BTS SIO 14 RESTRUCTURATION ET SECURISATION RESEAU PPE 1 ÉPREUVE E4 Page 1 PIERRE DERNIAME BTS SIO 2012-2014
PRESENTATION DU PROJET... 3 I. CONTETE DU PPE... 3 II. SOLUTION... 3 CONFIGURATION SWITCH... 6 I. INITIALISATION DES SWITCH... 6 II. CONFIGURATION DU VTP... 6 1. Configuration du trunk entre les deux switch... 6 2. Configuration du switch "Serveur":... 7 3. Configuration switch "Client":... 7 III. CONFIGURATION DES VLANS... 8 1. Création des VLAN... 8 2. Attribuer un VLAN à un port... 8 3. Attribuer un VLAN à plusieurs ports... 8 CONFIGURATION DU ROUTEUR... 9 I. INITIALISATION... 9 II. COMMUNICATION INTER-VLAN... 9 1. Trunk... 9 2. Configuration des interfaces... 9 III. REDIRECTION DES PORTS... 10 3. Interfaces... 10 4. NAT... 10 IV. LISTE DE CONTROLE D'ACCES... 11 1. Interface FastEthernet 0/1.10 (VLAN10)... 11 2. Interface FastEthernet 0/1.20 (VLAN20)... 12 3. Résultat... 12 SAUVEGARDE DES CONFIGURATIONS... 13 1. Sauvegarde local... 13 2. Sauvegarde sur serveur FTP... 13 CONCLUSION... 14 BILAN... 15 I. PROBLEMES RENCONTRES... 15 1. ACL... 15 2. Redirection de port de port (NAT)... 15 II. BILAN PERSONNEL... 15 Page 2
PRESENTATION DU PROJET I. Contexte du PPE Entreprise MAD (Matériel Anti Déflagrant). Cette entreprise de 38 personnes demande à une société de services informatiques une étude permettant de proposer une solution pour isoler les flux réseaux des VLANs du service informatique et du service direction, et les sécuriser dans le réseau local de l entreprise. II. Solution La solution retenue est la mise en place de : Plusieurs VLANs via deux switch de 24 ports ; Un VLAN pour chaque service de l entreprise (7), avec adressage en 192.168..0. Le protocole VTP y sera en plus implémenté. De plus, un routeur sera mis en place, pour la communication inter VLANs via un trunk, ainsi que pour la mise en place d ACLs pour la partie contrôle d accès et de flux. Les matériels utilisés sont les suivants : Un Serveur (Mail + FTP) ; Ordinateurs ; Un Routeur Cisco 2800 ; Deux Switch Cisco 2950. Les logiciels utilisés sont : HyperTerminal. Page 3
SCHEMA INITIAL
SCHEMA FINAL
CONFIGURATION SWITCH I. Initialisation des switch Hostname : SwitchServeurVTP Mot de Passe à l'accès Privilégié : cisco Hostname : SwitchClientVTP Mot de Passe à l'accès Privilégié : cisco II. Configuration du VTP Je choisis de mettre le protocole VTP (VLAN Trunking Protocol) pour la synchronisation des VLANs entre les deux switchs. Cela permet un gain de temps en cas de modifications des VLANs. Pour cela, il faut consacrer un port sur les deux switchs pour la connexion entre les deux : Il faut faire un Trunk. Je vais configurer l'un des deux en tant que switch "serveur" et l'autre en tant que switch "client". Comme cela, les modifications ne se ferons que sur le switch "serveur" et se synchroniserons directement sur le switch "client". 1. Configuration du trunk entre les deux switch Switch> enable Switch# configure terminal Switch(config)# interface FastEthernet 0/24 Switch(config-if)# switchport mode trunk Switch(config-if)# exit A faire sur les deux Switch Page 6
2. Configuration du switch "Serveur": SwitchServeurVTP> enable SwitchServeurVTP# configure terminal SwitchServeurVTP(config)# vtp domain mad.biz.st SwitchServeurVTP(config)# vtp password Azerty123 SwitchServeurVTP(config)# vtp version 2 SwitchServeurVTP(config)# vtp mode server 3. Configuration switch "Client": SwitchClientVTP> enable SwitchClientVTP # configure terminal SwitchClientVTP (config)# vtp domain mad.biz.st SwitchClientVTP (config)# vtp password Azerty123 SwitchClientVTP (config)# vtp version 2 SwitchClientVTP (config)# vtp mode client Page 7
III. Configuration des VLANs Je vais donc créer 7 VLANs, une par service de l entreprise, numéroté de 10 à 70. Ensuite, affecter les VLANs sur les ports des switch. 1. Création des VLAN SwitchServeurVTP> enable SwitchServeurVTP# configuration terminal SwitchServeurVTP (config)# vlan 10 SwitchServeurVTP (config-vlan)# exit A répéter 7 fois pour le nombre de VLANs. 2. Attribuer un VLAN à un port SwitchServeurVTP>enable SwitchServeurVTP# configuration terminal SwitchServeurVTP (config)# interface FastEthernet0/1 SwitchServeurVTP (config-int)# switchport access vlan 10 3. Attribuer un VLAN à plusieurs ports SwitchServeurVTP (config)#interface range Fa0/10 Fa0/15 SwitchServeurVTP (config-if-range)#switchport access vlan 30 Vlan database du SwitchServeurVTP Page 8
