visibles notamment pendant les périodes de 10h à 12h et de 14h à 16h. Page 18 sur 59

2-5 Conclusion 2-5-1 Concernant le matériel Cactinous a montré que les utilisateurs, par une mauvaise utilisation des requêtes, peuvent créer des problèmes de latence sur le réseau. On a pu constater également que le logiciel d ERP nommé SILOG mettait du temps à répondre. Cela est plus un problème logiciel que matériel car les courbes du serveur hébergeant SILOG sur Cacti sont normales et ne montrent aucune souffrance matérielle. 2-5-2 Concernant la bande passante Le test établi avec le logiciel IPerfa pu vérifier la meilleure prise en compte des paquets TCP par le système d exploitation 2008 R2 comparativement à tous les autres anciens systèmes d exploitation Windows. J ai cherché à augmenter la capacité de la taille des fenêtres TCP de Windows Xp ou de Windows Server 2003 en modifiant la valeur de la taille des fenêtres TCP par défaut (64K) dans la base de registre : sans succès, car les tests Iperf ont montré le même résultat. La différence entre Windows Server 2008 et Windows Server 2003 ou Windows XP est la refonte complète de la pile TCP/IP et l intégration du protocole IPV6. Ce qui permet une meilleure prise en charge des grandes vitesses de transfert. Reste à savoir si Iperf possède son propre système de création de fenêtre Tcp ou s il utilise, et donc modifie, la taille des fenêtres par défaut de Windows pour ses tests avec l option -w. Je n ai pas réussi à obtenir cette information. Une solution intéressante serait de migrer tous les serveurs en 2008 R2 ou en système Unix. 2-5-3 Concernant l utilisation des lignes SDSL On a pu vérifier que la connexion aux sites distants grâce aux lignes SDSL était bien suffisante par rapport aux données y circulant. Cependant, une solution de VOIP est à l étude.il est donc préférable de ne pas modifier sa bande passante dans l attente du projet de migration téléphonique. Concernant la ligne Internet : il serait peut-être plus opportun d augmenter sa bande passante disponible. Cela éviterait quelques latences du navigateurinternet pour tous les utilisateurs. Page 19 sur 59

III PRESTATIONS SUPPLEMENTAIRES 3-1 TSE Pour répartir la charge sur les TSE, j ai basculé une vingtaine d utilisateurs du TSE principal vers un autre TSE. Pour cela, j ai dû reconfigurer les platines des postes légers, reconnecter les imprimantes, réinstaller la messagerie et attribuer de nouveaux droits dans Active Directory. J ai également installé deux nouveaux TSE pour assurer la redondance du matériel et une continuité de services pour les utilisateurs. J ai installé un équilibrage de la charge utilisateurs entre deux TSE (session broker). 3-2 Partage de données J ai créé un dossier avec un accès restreint pour la direction de l entreprise. J ai ensuite créé un exécutable que j ai envoyé par mail à chaque personne concernée, ceci permettant l installation de ce partage de manière simple et rapide sur leur poste de travail (Annexe 3). 3-3 Sauvegarde Je me suis aussi intéressé à la gestion des sauvegardes. En effet, pour améliorer mes connaissances sur le fonctionnement des sauvegardes de l entreprise, j ai étudié en Annexe 4 les tâches planifiées permettant les sauvegardes journalières. 3-4 Centralisation des logs Chaque jour, un membre de l équipe du service d information doit effectuer ce que le personnel appelle un «daily». Ce contrôle quotidien oblige à vérifier sur chaque serveur le bon fonctionnement des bases de données, des sauvegardes et aussi l absence de logs d erreur. Ce «daily» leur prend du temps. J ai donc essayé de leur en faire gagner en centralisant la vision des logs(annexe5). 3-5 GLPI J ai participé à la mise en place d un outil de surveillance et de gestion du réseau (GLPI) en installant un plugin sur GLPI permettant de référencer tous les matériels réseaux où l installation d un agent OCS est impossible (switch, hub, routeur, imprimante ), afin de compléter et d améliorer le fonctionnement du logiciel de gestion GLPI (Annexe 6). Page 20 sur 59

IV CONCLUSION GENERALE Ces deux mois passés à MAZ AIR m ont permis de mieux me rendre compte des différentes fonctions d un service informatique et des différentes interventions qui rythment ses journées. Une équipe compétente et chaleureuse m a vraiment fait apprécier ces deux mois de stage. Le côté relationnel et le côté technique sont deux parties que j affectionne et qui sont présents dans ce métier. J ai pris beaucoup de plaisir à résoudre les différents problèmes auxquels j ai été confronté pour mettre en œuvre les différentes tâches qui m ont été confié. Ce stage m a vraiment conforté dans mon choix professionnel. Page 21 sur 59

