1 Table des matières INTRODUCTION... 2 PRESENTATION... 2 OBJECTIF... 2 ARCHITECTURE GENERALE... 3 RESSOURCE... 4 LES PRE-REQUIS... 4 Quagga... 4 Netkit et installation... 5 Materiel d interconnexion... 7 Les routeurs... 7 Creation du LAB... 7 Rédaction du fichier lab.conf... 8 Serveur Web (apache2... 15 Sécurisation des données... 16 Firewalls et configuration... 16 Serveur de bas de données... 19 Serveur de fichier... 19 Tests de connexion... 19 Conclusion... 19 Bibliothèque... 19
2 SIMULATION D INFRASTRUCTURE RESEAU SUR NETKIT INTRODUCTION Notre Projet est une compilation des différentes informations disponibles sur le Web et dont les sources sont mentionnées dans la bibliographie en fin de document. Simulation de ressources physiques, réduction de dépense sur les machines physiques, diminution de la consommation électrique minimisation de cout. Utiliser une machine virtuelle présente plusieurs avantages. Il peut être facilement installé sans interférence avec les applications et les services de la machine hôte. Les ressources physiques l'ordinateur peuvent être réparties entre les machines virtuelles. Les machines virtuelles peuvent également être copiés et déplacés d'un ordinateur sur un autre. Ils se comportent comme des systèmes réels, et ensuite, sont vraiment de bons environnements pour de nouveaux tests. PRESENTATION OBJECTIF Le but de ce LAB est de simuler dans un environnement LINUX UML (User Mode Linux) une architecture réseau sur netkit. Comme sur une pléthore d'outils de virtualisation existants, Netkit est un environnement pour la mise en place et la réalisation d'expériences de mise en réseau à faible coût et avec peu d'effort. Il permet de «créer» de plusieurs dispositifs de réseau virtuel (routeurs à part entière, commutateurs, ordinateurs, etc.) qui peuvent être facilement reliés entre eux pour former un réseau sur un seul PC. Les équipements de mise en réseau sont virtuels, mais disposent d'un grand nombre des caractéristiques des vrais, y compris l'interface de configuration. Netkit permet de simuler des réseaux complexes, il donne la possibilité de virtualiser des matériels réseaux à savoir les routeurs, les switchs, les postes clients, les serveurs et toutes sortes de liaisons permettant la communication au sein d'un réseau physique. Notre tâche sera donc de Simuler un scénario dans lequel nous mettrons en œuvre ospf (Open Shortest Path First) sur des équipements réseau (des routeurs) dans une aire en vue de son optimisation. Création de VLANs, installation, configuration de serveur de base de données (SQL), de serveur de Stockage (NFS)
et Sécurisation des données. Enfin mettre à disposition ces données aux utilisateurs via des serveurs HTTP en load balancing. 3
ARCHITECTURE GENERALE 4
5
6 RESSOURCE Un Pc (physique) CentOS release 6.6 (Final) machine physique Un total de 25 machines virtuelles 9 Routeurs virtuels netkit-kernel-i386 Deux firewalls Un poste administrateur 3 postes clients 10 serveurs netkit-filesystem-fx netkit-2.8 LES PRE-REQUIS Quagga 1. Installation de Quagga Les logiciels traditionnels de routage un ensemble de programmes de traitement qui fournissent toutes les fonctionnalités de protocole de routage. Quagga adopte une approche différente. Elle est faite à partir d'une collection de plusieurs démons qui travaillent ensemble pour construire la table de routage. Il peut y avoir plusieurs démons de routage spécifiques au protocole zebra et le gestionnaire de routage du noyau. Le démon ripd gère le protocole RIP, tandis qu ospfd est un démon qui prend en charge la version OSPF 2. Bgpd supporte le protocole BGP-4. Pour changer la table de routage du noyau et pour la redistribution des routes entre différents protocoles de routage, il y a un noyau routage gestionnaire de table de zebra démon. Il