RESTRUCTURATION ET SECURISATION RESEAUX

Documents pareils
Configuration des VLAN

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

PRODUCTION ASSOCIEE. Le réseau de la M2L est organisé VLANs et comporte des commutateurs de niveau 2 et des routeurs.

Les réseaux /24 et x0.0/29 sont considérés comme publics

Configuration du matériel Cisco. Florian Duraffourg

Les Virtual LAN. F. Nolot. Master 1 STIC-Informatique 1

Exercice Packet Tracer : configuration de réseaux locaux virtuels et d agrégations

Plan. École Supérieure d Économie Électronique. Plan. Chap 9: Composants et systèmes de sécurité. Rhouma Rhouma. 21 Juillet 2014

Mission 2 : Prise de contrôle à distance sur les éléments d'infrastructures, les serveurs (Contrôleur de domaine et DHCP) et les clients

VLAN Trunking Protocol. F. Nolot

Mise en service d un routeur cisco

SUJET DES FINALES NATIONALES Sujet jour 1 version 1

La qualité de service (QoS)

Documentation : Réseau

mbssid sur AP Wifi Cisco

TP réseau Les réseaux virtuels (VLAN) Le but de se TP est de segmenter le réseau d'une petite entreprise dont le câblage est figé à l'aide de VLAN.

Date : 08/02/12 SISR1 tp.topologie.reseau.wan Durée : 2 h

Le protocole VTP. F. Nolot 2007

Exercice Packet Tracer : Configuration de base des réseaux locaux virtuels

Dispositif sur budget fédéral

Réseaux Locaux Virtuels

Travaux pratiques : dépannage de la configuration et du placement des listes de contrôle d'accès Topologie

Administration Switch (HP et autres)

Configurer le Serveur avec une adresse IP Statique (INTERFACE :FastEthernet) : et un masque

Travaux pratiques IPv6

comment paramétrer une connexion ADSL sur un modemrouteur

Table des matières Nouveau Plan d adressage... 3

TP Réseau 1A DHCP Réseau routé simple

IUT d Angers License Sari Module FTA3. Compte Rendu. «Firewall et sécurité d un réseau d entreprise» Par. Sylvain Lecomte

PROJET D INTERCONNEXION

Fonctionnement du protocole DHCP. Protocole DHCP (S4/C7)

TP : STATION BLANI 2000 SIMULATION DU RESEAU INFORMATIQUE

Proxy Proxy = passerelle applicative Exemple: proxy/cache FTP, proxy/cache HTTP. Conclusion. Plan. Couche réseau Filtres de paquets (routeur)

Les logos et marques cités dans ce document sont la propriété de leurs auteurs respectifs

Mise en place des réseaux LAN interconnectés en

CASE-LINUX CRÉATION DMZ

WGW PBX. Guide de démarrage rapide

TCP/IP, NAT/PAT et Firewall

Packet Tracer : configuration des listes de contrôle d'accès étendues, scénario 1

Travaux pratiques : configuration de la traduction d adresses de port (PAT)

TP réseaux Translation d adresse, firewalls, zonage

VTP. LAN Switching and Wireless Chapitre 4

Travaux pratiques Configuration du protocole DHCP avec SDM et l interface de ligne de commande Cisco IOS

Amiens Métier 39 : Gestion des réseaux informatiques. Jour 2, première partie. Durée : 3 heures

Travaux pratiques : configuration et vérification des listes de contrôle d'accès IPv6 Topologie

INTRUSION SUR INTERNET

Les Virtual LAN. F. Nolot 2008

Présentation et portée du cours : CCNA Exploration v4.0

TP Configuration de l'authentification OSPF

Projet PacketTracer en Labo, et Authentification Wi-Fi Serveur RADUIS (NPS)

GNS 3 Travaux pratiques

LABO TELEPHONIE. Etude et réalisation de la Téléphonie sur IP (VoIP) avec Cisco Call Manager et Asterisk

Mise en place du labo

Administration de Réseaux d Entreprises

Enregistreur Energie Electrique et Tele Surveillance GTB8 sur RESEAUX IP ETHERNET

