Restructuration du réseau dans l entreprise Evizo L entreprise Evizo, spécialisée dans la vente de véhicules d occasion sur internet, est composée de deux principaux services : le service commercial et le service comptabilité. L infrastructure réseau est composée d un FAI, faisant office de serveur DHCP, d un switch quelconque en mode access sur lequel sont brassés l ensemble des postes, ainsi que le serveur de fichiers de l entreprise. Les équipements sont donc tous dans le même sous réseau et, récemment, des commerciaux ont eu accès à des ressources non autorisées des comptables. Face à cette problématique, l administrateur souhaite séparer les flux réseau de sorte à ce que les deux services ne peuvent pas se joindre sur le réseau, mais qu ils puissent quand même accéder aux ressources du serveur. L attribution des paramètres TCP/IP doit continuer de se faire via un serveur DHCP et les droits administrateurs ont été retirés aux utilisateurs. Cahier des charges - Séparations des flux réseau et mise en place de 3 VLANs (Commerciaux, Comptables, Serveurs) sur un switch Cisco 3750 - Routage inter-vlan avec un Cisco - Routage & NAT avec un Linux pour la fourniture d un accès internet aux postes & serveurs - Mise en place de règles ACL sur Cisco - Mise en place d un serveur DHCP servant les VLANs Commerciaux et Comptables (Serveurs en IPs fixes) Synoptique de la restructuration du réseau Routeur FAI 192.168.2.254/24 Routeur Cisco (evizo-r1) Interface 2 : 192.168.100.254/24 Interface 3 : 192.168.110.254/24 Interface 4 : 192.168.120.254/24 Internet Switch Cisco 3750 Poste de travail Commercial 192.168.110.X/24 VLAN 10 Poste de travail Comptabilité 192.168.120.X/24 VLAN 20 Serveur de fichiers Windows 2008 R2 192.168.100.10/24 VLAN 100 Serveur DHCP + Routeur (R2) Debian 8 Jessie 192.168.100.1/24 192.168.2.165/24 VLAN 100
Table des matières Cahier des charges... 1 Synoptique de la restructuration du réseau... 1 Matériel et prérequis... 3 Notes préalables au dossier... 3 Création de différents VLANs sur le Switch Cisco 3750... 3 Rappel des VLANs à mettre en place... 3 Schéma de la répartition des VLANs sur le Switch... 3 Création des VLANs sur le switch... 4 Intégration des ports du switch selon répartition des VLANs... 4 Configuration du TRUNK sur le port UPLINK du switch... 5 Sécurisation du switch... 5 Sauvegarde de la configuration du switch... 5 Configuration du Cisco... 6 Rappels concernant la segmentation du réseau... 6 Configuration des s (interfaces virtuelles)... 6 Configuration du relai DHCP sur les sous interfaces... 7 Création d une route par défaut statique pour l accès à internet via R2... 7 Activation de l interface... 7 Interdire les communications entre les services via les ACL du... 8 Sécurisation du... 8 Sauvegarde de la configuration du... 8 Mise en place d un serveur DHCP isc-dhcp-server... 9 Mise à jour du système et installation des paquets... 9 Configuration réseau... 9 Configuration du fichier dhcpd.conf... 9 Configuration du fichier isc-dhcp-server... 10 Redémarrage du service networking et démarrage du serveur DHCP... 10 Mise en place d un R2 assurant le NAT et l accès internet pour les postes... 10 Activation du routage... 10 Activation du NAT... 10 Ajout des routes statiques vers les 2 VLANs de postes... 10
Matériel et prérequis - 1 Switch Cisco type 3750 ou équivalent - 1 Routeur Cisco - 2 Postes de travail (1 Commercial, 1 Comptable) sous Windows 7-1 Serveur de fichiers Windows 2008 R2-1 Serveur DHCP Debian 8 Jessie - 1 Routeur Debian 8 Jessie Notes préalables au dossier Afin d éviter des répétitions et pour préciser l environnement de ce tutoriel, nous tenons à préciser que : - Sous les machines Debian : l ensemble des opérations exécutées sous Debian se feront sous le statut de superuser. Les lignes en gras en encadré représentent lesdites commandes à exécuter depuis le terminal. - Sur les machines Windows Server : l ensemble des opérations exécutées sous Windows Server se feront sous le statut d administrateur. Des