Annexe 1 : Bilan électrique Avant modification SALLE 1 Marque ref type tension (V) ampere (A) P nominal (W) Pmax (W) EMC² DS-300B switch 48 57 EMC² DS-300B switch 48 57 hp procurve 2610-48 switch 230 0,8 66 hp procurve 2610-24 switch 230 0,4 41 dell R710 serveur tse2 600 PowerVault 114T disquette 85 dell R610 serveur 502 dell R710 serveur 600 dell R710 serveur 600 EMC² Ax4 stockage SAS 230 1,8 450 EMC² Ax4 stockage SATA 230 1,8 450 Fortinet fortianalyser 100C analyser 230 1,5 56 hp procurve 2824 switch 230 0,3 50 hp procurve 2626 switch 230 1,5 100 Western Digital disque externe stockage 20 Batterie Onduleur1 Batterie Onduleur2 Batterie Onduleur3 Batterie Onduleur4 TOTAL MAX 3734 SALLE 2 Marque ref type tension (V) ampere (A) P nominal (W) Pmax (W) EMC² iomega storecenter stockage ix12-300r 200 dell R710 serveur tse1 570 ienovo pc pc MAQUETTE 250 ienovo pc pc ISA 250 dell pc pc SRVCLE 250 hp procurve 2626 switch 230 1,5 100 hp procurve 2626 switch 230 1,5 100 Fortinet fortigate 80C firewall/proxy 230 0,8 32 Fortinet fortigate 80C firewall/proxy 230 0,8 32??? petit switch 9port switch 30 Batterie Onduleur5 Batterie Onduleur6 TOTAL MAX 1814 Pmax (W) Pnom (W) Nb de Bat exttemps de maintien avec abaque (min) resumé salle 1 3734 1244,66667 3 281 04:41:00 salle 2 1814 604,666667 1 241 04:01:00 Page 22 sur 59

Apres modification élément déplacé d'une salle à l'autre élément rajouté SALLE 1 Marque ref type tension (V) ampere (A)P nominal (W) Pmax (W) Fortinet fortianalyser 100Canalyser 230 1,5 56 hp procurve 2824 switch 230 0,3 50 hp procurve 2626 switch 230 1,5 100 dell R710 serveur tse2 600 dell R710 serveur tse3 600 dell R510 serveur de replication 500 hp procurve 2626 switch 230 1,5 100 hp procurve 2626 switch 230 1,5 100 Batterie Onduleur5 Batterie Onduleur6 TOTAL MAX 2106 SALLE 2 Marque ref type tension (V) ampere (A)P nominal (W) Pmax (W) dell R710 serveur tse1 570 ienovo pc pc MAQUETTE 250 ienovo pc pc ISA 250 dell pc pc SRVCLE 250 Fortinet fortigate 80C firewall/proxy 230 0,8 32 Fortinet fortigate 80C firewall/proxy 230 0,8 32??? petit switch 9portswitch 30 EMC² DS-300B switch 48 57 EMC² DS-300B switch 48 57 hp procurve 2610-48 switch 230 0,8 66 hp procurve 2610-24 switch 230 0,4 41 EMC² iomega storecenter stockage ix12-300r 200 PowerVault 114T disquette 85 dell R610 serveur 502 dell R710 serveur 570 dell R710 serveur 570 EMC² Ax4 stockage SAS 230 1,8 450 EMC² Ax4 stockage SATA 230 1,8 450 Western Digital disque externe stockage 20 Batterie Onduleur1 Batterie Onduleur2 Batterie Onduleur3 Batterie Onduleur4 dell R710 serveur tse4 600 Batterie Onduleur6 TOTAL 5082 Pmax (W) Pnom (W) Nb de Bat avec abaque (min) resumé salle 1 2106 702 3 485 08:05:00 salle 2 5082 1694 1 94,7 01:34:42 Page 23 sur 59