TP5 VOIP résidentiel étendu Page 1 sur 7 Lp Ampere CLAVAUD

La technologie de contrôle d accès réseau 802.1x et son implémentation pratique

Clément Prudhomme, Emilie Lenel

VIDEO SURVEILLANCE SV82400 SV82500 SV82600 Type de panne cause Que faire? VIDEO SURVEILLANCE IPSV87050 VIDEO SURVEILLANCE IPSV87050 SERR1

Présentation et portée du cours : CCNA Exploration v4.0

TR2 : Technologies de l'internet. Chapitre VI. NAT statique et dynamique Overloading (PAT) Overlapping, port Forwarding Serveur Proxy, DMZ

Les ACL Cisco. F. Nolot Master 2 Professionnel STIC-Informatique 1

Documentation «Swiss-galaxy»

Réseau : Interconnexion de réseaux, routage et application de règles de filtrage.

TP SECU NAT ARS IRT ( CORRECTION )

Projet de sécurité d un SI Groupe Défense

MAUREY SIMON PICARD FABIEN LP SARI

Projet tuteuré : Mise en place d une solution Triple Play sur un DSLAM

Le routeur de la Freebox explications et configuration

Installation et mise à jour des IOS sur les routeurs ou les switchs Cisco

RESEAUX MISE EN ŒUVRE

Exercice : configuration de base de DHCP et NAT

Déclaration des postes SIP 67xxi

CAMERA DOME AMELIORÉE DE SURVEILLANCE EN RÉSEAU GUIDE D INSTALLATION

Routage Statique. Protocoles de Routage et Concepts. Version Cisco Systems, Inc. All rights reserved. Cisco Public 1

CISCO, FIREWALL ASA, CONFIGURATION ET ADMIN.

Mise en place de la Téléphonie sur IP au U6

2. MAQUETTAGE DES SOLUTIONS CONSTRUCTIVES. 2.2 Architecture fonctionnelle d un système communicant.

25/08/2013. Vue Nagios. Vue Nagios. Le réseau du lycée

BC9000-BK9000. Paramétrage et configuration de l adresse IP

Mise en place d un cluster NLB (v1.12)

Offre de stage. Un(e) stagiaire en informatique

Plan. Programmation Internet Cours 3. Organismes de standardisation

Pour les caméras IP de modèles : QSTC201 QSTC211. Surveillance à distance via Internet Guide de démarrage

Note de première mise en service. Passerelle ipro-04n. TTPMSiPRO04N R1.0 fr

Jean-Louis Cech descente des Princes des Baux Orange Orange : 20 juin 2014.

TP c Fonctions des listes de contrôle d'accès multiples (TP avancé)

MISE EN PLACE DU FIREWALL SHOREWALL

TER Réseau : Routeur Linux 2 Responsable : Anthony Busson

Services Réseaux - Couche Application. TODARO Cédric

Installation d un serveur virtuel : DSL_G624M

Réseaux. Moyens de sécurisation. Plan. Evolutions topologiques des réseaux locaux

Fiche programme Stage OmniPcx Office Communication Base R7.x (PCIS_OBAR7xJ4)

Préparer, installer puis effectuer la mise en service d'un système. SUJET

Etape 1 : Connexion de l antenne WiFi et mise en route

Master d'informatique 1ère année. Réseaux et protocoles. Architecture : les bases

LAB : Schéma. Compagnie C / /24 NETASQ

Téléphonie Cisco. - CME Manager Express = Logiciel dans un routeur, version simplifiée du call manager.

Guide de démarrage rapide

Travaux pratiques : configuration des routes statiques et par défaut IPv6

Transcription:

BTS SIO 14 RESTRUCTURATION ET SECURISATION RESEAU PPE 1 ÉPREUVE E4 Page 1 PIERRE DERNIAME BTS SIO 2012-2014

PRESENTATION DU PROJET... 3 I. CONTETE DU PPE... 3 II. SOLUTION... 3 CONFIGURATION SWITCH... 6 I. INITIALISATION DES SWITCH... 6 II. CONFIGURATION DU VTP... 6 1. Configuration du trunk entre les deux switch... 6 2. Configuration du switch "Serveur":... 7 3. Configuration switch "Client":... 7 III. CONFIGURATION DES VLANS... 8 1. Création des VLAN... 8 2. Attribuer un VLAN à un port... 8 3. Attribuer un VLAN à plusieurs ports... 8 CONFIGURATION DU ROUTEUR... 9 I. INITIALISATION... 9 II. COMMUNICATION INTER-VLAN... 9 1. Trunk... 9 2. Configuration des interfaces... 9 III. REDIRECTION DES PORTS... 10 3. Interfaces... 10 4. NAT... 10 IV. LISTE DE CONTROLE D'ACCES... 11 1. Interface FastEthernet 0/1.10 (VLAN10)... 11 2. Interface FastEthernet 0/1.20 (VLAN20)... 12 3. Résultat... 12 SAUVEGARDE DES CONFIGURATIONS... 13 1. Sauvegarde local... 13 2. Sauvegarde sur serveur FTP... 13 CONCLUSION... 14 BILAN... 15 I. PROBLEMES RENCONTRES... 15 1. ACL... 15 2. Redirection de port de port (NAT)... 15 II. BILAN PERSONNEL... 15 Page 2

PRESENTATION DU PROJET I. Contexte du PPE Entreprise MAD (Matériel Anti Déflagrant). Cette entreprise de 38 personnes demande à une société de services informatiques une étude permettant de proposer une solution pour isoler les flux réseaux des VLANs du service informatique et du service direction, et les sécuriser dans le réseau local de l entreprise. II. Solution La solution retenue est la mise en place de : Plusieurs VLANs via deux switch de 24 ports ; Un VLAN pour chaque service de l entreprise (7), avec adressage en 192.168..0. Le protocole VTP y sera en plus implémenté. De plus, un routeur sera mis en place, pour la communication inter VLANs via un trunk, ainsi que pour la mise en place d ACLs pour la partie contrôle d accès et de flux. Les matériels utilisés sont les suivants : Un Serveur (Mail + FTP) ; Ordinateurs ; Un Routeur Cisco 2800 ; Deux Switch Cisco 2950. Les logiciels utilisés sont : HyperTerminal. Page 3

SCHEMA INITIAL

SCHEMA FINAL

CONFIGURATION SWITCH I. Initialisation des switch Hostname : SwitchServeurVTP Mot de Passe à l'accès Privilégié : cisco Hostname : SwitchClientVTP Mot de Passe à l'accès Privilégié : cisco II. Configuration du VTP Je choisis de mettre le protocole VTP (VLAN Trunking Protocol) pour la synchronisation des VLANs entre les deux switchs. Cela permet un gain de temps en cas de modifications des VLANs. Pour cela, il faut consacrer un port sur les deux switchs pour la connexion entre les deux : Il faut faire un Trunk. Je vais configurer l'un des deux en tant que switch "serveur" et l'autre en tant que switch "client". Comme cela, les modifications ne se ferons que sur le switch "serveur" et se synchroniserons directement sur le switch "client". 1. Configuration du trunk entre les deux switch Switch> enable Switch# configure terminal Switch(config)# interface FastEthernet 0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# exit A faire sur les deux Switch Page 6

2. Configuration du switch "Serveur": SwitchServeurVTP> enable SwitchServeurVTP# configure terminal SwitchServeurVTP(config)# vtp domain mad.biz.st SwitchServeurVTP(config)# vtp password Azerty123 SwitchServeurVTP(config)# vtp version 2 SwitchServeurVTP(config)# vtp mode server 3. Configuration switch "Client": SwitchClientVTP> enable SwitchClientVTP # configure terminal SwitchClientVTP (config)# vtp domain mad.biz.st SwitchClientVTP (config)# vtp password Azerty123 SwitchClientVTP (config)# vtp version 2 SwitchClientVTP (config)# vtp mode client Page 7

III. Configuration des VLANs Je vais donc créer 7 VLANs, une par service de l entreprise, numéroté de 10 à 70. Ensuite, affecter les VLANs sur les ports des switch. 1. Création des VLAN SwitchServeurVTP> enable SwitchServeurVTP# configuration terminal SwitchServeurVTP (config)# vlan 10 SwitchServeurVTP (config-vlan)# exit A répéter 7 fois pour le nombre de VLANs. 2. Attribuer un VLAN à un port SwitchServeurVTP>enable SwitchServeurVTP# configuration terminal SwitchServeurVTP (config)# interface FastEthernet0/1 SwitchServeurVTP (config-int)# switchport access vlan 10 3. Attribuer un VLAN à plusieurs ports SwitchServeurVTP (config)#interface range Fa0/10 Fa0/15 SwitchServeurVTP (config-if-range)#switchport access vlan 30 Vlan database du SwitchServeurVTP Page 8