CONFIGURATION DU ROUTEUR I. Initialisation Hostname : SwitchClientVTP Mot de Passe à l'accès Privilégié : cisco Adresse de configuration à distance : 192.168.xxx.xxx 255.255.255.0 II. Communication Inter-VLAN 1. Trunk Pour la communication entre le switch et le routeur, il n y a pas nécessité de créer un trunk sur le Routeur. Il faut juste en créer un sur le switch. Pour cela, je prends le port 23 du SwitchServeurVTP. SwitchServeurVTP> enable SwitchServeurVTP# configure terminal SwitchServeurVTP (config)# interface FastEthernet 0/23 SwitchServeurVTP (config-if)# switchport mode trunk SwitchServeurVTP (config-if)# exit 2. Configuration des interfaces À la place du trunk sur le routeur, il faut créer une interface virtuelle pour chaque VLAN et l associer au VLAN correspondant. Chaque interface aura pour adresse ip 192.168.xxx.250 (xxx étant le numéro du VLAN). Routeur (config)# interface FastEthernet0/1.10 Routeur (config-if)# encapsulation dot1q 10 Routeur (config-if)# ip address 192.168.10.250255.255.255.0 Routeur (config-if)# no shutdown Routeur (config-if)# exit Numéro du VLAN À répéter pour chaque VLANs. Page 9
III. Redirection des ports Pour que les flux nécessaires aux diverses applications arrivent correctement, le router doit rediriger les ports vers le serveur. Pour cela, il faut définir les diverses interfaces du routeur en tant qu «inside» (dans le réseau de l entreprise) ou «outside» (dans le réseau public, du FAI). Puis, il faut définir les flux à rediriger vers le serveur. 3. Interfaces L interface dans le réseau privé du FAI est l interface FastEthernet 0/0, donc elle est considérée comme «outside» : Routeur> enable Routeur# configure terminal Routeur (config)# interface FastEthernet0/0 Routeur (config-if)# ip nat outside Routeur (config-if)# exit L interface dans le réseau de l entreprise où se trouve le serveur est l interface FastEthernet 0/1.10, donc elle est considérée comme «outside» : Routeur> enable Routeur# configure terminal Routeur (config)# interface FastEthernet0/1.10 Routeur (config-if)# ip nat inside Routeur (config-if)# exit 4. NAT Pour que les flux soient redirigés sur le serveur : Routeur> enable Routeur# configure terminal Routeur (config)# ip nat inside source static tcp 192.168.10.172 25 62.161.76.138 25 Routeur (config)# ip nat inside source static tcp 192.168.10.172 110 62.161.76.138 110 Routeur (config)# ip nat inside source static tcp 192.168.10.172 143 62.161.76.138 143 Routeur (config)# ip nat inside source static tcp 192.168.10.172 443 62.161.76.138 443 Routeur (config)# ip nat inside source static tcp 192.168.10.172 8086 62.161.76.138 8086 De ce fait, les flux arrivant sur l adresse public de la box sont redirigés directement sur le serveur. Page 10
IV. Liste de contrôle d'accès Je dois isoler les VLANs 10 et 20 des autres tout en laissant passer les flux nécessaires aux différentes applications qui ont besoin d une connexion avec le serveur. Pour cela, je mets en place une ACL sur l interface 0/1.10 (du VLAN10) et une sur l interface 0/1.20 (VLAN 20). Avec la commande : access-list permit/deny flux source wildcard destination wildcard n port 1. Interface FastEthernet 0/1.10 (VLAN10) En Out sur l interface 10 Permet la réponse au des ping venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers les sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 20 Permet les flux tcp du port 21 (ftp) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 30 Permet les flux tcp du port 20 (ftp-data) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 40 Permet les flux tcp du port 1352 (synchronisation Lotus Notes) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 50 Permet les flux tcp du port 8086 (Webmail) venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 60 Interdit les flux tcp supérieur à 0 venant des sous-réseaux 192.168.0.0 avec le masque 255.255.255.0 vers le serveur (192.168.10.172) 70 Permet les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 80 Permet les flux ip venant du sous-réseau 192.168.10.0 avec masque 255.255.255.0 vers les sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 90 Permet les flux ip venant du sous-réseau 192.168.20.0 avec masque 255.255.255.0 vers les sous-réseaux 192.168.10.0 avec le masque 255.255.255.0 100 Interdit les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le serveur (192.168.10.172) 110 Permet les flux ip de tous les host vers tous les host (pour avoir internet sur les postes) Page 11