est facile d'ajouter de nouveaux démons de protocole de routage à l'ensemble du système de routage sans affecter tout autre logiciel. Ainsi, l'utilisateur peut exécuter un démon spécifique et envoyer des rapports de routage à une console de routage central. Il n'y a pas besoin de ces démons à être exécutés sur la même machine. On peut exécuter plusieurs démons du protocole sur la même machine. Cette architecture crée de nouvelles possibilités pour le système de routage. Quagga est une suite de logiciels qui met en œuvre un support multi routage (OSPFv2, OSPFv3, RIPv1, RIPv2, RIPng et BGP-4). Le démon de zebra est le noyau de quagga qui gère l'interaction de la table de routage du noyau et les démons pour les protocoles de routage individuels. Chaque démon a son propre fichier de
7 configuration dans le répertoire /etc/quagga Schéma technique QUAGGA : Pour l installer, ouvrez le terminal et tapez : yum -y install quagga Netkit et installation 1. INSTALLATION DES PRE-REQUIS Téléchargez ces fichiers dont les liens sont répertoriés cidessous sur le site officiel: Netkit2.8 Netkit-files-system Netkit-kernel Extrayez-les avec les commandes suivantes tar -xjf netkit-2.8.tar.bz2 tar -xjf netkit-kernel-i386-k2.8.tar.bz2 tar -xjf netkit-filesystem-i386-f5.2.tar.bz2 Dans le fichier /netkit/bin/script_utils Pour obtenir les fonctionnalités de routeur, il faut modifier le fichier /netkit/ HUB_COMMAND="$NETKIT_HOME/bin/uml_switch -tap $TAP_DEVICE -hub -unix $1 </dev/null
8 2>&1" HUB_COMMAND="$NETKIT_HOME/bin/uml_switch -hub -unix $1 </dev/null 2>&1" Pour donner ceci: HUB_COMMAND="$NETKIT_HOME/bin/uml_switch -tap $TAP_DEVICE -unix $1 </dev/null 2>&1" HUB_COMMAND="$NETKIT_HOME/bin/uml_switch -unix $1 </dev/null 2>&1" Ensuite, export NETKIT_HOME=~/netkit export MANPATH=:$NETKIT_HOME/man export PATH=$NETKIT_HOME/bin:$PATH tar -xjf netkit-2.8.tar.bz2 tar -xjf netkit-kernel-i386-k2.8.tar.bz2 tar -xjf netkit-filesystem-i386-f5.2.tar.bz2 cp -r netkit /opt/ chown diakite /opt/netkit/ -R yum install compat-libstdc++-296.i686 compat-libstdc++-33.i686 yum install xterm ########à exécuter dans le terminal### export NETKIT_HOME=/opt/netkit export MANPATH=$MANPATH::/opt/netkit/man export PATH=/opt/netkit/bin:$PATH nano ~/.bashrc ###############à coller ce contenu à la fin du fichier### export NETKIT_HOME=/opt/netkit export MANPATH=$MANPATH::/opt/netkit/man export PATH=/opt/netkit/bin:$PATH nano /opt/netkit/bin/script_utils dd if=/home/sks/téléchargements of=/dev/sda conv=notrunc,noerror nano /etc/quagga/daemons chmod 777 /etc/quagga/ospfd.conf /etc/init.d/zebra restart vtysh conf t router ospf
9 network do sh ip route sysctl net.ipv4.ip_forward=1 iptables -A PREROUTING -t nat -p tcp -d 16.0.0.2 --dport 80 \ -j DNAT --to 192.168.0.1:80 iptables -t nat -A POSTROUTING -j MASQUERADE iptables-save sysctl net.ipv4.ip_forward=1 iptables -A PREROUTING -t nat -p tcp -d 16.0.0.2 --dport 22 \ -j DNAT --to 192.168.0.5:22 iptables -t nat -A POSTROUTING -j MASQUERADE iptables-save do wr do copy run st exit exit exit tail -f /var/log/quagga/bgpd.log nano /etc/quagga/daemons xterm -fg white -bg black chmod 777 /etc/quagga/ospfd.conf /etc/init.d/zebra restart vtysh conf t router ospf network do sh ip route
10 sysctl net.ipv4.ip_forward=1 Afin que ces commandes soient prises en compte par bash et que vous n ayez pas à les refaire à chaque fois, il est plus intéressant de les copier dans le fichier ~/.bashrc cd $NETKIT_HOME./check_configuration.sh Materiel d interconnexion 1. Configuration OSPF sur les routeurs Dans la topologie (OSPF), chaque routeur inonde son état local ( utilisable interfaces, des voisins accessibles ) à travers le réseau, en utilisant l'annonce d'état de liaison(lsa)sur la base de ces informations, chaque routeur construit et maintient un base de données d'état de liaison(lsdb)décrivant l'ensemble de la topologie du réseau identique pour (presque) tous les routeurs chaque entrée est l'état local d'un routeur chaque routeur utilise la lsdb pour calculer un plus court chemin enraciné sur sa propre interfaces. Les routeurs Un routeur est le contrôleur de votre réseau dont le but principal est de diviser le signe internet via des domaines de collision. Il a des fonctions multiples, qui permettent tout un ensemble de fonctionnalités dont on ne peut citer la liste exhaustive. 