G (Gravité / Severity ) O (Occurrence) ND (Non-Détection / Detectability) R/IPR (Risque/Risk) G (Gravité / Severity ) O (Occurrence) ND (Non-Détection / Detectability) R/IPR (Risque/Risk) Annexe 2 : Analyse des risques Système / Projet / Processus : (ex. : Numéro de projet) Infrastructure IS IT Objectifs du plan (contexte) : Fonction / Système Mode de défaillance (ou situation critique) Effets potentiels / Conséquences Cause possible Mesure de réduction du risque pour réduire l'occurrence (O) Mesure de réduction du risque pour réduire la non-détection (ND) Cotation du risque Risk quotation Transport Casse matérielle Infiltration d'eau Matériel inutilisable risques électriques défaillance transporteur / Casse, Bien proteger les matéreils des chocs Surveiller la reception du materiel et Chocs, Intempéries et de l'eau lors du transfert. Savoir exactement quel matériels doivent être transférés et dans quelle salle pour limiter les manipulations inutiles. les transferts. 4 2 2 16 L Sauvegarde des données Transfert des données du matériel déjà présent au matéreil du prestataire faussé Perte de données. Panne matériels, pannes logiciels / Ou défaillance prestataire Système redondants Message d'erreur lors du transfert des données. Vérification de la capacité de stockage des supports. 4 2 2 16 L Restitution des données Transfert des données du matéreil du prestataire au nouveau matériel faussé Perte de données. Panne matériels, pannes logiciels / Ou défaillance prestataire Système redondants Message d'erreur lors du transfert des données. 4 2 2 16 L Transfert des données durée du transfert des données Système informatique faible débit de transfert des très longue inopérationel pour la rentrée du données / problémes lors du personnel en début de semaine transfert des données Estimer la capacitée de données à transferer et le temps de transfert Surveiller le taux de transfert des donnée. 4 2 1 8 J Infrastructure IS IT Arrêt brutal de l'alimentation générale électrique <4H Pas de perte d'activité ni de perte de données ou de configuration matérielle Pas d'alimentation électrique par la source (RME). Tout le réseau intégralement ondulé pour une durée effective de 4H. Envoie de messages au SI durant chaque panne secteur. 3 4 4 48 L Matériels Matériels non compatibles Système inutilisable Matéreils de marque diférente Un seul fournisseur : DELL 3 1 1 3 J Minimiser les risques d'arrêts des activités et service en phase de fonctionnement normal lors de la modification de l'infrastructure dans le cadre de la migration du DataCenter. Equipe : Michaël LARRIEU Action corrective / préventive Responsable Date planifié de fin de réalisation Date réelle de fin de réalisation Avancement Retard + : Avance ; - : Retard Date de solde (Efficacité avérée en revue) Cotation du risque (risque résiduel) Risk quotation (risidual risk) Surveillance de la bonne réception du matériel, de son déplacement et de son instalation / Protection lors du transfert du materiel grâce a des flight cases : plus de risque de choc et protection contre l'humidité. Faire une analyse des éléments à transferer. Prévoir des emballages adaptés pour le transport en interne des serveurs ESX et des batteries d'onduleurs Michaël Larrieu 16/12/2011 1 2 2 4 Vérification de la totalité et de l'integrité des données transferées / Vérifier l'integrité des sauvegardes Michaël Larrieu 16/12/2011 1 2 2 4 J J Vérification de la totalité et de l'integrité des données transferées / Vérifier l'integrité des sauvegardes Michaël Larrieu 16/12/2011 1 2 2 4 J Estimer le temps de transfert des données à transferer.si le Michaël Larrieu 16/12/2011 1 2 1 2 transfert dure trop longtemps, on reviendra au système actuel. J Vérifier la capacité des onduleurs à délivrer le courant necessaire pour chaque nouvelle salle pour un temps défini de 4h Michaël Larrieu 09/12/2011 1 1 4 4 Michaël Larrieu 16/12/2011 1 1 1 1 J J Page 24 sur 59

Annexe 3 : Mise en place d un partage spécialisé - Création d un groupe dans l Active Directory : - Ajouter les membres que l on désire dans ce groupe - Créer un fichier partagé et n autoriser l accès qu à ce groupe : - Pour que le dossier partagé soit caché même si l on a permis l affichage des dossiers cachés dans les options des dossiers, il faut taper en ligne de commande : ATTRIB texte.txt -s -h -s pour l attribut fichier système -h pour l attribut fichier cachés Pour retrouver les attributs d origine, il faut taper : ATTRIB texte.txt +s +h Le fichier est maintenant invisible de n importe où sauf sur le serveur de fichiers où il est stocké. J ai ensuite créé un.bat que j ai envoyé par mail en.zip aux personnes concernées pour leur créer un nouveau lecteur de partage dans leur poste de travail qui contenait : net use * "\\IPduserveur\services\DDGARDNER" /PERSISTENT:YES Cette ligne va monter un partage avec une lettre disponible (*) et va se connecter au répertoire \\IPduserveur\services\DDGARDNERde façon permanente. Ce partage ne pourra s installer automatiquement qu avec les personnes se trouvant dans le groupe AD précédemment créer. Un nom d utilisateur et un mot de passe sont demandés dans le script de lancement lors de son utilisation par un utilisateur non autorisé. Page 25 sur 59

Annexe 4 : Gestion des sauvegardes Je me suis intéressé ensuite à toutes les sauvegardes présentes sur MAZ AIR afin de mieux comprendre leur fonctionnement. L entreprise possède beaucoup de bases de données et doit donc les sauvegarder tous les jours. Pour ce faire, on va planifier des tâches automatiques chaque jour (en principe) et y lancer un fichier.bat où va être écrit un petit script de sauvegarde. Exemple sur DATAS : Taches planifiés : Dossier de commandes : Page 26 sur 59

Scripts : Dans ces scripts, on utilise la commande ROBOCOPY qui est finalement bien plus puissante que COPY ou encore XCOPY pour les sauvegardes. Ici, une sauvegarde est faite tous les jours de la semaine sauf le weekend, et est valable une semaine (du lundi au lundi ). Les scripts ROBOCOPY_MAZAIR indiquent une copie des dossiers FAI et BE présents sur le disque datas vers le disque IOMEGA (partage) Q:\ avec les options suivantes : 2) /E = copie-les sous répertoires même vides 3) /SEC = copie les fichiers avec les mêmes sécurités 4) /R :2 = nombre d essai en cas d échec de la copie (défaut :1 million!) 5) /W :2 = temps d attente entre les essais (défaut : 30 secondes) 6) /LOG:file = créer le fichier log de cette copie à l endroit voulu. 7) Set mydate= %date:~6,4%%date :~3, 2%%date:~0, 2% = Créer la variable mydate sans «/» %date:~6,4% = 6 vers la droite et 4 vers la gauche = année = 2011 %date:~3,2% = 3 vers la droite et 2 vers la gauche = mois = 11 %date:~0,2% = 0 vers la droite et 2 vers la gauche = jour = 22 8) Move Q:\...logcopy.txt Q:\...logcopy-%mydate%.txt = renomme le log avec la date Page 27 sur 59