2. Interface FastEthernet 0/1.20 (VLAN20) En Out sur l interface 10 Permet les flux tcp supérieur à 0 venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 20 Interdit les flux tcp supérieur à 0 venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 30 Permet les flux ip venant du sous-réseau 192.168.10.0 avec le masque 255.255.255.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 40 Interdit les flux ip venant des sous-réseaux 192.168.0.0 avec le masque 255.255.0.0 vers le sous-réseau 192.168.20.0 avec le masque 255.255.255.0 50 Permet les flux ip de tous les host vers tous les host (pour avoir internet sur les postes) 3. Résultat Flux TCP 20, 21, 443, 1352, 8086 entre PC et Serveur Autres Flux TCP Tous les flux TCP entre VLAN10 et 20 Ping de tous les postes à Partir du VLAN 10 Ping du Serveur à partir de tous les PC Ping entre VLAN10 et 20 Autres Ping Communication IP entre PC et Serveur Communication IP entre VLAN10 et 20 Communication IP entre VLAN Accès Internet Autorisé Refusé Page 12
SAUVEGARDE DES CONFIGURATIONS Pour la sauvegarde de la configuration du routeur et des deux switchs, j utilise le serveur FTP du serveur. 1. Sauvegarde local Je sauvegarde d abord la running-config dans la startup-config pour ne pas perdre la configuration lors d un redémarrage. 2. Sauvegarde sur serveur FTP Pour la sauvegarde sur le serveur FTP, j ai créé un compte Routeur, SwitchClient et SwitchServeur dans le serveur Filezilla. De plus, j ai ajouté un dossier Sauvegarde dans le dossier FTP, avec un dossier par compte pour y placer le fichier de configuration. Une fois cette action réalisée, il faut entrer la commande suivante : Routeur> enable Routeur# copy running-config ftp://login:password@adresseduserveur Dans notre cas, cela donne : Pour la restauration il suffit de faire l inverse, en précisant le nom du fichier de configuration à restaurer : Routeur# copy ftp://login:password@adresseduserveur/nomdufichier running-config Page 13
CONCLUSION Fin de l étude Je vérifie si le cahier des charges a été respecté : Installation des deux Switch Cisco 2950 Installation du Routeur Cisco 2800 Mise en place du protocole VTP Création de VLAN par services Communication Inter-VLAN Mise en Place d ACL Sauvegarde de configuration Cahier des charges Le cahier des charges a bien été respecté, tout est fonctionnel. Schéma final Page 14
I. Problèmes rencontrés BILAN 1. ACL J ai eu des difficultés à tout mettre en ordre et à trouver les bonnes permissions ou interdictions à mettre en place sur les interfaces afin d avoir le résultat souhaité. 2. Redirection de port de port (NAT) Le modem de la box ne peut pas rediriger les ports directement sur mes sous-réseaux. De ce fait j ai dû trouver comment rediriger les ports avec le routeur Cisco et en comprendre le fonctionnement. II. Bilan personnel Ce projet m'a permis d'en apprendre davantage sur le matériel Cisco, sur les VLANs, sur les protocoles pour Switch et Routeur et sur les transferts de flux. Les actions réalisées m ont aidé à exercer un travail concluant. Le résultat est positif : en effet, tout fonctionne correctement. Page 15
INFO FACILE 25 rue des peupliers 60300 SENLIS FRANCE SIRET : 45698510125891 DEVIS MAD / Serge LENOIR Numéro de devis : 1377593114 Code client : MAD Date du devis : 27/08/2013 4 rue de l'usine 60300 SENLIS Intitulé: Description du projet et/ou Produit facturé Quantité Désignation Prix unitaire HT Prix total HT 1 Cisco routeur 2800 series 773,32 773,32 2 Cisco WS-C2950T-24 Catalyst 2950 24 Port Switch 600,00 1200,00 1 Cable Console Cisco (RJ45 DB9) 3,85 3,85 Total Hors Taxe 1977,17 TVA à 20% 2372,60 Total TTC en euros 2372,60 Nous restons à votre disposition pour toute information complémentaire. Cordialement, Si ce devis vous convient, veuillez nous le retourner, signé et précédé de la mention : "BON POUR ACCORD ET EECUTION DU DEVIS" Date : Signature : Page 16