captures d écran seront proposées pour les actions en mode graphique. Les lignes en gras en encadré représentent les commandes à exécuter depuis l invite de commandes (cmd.exe) exécutée en tant qu administrateur. Création de différents VLANs sur le Switch Cisco 3750 Rappel des VLANs à mettre en place Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique indépendant. Il permet notamment de segmenter le réseau de manière logique : les postes sont alors connectés à des réseaux LAN différents. L organisation Evizo a donc choisi de mettre en place 4 VLANs, respectivement pour les Commerciaux, pour les Comptables, pour les Serveurs ainsi qu un VLAN séparé pour le Linux. Le tableau récapitulatif suivant recense les différents VLANs à mettre en place. Numéro du VLAN Nom du VLAN Nombre de ports attribués sur le switch 110 COMMERCE 6 (Ports 1 à 6) 120 COMPTABILITE 6 (Ports 7 à 12) 100 SERVEURS 11 (Ports 13 à 23) Schéma de la répartition des VLANs sur le Switch
Création des VLANs sur le switch Nous sommes branchés sur le port console (à l arrière du switch) à l aide d un câble console et communiquons avec lui via le logiciel Putty. Switch>enable Switch#configure terminal Switch(config)#vlan 110 Switch(config-vlan)#name COMMERCE Switch(config-vlan)# vlan 120 Switch(config-vlan)#name COMPTABILITE Switch(config-vlan)# vlan 100 Switch(config-vlan)#name SERVEURS Switch(config-vlan)#end switch On entre dans la configuration du switch On crée le VLAN 110, qui nous servira pour la segmentation du service COMMERCE On donne le nom COMMERCE au VLAN 110, ce qui permettra de se rappeler de sa destination On crée le VLAN 120, qui nous servira pour la segmentation du service COMPTABILITE On donne le nom COMPTABILITE au VLAN 120, ce qui permettra de se rappeler de sa destination On crée le VLAN 100, qui nous servira pour la segmentation des SERVEURS On donne le nom SERVEURS au VLAN 100, ce qui permettra de se rappeler de sa destination On sort de la configuration du switch On exécute ensuite la commande show vlan, pour s assurer que les 3 VLANs ont bien été créés et nommés. Intégration des ports du switch selon répartition des VLANs Switch>enable Switch#configure terminal Switch(config)#interface range FastEthernet 1/0/1-6 Switch(config-if-range)#description === COMMERCE === Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 110 Switch(config)#interface range FastEthernet 1/0/7-12 Switch(config-if-range)#description === COMPTABILITE === Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 120 Switch(config)#interface range FastEthernet 1/0/13-23 Switch(config-if-range)#description === SERVEURS === Switch(config-if-range)#switchport mode access Switch(config-if-range)#switchport access vlan 100 Switch(config-if-range)#end switch On entre dans la configuration du switch On sélectionne les ports FA1/0/1 à FA1/0/6 du switch On ajoute une description pour ces ports On définit le mode ACCESS pour ces ports On définit le VLAN 110 pour ces ports On sélectionne les ports FA1/0/7 à FA1/0/12 du switch On ajoute une description pour ces ports On définit le mode ACCESS pour ces ports On définit le VLAN 120 pour ces ports On sélectionne les ports FA1/0/13 à FA1/0/23 du switch On ajoute une description pour ces ports On définit le mode ACCESS pour ces ports On définit le VLAN 100 pour ces ports On sort de la configuration du switch
Configuration du TRUNK sur le port UPLINK du switch Nous allons activer le mode TRUNK sur le port FastEthernet 1/0/24 (UPLINK vers le ) afin que les paquets tagués des VLANs puissent transiter jusqu au. Switch>enable Switch#configure terminal Switch(config)#interface FastEthernet 1/0/24 Switch(config-if)#description === UPLINK R1 === Switch(config-if)#switchport mode trunk Switch(config-if)#end switch On entre dans la configuration du switch On sélectionne le port FA1/0/24 du switch On ajoute une description sur son rôle On définit le mode TRUNK pour ce port On sort de la configuration du switch Sécurisation du switch Par sécurité, nous définissons