1. NAT - Network Address Translation - Un routeur dispose de 2 côtés, un côté LAN ou réseau local (où vos ordinateurs sont) et un côté WAN ou réseau large où l'internet est Le routeur permet à plusieurs ordinateurs d utiliser une adresse IP Internet par commutation Ethernet d'un ordinateur à la fois pour la connexion Internet et de garder des traces de l'endroit où chaque ordinateur se connecte. 2. En raison de cette fonctionnalité NAT, le routeur est un pare-feu - en empêchant d'autres tentatives de connexion à votre ordinateur de se produire. Un routeur a beaucoup plus de capacités que d'autres
11 périphériques réseau tels qu un hub ou un switch qui ne sont en mesure d'effectuer les fonctions de base du réseau. Par exemple, un hub est souvent utilisé pour transférer des données entre ordinateurs ou périphériques réseau, mais ne pas analyser ou faire quoi que ce soit avec les données qu'il transfère. Cependant, un routeur de réseau peut prendre les données envoyées sur un réseau, changer la façon dont il est emballé et l'envoyer à un autre réseau ou sur un autre type de réseau. Par exemple, les routeurs sont couramment utilisés dans les réseaux domestiques de partager une seule connexion Internet avec les ordinateurs. Creation du LAB Nous disposons de 25 machines, pour la mise en place du LAB, il faut créer un dossier et un fichier startup pour chacune d elles dont voici un Pour ce faire, ouvrez le terminal et tapez : mkdir LABO && cd LABO && mkdir -p nfs1 nfs2 R1 http1 http2 http3 ldap dns nfs4 dns http1 http2 http3 ldap nfs1 nfs2 nfs4 R1 R2 R3 R4 R5 R6 R7 R8 R9 Exemple du contenu du fichier startup du Routeur6 ifconfig eth0 192.168.1.254 up ifconfig eth1 1.0.0.1 up ifconfig eth2 2.0.0.1 up /etc/init.d/zebra start /etc/init.d/inetd start NETKIT: SCHEMA TECHNIQUE
12 Rédaction du fichier lab.conf LAB_Version=1 LAB_Email= sks@sks.com LAB_AUTHOR="sks" LAB_Web="http://www.sks.com" LAB_Description="Projet de simulation d'infrastructures Réseau avec l'utilitaire de virtualisation NETKIT" R1[0]=O R1[1]=P ldap[0]=o http1[0]=o dns[0]=o http2[0]=o http3[0]=o nfs4[0]=o nfs1[0]=o R2[0]=O R2[1]=P DB1[0]=O DB2[0]=O DB3[0]=O R3[0]=B R3[1]=U R3[2]=O FW1[0]=G FW1[1]=B FW2[0]=M FW2[1]=U R4[0]=D R4[1]=E R4[2]=G R4[3]=J R4[4]=H R5[0]=L R5[1]=W R5[2]=I R5[3]=M R5[4]=H R6[0]=A R6[1]=D R6[2]=C client2[0]=a R7[0]=Z R7[1]=K R7[2]=L Administrateur[0]=Z R8[0]=B
13 R8[1]=C R8[2]=F R8[3]=E R8[4]=I client1[0]=b R9[0]=F R9[1]=K R9[2]=J R9[3]=W R9[4]=N client[0]=n Ci-dessous, une capture d écran du contenu de notre dossier LABO 1. Les commandes netkit Pour démarrer des VMs isolées vstart, démarrer une VM vlist, afficher les VMs actives vconfig, affecter une interface à la
14 volée à une machine virtuelle.