CONFIGURATION DU ROUTEUR I. Initialisation Hostname : SwitchClientVTP Mot de Passe à l'accès Privilégié : cisco Adresse de configuration à distance : 192.168.xxx.xxx 255.255.255.0 II. Communication Inter-VLAN 1. Trunk Pour la communication entre le switch et le routeur, il n y a pas nécessité de créer un trunk sur le Routeur. Il faut juste en créer un sur le switch. Pour cela, je prends le port 23 du SwitchServeurVTP. SwitchServeurVTP> enable SwitchServeurVTP# configure terminal SwitchServeurVTP (config)# interface FastEthernet 0/23 SwitchServeurVTP (config-if)# switchport mode trunk SwitchServeurVTP (config-if)# exit 2. Configuration des interfaces À la place du trunk sur le routeur, il faut créer une interface virtuelle pour chaque VLAN et l associer au VLAN correspondant. Chaque interface aura pour adresse ip 192.168.xxx.250 (xxx étant le numéro du VLAN). Routeur (config)# interface FastEthernet0/1.10 Routeur (config-if)# encapsulation dot1q 10 Routeur (config-if)# ip address 192.168.10.250255.255.255.0 Routeur (config-if)# no shutdown Routeur (config-if)# exit Numéro du VLAN À répéter pour chaque VLANs. Page 9

III. Redirection des ports Pour que les flux nécessaires aux diverses applications arrivent correctement, le router doit rediriger les ports vers le serveur. Pour cela, il faut définir les diverses interfaces du routeur en tant qu «inside» (dans le réseau de l entreprise) ou «outside» (dans le réseau public, du FAI). Puis, il faut définir les flux à rediriger vers le serveur. 3. Interfaces L interface dans le réseau privé du FAI est l interface FastEthernet 0/0, donc elle est considérée comme «outside» : Routeur> enable Routeur# configure terminal Routeur (config)# interface FastEthernet0/0 Routeur (config-if)# ip nat outside Routeur (config-if)# exit L interface dans le réseau de l entreprise où se trouve le serveur est l interface FastEthernet 0/1.10, donc elle est considérée comme «outside» : Routeur> enable Routeur# configure terminal Routeur (config)# interface FastEthernet0/1.10 Routeur (config-if)# ip nat inside Routeur (config-if)# exit 4. NAT Pour que les flux soient redirigés sur le serveur : Routeur> enable Routeur# configure terminal Routeur (config)# ip nat inside source static tcp 192.168.10.172 25 62.161.76.138 25 Routeur (config)# ip nat inside source static tcp 192.168.10.172 110 62.161.76.138 110 Routeur (config)# ip nat inside source static tcp 192.168.10.172 143 62.161.76.138 143 Routeur (config)# ip nat inside source static tcp 192.168.10.172 443 62.161.76.138 443 Routeur (config)# ip nat inside source static tcp 192.168.10.172 8086 62.161.76.138 8086 De ce fait, les flux arrivant sur l adresse public de la box sont redirigés directement sur le serveur. Page 10

IV. Liste de contrôle d'accès Je dois isoler les VLANs 10 et 20 des autres tout en laissant passer les flux nécessaires aux différentes applications qui ont besoin d une connexion avec le serveur. Pour cela, je mets en place une ACL sur l interface 0/1.10 (du VLAN10) et une sur l interface 0/1.20 (VLAN 20). Avec la commande : access-list permit/deny flux source wildcard destination wildcard n port 1. Interface FastEthernet 0/1.10 (VLAN10) En Out sur l interface 10 Permet la réponse au des ping venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers les sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 20 Permet les flux tcp du port 21 (ftp) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 30 Permet les flux tcp du port 20 (ftp-data) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 40 Permet les flux tcp du port 1352 (synchronisation Lotus Notes) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 50 Permet les flux tcp du port 8086 (Webmail) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 60 Interdit les flux tcp supérieur à 0 venant des sous-réseaux 192.168.0.0 avec le masque 255.255.255.0 vers le serveur (192.168.10.172) 70 Permet les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 80 Permet les flux ip venant du sous-réseau 192.168.10.0 avec masque 255.255.255.0 vers les sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 90 Permet les flux ip venant du sous-réseau 192.168.20.0 avec masque 255.255.255.0 vers les sous-réseaux 192.168.10.0 avec le masque 255.255.255.0 100 Interdit les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 110 Permet les flux ip de tous les host vers tous les host (pour avoir internet sur les postes) Page 11