Annexe 5 : Centralisation des logs Durant mon stage, j ai pu remarquer que l équipe technique passait une partie de son temps à remplir une feuille journalière (daily) sur laquelle elle vérifiait les logs des différents serveurs et la réplication de leur base de donnée. J ai donc décidé de mettre en place une centralisation des logs pour leur faire gagner du temps. Pour ce faire, j ai utilisé le protocole Syslog (de base sur Linux) qui se compose d'une partie cliente et d'une partie serveur. La partie cliente émet les informations sur le réseau, via le portudp 514. Les serveurs collectent les informations et se chargent de créer les journaux. L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus rapidement et efficacement les défaillances d'ordinateurs présents sur un réseau. Côté client Windows, j ai utilisé le logiciel SNARE qui est une interface graphique qui permet de voir et de configurer les logs récupérés sur le serveur. On va pouvoir éliminer les logs acceptés et les logs refusés Côté serveur Windows, j ai utilisé kiwi Syslog qui va centraliser les logs sur le serveur et permettre de garder un historique des erreurs. En revanche, le logiciel de référence syslog server est devenu payant sur un autre système d exploitation que celui de Linux. Après des essais sur CYGWIN (qui émule un système d exploitation de type Linux sur Windows), je me suis rendu compte que ce logiciel ne gèrait pas les bases de données. Je me suis finalement orientée vers une console MMC bien paramétrée qui semble être la meilleure solution dans mon cas. Page 28 sur 59

Annexe 6 : Ajout du plugin fusioninventory sur GLPI Présentation : FusionInventory est un logiciel libre dont les fonctionnalités principales sont l inventaire du matériel et la découverte réseau et qui complète la gestion de parc et le helpdesk de l outil GLPI. FusionInventory est composé d une collection de plugins (extensions) qui dialoguent avec un agent installé sur les postes clients (FusionInventory-Agent) pour permettre : 1) L inventaire local des ordinateurs (matériel, logiciel, antivirus) 2) La prise en charge et la mise à jour des ordinateurs déjà dans GLPI. La découverte réseau avec gestion des matériels inconnus 3) L inventaire distant des switchs et imprimantes (grâce au protocole SNMP) 4) La récupération des informations sur les ports, les VLANs et liaison entre ports des switchs et matériels présents dans GLPI (ordinateurs, imprimantes réseau, switchs...) 5) L historique des changements sur chaque port de switch et rapports 6) Le niveau des cartouches des imprimantes, relevé journalier des compteurs de pages et rapports Installation sous Windows : Télécharger le plugin sur le site de fusioninventory (http://fusioninventory.org). Décompresser le(s) répertoire(s) et les placer dans le fichier c:\xamp\glpi\plugins. Il faut maintenant les activer dans GLPI : Configuration>Plugins Une fois activé, il faut maintenant configurer le plugin : plugin>fusioninventory>configuration Activer tous les modules dans l onglet «module des agents» Page 29 sur 59

Maintenant que le plugin est configuré, il faut installer un agent fusioninventory sur un ordinateur. Il faut télécharger un exécutable sur le site de fusioninventory qui va installer l agent et il vous faudra seulement modifier l adresse IP du serveur durant son installation : server : http://ipduserveurglpi/glpi/plugins/fusioninventory/front/plugin_fusioninventory.communication.php Ensuite, l activer en cliquant sur l icône dans Démarrer>tous les programmes>fusioninventory-agent et forcer un premier inventaire. Il faut maintenant l activer dans GLPI : Vérifier qu il est bien présent sur GLPI et double cliquez dessus Activer ici aussi tous les modules de l agent Page 30 sur 59

Créer maintenant une nouvelle plage IP pour définir la plage de découverte de l agent Ensuite il faut créer une tâche pour l exécution de l agent Donner un nom à cette tâche Choisissez le mode push Donner un nom à l action Choisir découverte réseau Attribuer la plage d adresse IP précédemment créée. Associer l agent à cette tâche Forcer un inventaire et normalement l agent devra communiquer à l agent sa nouvelle tâche. Page 31 sur 59

Vous trouverez ensuite les nouveaux matériels réseaux, détectés par l agent, qui n ont pas déjà été remontés dans l onglet matériel inconnu : Si vous voulez les transférer dans GLPI, il faut double cliquer sur l élément en question et passer la case «matériel approuvé» sur oui. Vous retrouverez cet appareil dans l onglet inventaire de GLPI. Cette tâche «découverte réseau» va aller questionner le matériel pour trouver le nom, l adresse MAC, l adresse IP et, si disponible, des informations de connexion snmp. Pour questionner plus en détails les matériels avec le protocole SNMP, il faut modifier la tâche précédemment créée et changer la case découverte réseau en inventaire réseau (SNMP). Forcer un nouvel inventaire et une fois la tâche terminée, vous pourrez trouver des informations supplémentaires dans l onglet Fusionsnmp sur vos matériels remontés dans GLPI tels que : 7) Les connexions actives ou non avec la vitesse de chaque port et le nombre de données envoyées et reçues sur les switchs : Page 32 sur 59

8) Les niveaux d encre et le nombre d impressions sur les imprimantes : Page 33 sur 59