(vconfig eth0=dc1 nsf1 - affecte eth0 à la VM nfs1, dans le domaine de collision dc1) vhalt, arrête une VM vcrash, déclenche un crash virtuel vclean, nettoie les processus et configurations (ATTENTION! à utiliser avec modération au risque de perdre la config de ses machines) Un laboratoire est une maquette comprenant plusieurs VMs lstart, lancer un laboratoire netkit lhalt, arrêter le laboratoire lcrach, déclencher un crash de toutes les VM lclean, supprimer les fichiers temporaires linfo, information sur le laboratoire ltest, vérification du bon fonctionnement du laboratoire Utilisation: lstart [ options] [ nom-machine ]... Cette commande peut être utilisée pour démarrer un laboratoire Netkit. Selon la ligne de commande arguments, il est possible de démarrer le tout laboratoire ou juste une partie de la machines virtuelles qui le composent. Les options disponibles sont : -d répertoire Supposons que le laboratoire pour être démarré est situé à l'intérieur de répertoire. Par défaut, il est supposé que le laboratoire est situé dans le répertoire courant. -F, --force- Laboratoire Par défaut, Netkit refuse de démarrer un laboratoire dans un répertoire qui n'a ni un lab.conf ni un fichier lab.dep. Cette option permettre si vous voulez vraiment démarrer un laboratoire sans l'un de ces deux fichiers. 2. Configuration OSPF sur les routeurs OSPF (Open Shortest Path First) La version 2 est un protocole de routage qui est décrit dans RFC2328, OSPF Version 2. OSPF est une IGP (Interior Gateway Protocol). Comparé au RIP, OSPF peut fournir un soutien de réseau évolutif et avec un des plus rapides temps de convergence. OSPF est largement utilisé dans les grands réseaux tels qu ISP (Internet Service Provider) la colonne
15 vertébrale et les réseaux d entreprise. Il n'y a pas d'options spécifiques ospfd. Les options communes peuvent être spécifiées (voir les options Invocation communs) pour ospfd. Ospfd besoin d'acquérir des informations d'interface de zebra pour fonctionner. Par conséquent zèbre doit être en cours d'exécution avant d'invoquer ospfd. En outre, si le zèbre est redémarré alors ospfd doit l'être aussi. Comme d'autres démons, la configuration se fait en ospfd OSPF fichier de configuration spécifique ospfd.conf Configuration des paramètres interface. Tous les exemples se trouvent dans le dossier /usr/share/doc/quagga/ Pour ce faire, ouvrez le terminal et tapez : ~#R1:~# cd /etc/quagga nano daemons Modifiez le fichier comme sur l image qui suit et enregistrez le fichier puis tapez /etc/init.d/zebra restart Enfin, pour avoir accès à la console comme sur un routeur CISCO, Tapez la commande vtysh
16 Il en va de même pour tous les autres routeurs R7 R6
17 R5 Le principe de la configuration des routeurs est basé sur
18 3. Configuration Mpls Serveur Web (apache2 4. Configuration d apache Se connecter sur le server et taper la commande : /etc /init.d /apache start Se déplacer dans le dossier /var/www et modifier le contenu du fichier index.html. Dans chaque fichier nous mettrons le numéro du serveur afin que lorsqu on implémentera le NLB, l on puisse constater son bon fonctionnement 5. Configuration de (BIND9) La configuration de bind9 est similaire est similaire à celle des serveurs debian.. Nous avons choisi comme nom de domaine sks.com Nano /etc/resolv.conf
19 Zone de recherche direct Nano /etc/bind/ Zone inversée
20
21
22 6. Implémentation du network load balancing http Sécurisation des données Firewalls et configuration 7. Iptables Un pare-feu est une pièce essentielle de la défense de l entreprise contre les menaces électroniques. Il sert de portier entre les serveurs de l entreprise et le monde extérieur, un pare-feu bien entretenu saura non seulement de garder les menaces extérieures, mais il peut également alerter sur des problèmes plus subtils en interceptant les données sortantes. Le pare-feu Un pare-feu est un morceau de logiciel qui se dresse entre un ordinateur ou d'un réseau et de l'internet. Connecter un ordinateur directement au réseau mondial est comme laisser la porte ouverte, permettant aux étrangers le libre accès au système. Toute demande passera pour les systèmes vulnérables, permettant à des tiers sans scrupules d exploiter nos ordinateurs pour leur propre profit. Un pare-feu sert à bloquer ces demandes non autorisées, en passant par le trafic uniquement désigné.