2. Interface FastEthernet 0/1.20 (VLAN20) En Out sur l interface 10 Permet les flux tcp supérieur à 0 venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 20 Interdit les flux tcp supérieur à 0 venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 30 Permet les flux ip venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 40 Interdit les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 50 Permet les flux ip de tous les host vers tous les host (pour avoir internet sur les postes) 3. Résultat Flux TCP 20, 21, 443, 1352, 8086 entre PC et Serveur Autres Flux TCP Tous les flux TCP entre VLAN10 et 20 Ping de tous les postes à Partir du VLAN 10 Ping du Serveur à partir de tous les PC Ping entre VLAN10 et 20 Autres Ping Communication IP entre PC et Serveur Communication IP entre VLAN10 et 20 Communication IP entre VLAN Accès Internet Autorisé Refusé Page 12

SAUVEGARDE DES CONFIGURATIONS Pour la sauvegarde de la configuration du routeur et des deux switchs, j utilise le serveur FTP du serveur. 1. Sauvegarde local Je sauvegarde d abord la running-config dans la startup-config pour ne pas perdre la configuration lors d un redémarrage. 2. Sauvegarde sur serveur FTP Pour la sauvegarde sur le serveur FTP, j ai créé un compte Routeur, SwitchClient et SwitchServeur dans le serveur Filezilla. De plus, j ai ajouté un dossier Sauvegarde dans le dossier FTP, avec un dossier par compte pour y placer le fichier de configuration. Une fois cette action réalisée, il faut entrer la commande suivante : Routeur> enable Routeur# copy running-config ftp://login:password@adresseduserveur Dans notre cas, cela donne : Pour la restauration il suffit de faire l inverse, en précisant le nom du fichier de configuration à restaurer : Routeur# copy ftp://login:password@adresseduserveur/nomdufichier running-config Page 13

CONCLUSION Fin de l étude Je vérifie si le cahier des charges a été respecté : Installation des deux Switch Cisco 2950 Installation du Routeur Cisco 2800 Mise en place du protocole VTP Création de VLAN par services Communication Inter-VLAN Mise en Place d ACL Sauvegarde de configuration Cahier des charges Le cahier des charges a bien été respecté, tout est fonctionnel. Schéma final Page 14

I. Problèmes rencontrés BILAN 1. ACL J ai eu des difficultés à tout mettre en ordre et à trouver les bonnes permissions ou interdictions à mettre en place sur les interfaces afin d avoir le résultat souhaité. 2. Redirection de port de port (NAT) Le modem de la box ne peut pas rediriger les ports directement sur mes sous-réseaux. De ce fait j ai dû trouver comment rediriger les ports avec le routeur Cisco et en comprendre le fonctionnement. II. Bilan personnel Ce projet m'a permis d'en apprendre davantage sur le matériel Cisco, sur les VLANs, sur les protocoles pour Switch et Routeur et sur les transferts de flux. Les actions réalisées m ont aidé à exercer un travail concluant. Le résultat est positif : en effet, tout fonctionne correctement. Page 15

INFO FACILE 25 rue des peupliers 60300 SENLIS FRANCE SIRET : 45698510125891 DEVIS MAD / Serge LENOIR Numéro de devis : 1377593114 Code client : MAD Date du devis : 27/08/2013 4 rue de l'usine 60300 SENLIS Intitulé: Description du projet et/ou Produit facturé Quantité Désignation Prix unitaire HT Prix total HT 1 Cisco routeur 2800 series 773,32 773,32 2 Cisco WS-C2950T-24 Catalyst 2950 24 Port Switch 600,00 1200,00 1 Cable Console Cisco (RJ45 DB9) 3,85 3,85 Total Hors Taxe 1977,17 TVA à 20% 2372,60 Total TTC en euros 2372,60 Nous restons à votre disposition pour toute information complémentaire. Cordialement, Si ce devis vous convient, veuillez nous le retourner, signé et précédé de la mention : "BON POUR ACCORD ET EECUTION DU DEVIS" Date : Signature : Page 16

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back