Annexe 7 : Lecture de trame sur FORTIGATE pour mesurer des VPN grâce à Wireshark Description : - Fortigate : FortiGate est une gamme de boitiers de sécurité UTM (appliance sécurité tout en un) comprenant les fonctionnalités firewall, Antivirus, système de prévention d'intrusion (IPS), VPN (IPSec et SSL), filtrage Web, Antispam et d'autres fonctionnalités: QoS, virtualisation, compression de données, routage, policyrouting, etc. Les récents modèles comportent des ports accélérés par ASIC qui permettent d'optimiser le trafic au niveau des ports. Les boitiers de cette gamme sont isofonctionnels. Ils s'adaptent à chaque besoin depuis la TPE, avec la famille des FG50 jusqu à l opérateur avec le FG5000, en passant par les FG110C, FG310B, FG620B pour les moyennes et grosses entreprises. - FortiAnalyzer FortiAnalyzer est un boitier qui permet de centraliser les journaux des équipements Fortinet (FortiGate, FortiMail, FortiManager et FortiClient), de procéder à des analyses et de générer des reportings sur l'activité réseaux et sécurité. L entreprise de MAZ AIR possède un FortiGate80C couplé à un FortiAnalyseur100C Principe : - Connexion ssh sur Fortigate - Lancement commande sniffer et redirection sortie standard vers fichier.txt - Transformer le.txt en.pcap lisible par Wireshark - Filtrer avec Wireshark Pré-requis : Instalation Un émulateur de terminal comme Putty Un éditeur de texte simple comme Notepad Un interpréteur de Perl comme ActivePerl installé sur Windows (http://www.activestate.com) Le fichier fgt2eth.pl qui converti les.txt en.pcap à télécharger et placer dans le répertoire de Wireshark : ATTENTION : il possède une erreur : VOIR ANNEXE 1 TER Un analyseur de protocole comme Wireshark 1 - Sur votre ordinateur de gestion, démarrez PuTTY. Page 34 sur 59

2 - Utilisez PuTTY pour vous connecter à l'appareil FortiAnalyzer en utilisant soit une console locale de série, SSH ou connexion Telnet. 3 - Tapez la commande de capture de paquets : Dans cet exemple, nous allons mesurer la consommation du VPN du site FIBRES DE BERRES configuré en 192.168.207.0/24 : diagnose sniffer packet any 'net 192.168.207.0/24' 3 ATTENTION : Ne pas appuyer sur Enter encore. 4 - Dans le coin supérieur gauche de la fenêtre, cliquez sur l'icône de PuTTY pour ouvrir son menu déroulant, puis sélectionnez Change Settings Un dialogue apparaît dans lequel vous pouvez configurer PuTTY pour sauver la sortie vers un fichier texte. 5 - Dans l'arborescence de catégorie sur la gauche, allez à la session loggin. 6 - Dans l'enregistrement de session, sélectionnez Printable output. 7 - Dans le nom du fichier de log, cliquez sur le bouton Parcourir, puis choisissez un chemin de répertoire et nom de fichier comme Z:\essai damien\capturenet207.txt pour sauver la capture des paquets dans un fichier texte brut. (Vous n'avez pas besoin de l'enregistrer avec l'extension du fichier. Log.) Ps : Prendre un disque avec beaucoup d espace! 8 - Cliquez sur Apply. Page 35 sur 59

9 - Appuyez sur Entrée pour envoyer la commande CLI pour le FortiAnalyser : début de capture de paquets. 10 - Si vous n'avez pas spécifié un nombre de paquets à capturer, quand vous avez capturé tous les paquets que vous souhaitez analyser, appuyez sur Ctrl + C pour arrêter la capture. 11 - Fermez PuTTY. 12 - Ouvrez le fichier de capture de paquets en utilisant un éditeur de texte tel que Notepad. 13 - Supprimer les premières et dernières lignes, qui ressemblent à ceci: =~=~=~=~=~=~=~=~=~=~=~= PuTTY log 25/07/2011 11:34:40 = ~ = ~ =~=~=~=~=~=~=~=~=~= FortiAnalyzer-2000 # Ces lignes ne font pas partie de la capture de paquets. Si vous ne les supprimez pas, elles pourraient interférer avec le script à l'étape suivante. Page 36 sur 59

14 - Convertir le fichier texte dans un format reconnaissable par votre application analyseur de protocole réseau. Vous pouvez convertir le fichier texte dans un format (. Pcap) reconnaissable par Wireshark (anciennement appelé Ethereal) en utilisant le script Perl fgt2eth.pl : Ouvrez une invite de commande, placez vous dans le repertoire de Wireshark puis entrez une commande comme la suivante: fgt2eth.pl en packet_capture.txt-out packet_capture.pcap où: fgt2eth.pl est le nom du script de conversion; inclure le chemin relatif au répertoire courant, qui est indiqué par l'invite de commande packet_capture.txt est le nom du fichier de sortie de la capture des paquets; inclure le chemin du répertoire relatif à votre répertoire courant packet_capture.pcap est le nom du fichier de sortie du script de conversion est; inclure le chemin du répertoire relatif à votre répertoire courant où vous souhaitez que la sortie convertie soit sauvée. 16 - Ouvrez le fichier converti avec Wireshark! Page 37 sur 59