23 8. Filtration Le but principal d'un pare-feu est le filtrage de paquets. Quand un ordinateur envoie une requête sur Internet, il prend la forme de petits paquets de données, qui se déplacent à travers le réseau à leur destination. Le serveur cible répond avec ses propres paquets de données, qui renvoient le long de la même route. Le pare-feu surveille tous les paquets qui le traversent, compte tenu de sa source, la destination et le type de données qu'il contient, et il compare cette information à son ensemble de règles internes. Si le pare-feu détecte que le paquet n est pas autorisé, il supprime les données. Typiquement, les pare-feu autorisent le trafic de ces programmes communs email ou des navigateurs Web, tout en rejetant la plupart des demandes entrantes. Il est également possible de configurer un pare-feu pour interdire l'accès à certains sites Web ou des services pour empêcher les employés d'accéder aux ressources non-travail tandis que sur l'horloge. 9. Les commandes iptables Dans notre cas nous allons juste mettre un port forwarding afin que les requêtes émises par les clients parviennent au serveur adéquat. (DNS : 25, http : 80, ssh : 22 nfs : 111 ) Firewall 2 sysctl net.ipv4.ip_forward=1 iptables -A PREROUTING -t nat -p tcp -d 17.0.0.2 --dport 80 \ -j DNAT --to 192.168.0.1:80 iptables -t nat -A POSTROUTING -j MASQUERADE iptables-save sysctl net.ipv4.ip_forward=1 iptables -A PREROUTING -t nat -p tcp -d 17.0.0.2 --dport 22 \ -j DNAT --to 192.168.0.5:22 iptables -t nat -A POSTROUTING -j MASQUERADE iptables-save La règle que nous appliquerons au pare-feu Pour permettre tous SSH entrant, le trafic HTTP et HTTPS. iptables -A INPUT -i eth0 -p tcp -m multiport --dports 22,80,443 -m state -- state NEW, ESTABLISHED -j ACCEPT
24 iptables -A OUTPUT -o eth0 -p tcp -m multiport --sports 22,80,443 -m state -- state ESTABLISHED -j ACCEPT Permettre le trafic SSH sortant Les règles suivantes permettent la connexion ssh sortant de l'intérieur vers un serveur extérieur. iptables -A OUTPUT -o eth0 -p tcp --dport 22 -m state --state NEW, ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT Autoriser SSH sortantes à un réseau spécifique Les règles suivantes permettent la connexion ssh sortant seulement à un réseau spécifique. c.-à-vous un ssh seulement 172.16.0.0/24 réseau à partir de l'intérieur par exemple sur les serveurs nfs. iptables -A OUTPUT -o eth0 -p tcp -d 172.16.0.0/24 --dport 22 -m state --state NEW, ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 22 -m state --state ESTABLISHED -j ACCEPT Autoriser HTTPS sortants Les règles suivantes permettent le trafic web sécurisé sortant. Ceci est utile lorsque qu on souhaite autoriser le trafic Internet pour les utilisateurs. Sur les serveurs, ces règles sont également utiles pour télécharger des fichiers à partir de l'extérieur. iptables -A OUTPUT -o eth0 -p tcp --dport 443 -m state --state NEW, ESTABLISHED -j ACCEPT iptables -A INPUT -i eth0 -p tcp --sport 443 -m state --state ESTABLISHED -j ACCEPT Remarque: Pour le trafic Web HTTP sortant, ajouter deux règles supplémentaires comme celle-ci, et changer 443 à 80 dans les règles cidessus. #listing des règles iptables --list #Pour effacer toutes les règles en cas d erreur iptables -F iptables -X iptables -t nat -F iptables -t nat -X iptables -t mangle -F iptables -t mangle -X iptables -P INPUT ACCEPT iptables -P OUTPUT ACCEPT Serveur de bas de données 1. Configuration mysql Dans ce serveur, il faut créer les différents utilisateurs qui auront droit à la connexion sur ledit serveur
25 2. Configuration ssh server Serveur de fichier Instalation et configuration de nfs Tests de connexion Conclusion Bibliothèque
26
27
28
29
30
31
32
33