Apres une demande auprès de SFR, la société nous a communiqué l adresse d un site extranet où des graphiques de nos lignes VPN et internet sont disponibles. On y trouve pour chaque site distant la charge (en %), le volume (en Octet) et un récapitulatif des données des courbes. Ces données peuvent être visualisées par jour, par semaine, par trimestre ou par année. Cela vient consolider mon point de vue sur l utilisation très faible du réseau.commeon peut le voir avec la valeur moyenne de la charge pour le mois d octobre, par exemple, qui est seulement de 2.63 % en entrant et de 0.68 % en sortant. Dans le trimestre de Janvier à Mars, nous avons 2.56 % en entrant et 26.63 % en sortant, dans le deuxième trimestre d Avril à Juin, on trouve 2.65 % en entrant et 12.12 % en sortant. On remarque donc que la ligne VPN n est pas du tout saturée. Cela est logique. En effet, la plupart des utilisateurs travaillent sur des postes légers connectés au TSE. Tout le flux internet arrive au TSE et donc, transitent dans la ligne VPN, la vue de leurs bureaux virtuels et quelques commandes uniquement. Toutes leurs données restent à Maz air! Page 38 sur 59

Comparaison du trafic entre Fortigate et SFR : Voici le graphique de SFR correspondant à la charge en % de la matinée du 29 Novembre : Voici le graphique Fortigate de Wireshark lancé à 12h le 28 Novembre ; Pour voir le graphique à 6h le jour suivant il suffit de rajouter 12h à 6h = 18h : On peut voir que la valeur max correspond à environ 300 Kbytes/sec. Si SFR prend comme valeur maximum le débit de 1640 Kbytes/sec qu il annonce on a bien : (300 x 100) / 1640 = 18,3 % On retrouve cette valeur dans le graphique du trafic de SFR. Page 39 sur 59

Annexe 1 ter : Modification du fichier fgt2eth.pl Une faute est présente dans le fichier Perl «fgt2eth.pl» concernant la variable des heures $hour qui fausse le graphique de Wireshark : Avant modification : Après modification : Page 40 sur 59

Annexe 8 : Installation du logiciel de supervision CACTI Sommaire Présentation... 42 RRDtool... 42 CACTI... 42 Rappel succinct sur le protocole SNMP... 42 Liste des fichiers SNMP... 44 Difficultés rencontrées... 44 Annexe 1bis... 45 Installation de Cacti.... 45 Annexe 2bis... 49 Installation du SNMP sur les serveurs... 49 Activation sur les serveurs antérieurs à Windows Server 2008 :... 49 Activation sur Windows Server 2008 :... 50 Modification du service SNMP... 50 Annexe 3bis... 51 Création d un graphique dans Cacti... 51 Créer un serveur à monitorer... 51 Déterminer les options des graphiques... 52 Créer une nouvelle entrée (branche) sur l arbre et y transférer les graphiques... 53Erreur! Signet non défini. Annexe 4bis... 54 Installation d un plugin... 54 Installation d un nouveau plugin... 55 Exemple de configuration du plugin THOLD... 56 Annexe 5bis... 58 Informations confidentielles... 58 Page 41 sur 59

Présentation L entreprise de MAZ AIR n a aujourd hui aucun visuel lui permettant de savoir rapidement et facilement comment se comporte ses machines virtuelles. J ai donc proposé d installer Cacti qui est un logiciel de supervision (dit de «capacity planning») basé sur RRDtool permettant de surveiller l'activité de son architecture informatique à partir de graphiques quotidiens, hebdomadaires, mensuels et annuels. Cette solution n'est donc pas destinée à alerter en temps réel sur les dysfonctionnements d'un système mais bien de proposer une vision dans le temps de l'évolution d'indicateurs matériels et logiciels (trafic réseau, occupation des disques, taille de la mémoire utilisée, etc.). RRDtool RRDtool est un outil de gestion de base de données RRD (round-robin database) créé par TobiOetiker. Il est utilisé par de nombreux outils open source, tels que Cacti, collectd, Lighttpd, et Nagios, pour la sauvegarde de données cycliques et le tracé de graphiques, de données chronologiques. Cet outil a été créé pour superviser des données serveur, telles que la bande passante et la température d'un processeur. Le principal avantage d'une base RRD est sa taille fixe. RRDTool inclut également un outil permettant de représenter graphiquement les données contenues dans la base. RRDTool est un logiciel libre distribué selon les termes de la GNU GPL. CACTI Cacti est un logiciel écrit en PHP, s'appuyant sur un base de données MySQL pour stocker tous ses éléments de configuration et sur RRDtool pour créer les fichiers RRD, les peupler et obtenir les graphiques correspondants. Il a pour objectif de faciliter les manipulations parfois fastidieuses de RRDtool. Rappel succinct sur le protocole SNMP Un matériel, quel que soit sa fonction (imprimante, commutateur, routeur, poste de travail, etc.), dispose d'innombrables informations de gestion (le nombre de page imprimées d'une imprimante, le trafic sur chaque port d'un commutateur, etc.) très intéressantes pour l'administrateur réseau. Plusieurs versions de SNMP (SNMPv1, SNMPv2 et SNMPv3) ont été décrites et publiées dans de nombreuses RFC. Le protocole SNMP permet notamment à ces derniers, grâce à un agent SNMP présent sur chaque matériel, de connaître en temps réel ces informations de gestion. L'agent SNMP peut fonctionner de deux manières : - il reste à l'écoute des éventuelles requêtes (port UDP 161) que l'administrateur lui enverra : il peut alors répondre ou modifier un paramètre ; Page 42 sur 59

- il peut aussi émettre des alertes de sa propre initiative, si sa configuration le lui permet (trap SNMP sur le port UDP 162). L'agent SNMP gère une base de données normalisée appelée la MIB (Management Information Base) regroupant des objets créés de manière hiérarchique à l'image du système DNS (Domain Name System). Voici un exemple de table MIB extrait du site http://www.frameip.com La MIB est une structure arborescente dont chaque noeud (un objet) est défini de manière unique par un nombre ou OID (Object Identifier ou "identificateur d'objets"). Elle contient une partie commune à tous les agents SNMP en général, une partie commune à tous les agents SNMP d'un même type de matériel et une partie spécifique à chaque constructeur. Chaque équipement à superviser possède sa propre MIB. Chaque niveau de la hiérarchie est donc repéré par un index numérique et SNMP n'utilise que celui-ci pour y accéder. Par exemple, on peut lire la valeur de "l'uptime" d'un poste sous linux (c'est-à-dire le temps depuis lequel la machine est en marche) à partir de l'oid suivant :.1.3.6.1.2.1.1.3.0. Mais tout ceci n'a d'intérêt que s'il existe des applications destinées à interroger la MIB. C'est le rôle des "manager" SNMP qui peuvent être très simples (ligne de commande) ou beaucoup plus sophistiqués (comme l'outil "openview" de HP). On interroge cette MIB grâce à des commandes comme snmpwalk ou snmpget. De nombreuses applications complètes de supervision réseau exploitent ces outils. Une authentification basique existe via la création de groupes de sécurité disposant d'une sorte de mot de passe, appelé "community" ou en français «communauté» qui auront accès en lecture seule ou en lecture/écriture (l'écriture étant quand même beaucoup plus rare), et ce, sur tout ou sur certaines branches seulement. En général, la plupart des matériels utilise par défaut la communauté "public" non sécurisé qui a le droit de lecture sur les informations non sensibles. Page 43 sur 59

Liste des fichiers SNMP Voici la liste des fichiers que Windows 2003 a besoin pour activer le service SNMP : Difficultés rencontrées Pas de graphique ou graphique vierge : attendre un petit peu que le poller se lance une ou deux fois avant de commencer à voir des courbes. Regarder les logs du poller si elles n apparaissent toujours pas : C:\\xampp\htdocs\cacti\log\cacti.log Les graphiques s arrêtent dans la nuit : Vérifier les paramètres de la tâche automatisée. Dans mon cas j avais laissé la case «démarrer à l ouverture d une session» cochée. Lors du redémarrage journalier, le poller n arrivait pas à se relancer tout seul. Page 44 sur 59

Annexe 1bis Installation de Cacti. Pour que Cacti fonctionne, il lui faut une base de données, une interface web et une librairie php. Pour cela nous avons installé Xampp qui est un pack très facile d installation. Ce pack comprend notamment mysqlserver pour la base de donnée, Apache pour l interface graphique et aussi des librairies de langages comme Php ou Perl. Une fois Xampp installé, il faut télécharger la dernière version de Cacti et les divers fichiers nécessaires au logiciel: - Cacti : http://www.cacti.net/download_cacti.php - Outils SNMP (prendre binaries pour windows) : http://www.net-snmp.org/download.html - Outils Rddtool (prendre.zip pour windows) : http://oss.oetiker.ch/rrdtool/pub/?m=d Décompresser le fichier et placer le dans le répertoire «htdocs» de Xampp (C:\\xampp\htdoc) puis renommer le en «cacti» pour une meilleure facilité d utilisation par la suite. Ensuite, il faut créer une nouvelle base de données SQL pour Cacti et lui affecter un utilisateur et un mot de passe. Le tout en ligne de commande donc Démarrer>Exécuter>cmd : - Créer la base de données MySQL - Importer la base par défaut de Cacti: Page 45 sur 59

- Créer un utilisateur cactiuser et un mot de passe MySQL. Renseigner ensuite la configuration de Cacti dans C:\xampp\htdocs\cacti\include\config.php Aller sur la page internet de Cacti : http://@ipduserveur/cacti La charte de Cacti : Choisir New Install : Page 46 sur 59

Renseigner les chemins des divers éléments suivants : - Snmpwalk.exe - Snmpget.exe - Snmpbulwalk.exe - Snmpgetnext.exe - Rddtool.exe - Php.exe - Chemin pour les logs L installation de Cacti est quasiment terminée, il ne reste qu à créer une tâche automatisée qui va lancer le poller toutes les cinq minutes : - Description de la tâche - Exécuter avec les droits d administrateur même si une session n est pas ouverte - Lancer la tâche au démarrage du système et la relancer toutes les cinq minutes après son déclenchement. Page 47 sur 59

- Lancer le fichier c:\xampp\htdoc\cacti\poller.php - Définir les conditions - Définir les paramètres L installation de Cacti est terminée Page 48 sur 59

Annexe 2bis Installation du SNMP sur les serveurs Le principe est le même pour tous les serveurs Windows : - Ajouter la fonctionnalité SNMP - Modifier le service SNMP - Ajouter la communauté - Spécifier qui peut accéder à cet ordinateur via le protocole SNMP Activation sur les serveurs antérieurs à Windows Server 2008 : 1- Panneau de configuration>ajout /suppression de programmes 2- Ajouter des composants Windows 3- Outils de gestion d analyse>details 4- Cocher «SNMP (Protocole simplifié de gestion de réseau)» et «SNMP WMI» L installation va alors commencer et vous devrez insérer le cd d installation de Windows pour pouvoir la finaliser. Page 49 sur 59

Activation sur Windows Server 2008 : 1- Gestionnaire de serveur 2- Fonctionnalités>Ajouter des fonctionnalités 3- Cocher «Services SNMP» Modification du service SNMP Il se trouve dans les versions antérieurs à Windows Server 2008 en faisant un clic droit sur Poste de travail>gérer>services et applications>services Ou dans l onglet Configuration dans le Gestionnaire de serveur pour Windows Server 2008. Double cliquer sur «Service SNMP», onglet Sécurité : - Ajouter une Communauté - Spécifier la(les)machine(s) qui pourront venir l interroger avec du SNMP. Page 50 sur 59

Annexe 3bis Création d un graphique dans Cacti Principe : - Créer un serveur à monitorer - Déterminer les options des graphiques - Créer une nouvelle entrée (branche) sur l arbre - Transférer les graphiques dans cette branche Aller sur la page principale pour se logger : http://@ipduserveur/cacti Username : admin Password : admin Créer un serveur à monitorer Donc une fois logger sur Cacti, on arrive sur la page principale. - Aller dans l onglet Devices et cliquer sur Add Page 51 sur 59

Puis renseigner : - le nom du serveur - l adresse IP - choisir le Template correspondant au serveur : Ici Windows Serveur donc «Windows 2000/XP host» - mettre la version SNMP n 2 - la communauté Déterminer les options des graphiques Aller dans l onglet «New Graphs» sur la gauche. - Choisir l hôte sur lequel on veut créer les graphiques - Passer en revue les différents types de graphes et cocher les options souhaitées à chaque page - Appuyer sur à chaque page modifiée Page 52 sur 59

Créer une nouvelle entrée (branche) sur l arbre et y transférer les graphiques Aller dans l onglet «Graphs Trees» sur la gauche. - Appuyer sur Add - Rentrer le nom que vous voulez voir s afficher sur l arbre des graphiques puis - Là vous venez de créer une branche principale. Il faut maintenant y ajouter les objets. Pour cela il faut cliquer sur le nom que vous venez de créer puis sur Add - Sélectionner host puis ajouter autant d objet que vous souhaitez un par un VOILA Lorsque vous allez sur l onglet graph en rouge en haut à gauche, vous pourrez visualiser les graphiques précédemment créés. Page 53 sur 59

Page 54 sur 59

Annexe 4bis Installation d un plugin Installer tout d abord le plugin architecture qui est le plugin nécessaire pour en ajouter des suivants. L activez dans «User management» (Colonne de gauche) puis sélectionner Admin. Cocher la case «plugin management» pour l activer. Vous trouverez désormais un nouvel onglet «plugin management» sur le bandeau de gauche. Installation d un nouveau plugin Télécharger le plugin Placer le fichier dans c:/xampp/htdocs/cacti/plugins (Ps : si le dossier plugins n existe pas, il faut le créer) Rajouter le.sql dans la base de données C:/xampp/mysql/bin/mysql u root p cacti< c:/xamp/htdocs/cacti/plugin/monplugin/fichier.sql Dans le dossier de configuration du plugin, rajouter au début : /* Default database settings*/ $database_type = "mysql"; $database_default = "cacti"; $database_hostname = "localhost"; $database_username = "cactiuser"; $database_password = "cactipassword"; $database_port = "3306"; $plugins = array(); $plugins[] = 'monitor'; $config['url_path'] = '/cacti/'; Page 55 sur 59

Coller tous les éléments du fichier image de Cacti dans le fichier image du plugin. Exemple de configuration du plugin THOLD Tholdest le premier module d'alertequi s'intègre parfaitement avec le moteur graphique de Cacti. - Il exploite les graphiques de Cacti pour générer des alertes et envoi un mail d avertissement ou d alerte aux utilisateurs sélectionnés. Voilà la configuration pour permettre d envoyer un mail : Note : Ne pas mettre de Password! Cacti ne supporte pas l authentification 504 5.7.4. Faites un test email et Cacti doit vous répondre : Page 56 sur 59

Vous devez ensuite créer un Thresholds qui est une alerte par seuil : Sur la colonne de gauche Onglet Management >Thresholds Cliquer sur Add en haut à droite et créer votre alerte en choisissant votre serveur. NOTE : Vous pouvez créer des alertes pour un ensemble de valeur comme tous les CPU par exemple grâce aux «ThresholdTemplates» (colonne de gauche). Voici un exemple d alerte qui préviendra le helpdesk de MAZ AIR lorsque le CPU ou la MEMOIRE dépasseront les 80% (warning) et 90 % (alerte). Page 57 sur 59