un mot de passe pour protéger le switch de modifications par une personne non autorisée Switch>enable Switch#configure terminal Switch(config)#enable secret 0 MOTDEPASSE Switch(config)#end switch On entre dans la configuration du switch On définit un mot de passe qui sera ensuite crypté par le switch On sort de la configuration du switch À propos des mots de passe : Il existe plusieurs façons de protéger l accès à la configuration du switch par mot de passe. Le mot de passe peut être défini à l aide des commandes secret ou password. La différence entre les deux est qu un mot de passe de type password apparaît en clair dans la configuration du switch, alors qu un mot de passe de type secret accompagné de la valeur 0 permet de définir un mot de passe non crypté qui sera ensuite crypté, et qui n apparaît pas en clair dans la configuration du switch mais de la manière suivante «enable secret 5 XXXXXX» où 5 désigne que le mot de passe est affiché sous forme cryptée et où XXXXXX est le mot de passe crypté. Nous avons donc choisi d utiliser un mot de passe crypté pour plus de sécurité. enable secret 5 $1$mERr$VLLQUNn386mO6MqhCUIAr. Sauvegarde de la configuration du switch Il est important de sauvegarder la configuration actuelle du switch qui serait sinon perdue lors du prochain redémarrage Switch>enable Switch#copy running-config startup-config Switch(config)#end switch Copie la configuration actuelle du switch vers le fichier de démarrage On sort de la configuration du switch
Configuration du Cisco Rappels concernant la segmentation du réseau La configuration du implique au préalable d avoir pensé la segmentation du réseau avec les différents sousréseaux destinés aux équipements des services commercial et comptable ainsi que des équipements serveurs. On a donc conservé la logique initiale et imaginé la segmentation suivante : VLAN Adresse de réseau Masque de sous-réseau Equipement concerné 110 192.168.110.0 255.255.255.0 COMMERCIAUX 120 192.168.120.0 255.255.255.0 COMPTABLES 100 192.168.100.0 255.255.255.0 SERVEURS ET R2 Pour la configuration du, nous allons travailler avec les s, aussi appelées interfaces virtuelles. Partager une interface physique avec plusieurs interfaces virtuelle a en effet beaucoup d avantages, comme le fait de n avoir qu une seule liaison physique et la facilité de création de nouvelles s. Configuration des s (interfaces virtuelles) Router(config)#interface FastEthernet 0/0.110 Router(config-subif)#encapsulation dot1q 110 Router(config-subif)#ip address 192.168.110.254 255.255.255.0 Router(config-subif)#description === GATEWAY SUBNET COMMERCE === Router(config-subif)#interface FastEthernet 0/0.120 Router(config-subif)#encapsulation dot1q 120 Router(config-subif)#ip address 192.168.120.254 255.255.255.0 Router(config-subif)#description === GATEWAY SUBNET COMPTABILITE === Router(config-subif)#interface FastEthernet 0/0.100 Router(config-subif)#encapsulation dot1q 100 Router(config-subif)#ip address 192.168.100.254 255.255.255.0 Router(config-subif)#description === GATEWAY SUBNET SERVEURS === Router(config-subif)#end On passe en mode administrateur sur le On entre dans la configuration du On charge le protocole de création de la FA0/0.110 On procède à l encapsulage On précise l adresse IP de cette On ajoute une description à la On charge le protocole de création de la FA0/0.120 On procède à l encapsulage On précise l adresse IP de cette On ajoute une description à la On charge le protocole de création de la FA0/0.100 On procède à l encapsulage On précise l adresse IP de cette On ajoute une description à la On sort de la configuration du
Configuration du relai DHCP sur les sous interfaces Par défaut, les requêtes ARP ne traversent pas les interfaces des s. Elles sont bloquées par ces derniers. Les requêtes DHCP des clients des différents VLANs destinées au futur serveur DHCP n obtiendraient donc jamais de réponse, et les postes ne se verraient pas attribuer de paramètres TCP/IP automatiquement. Pour pallier à ce problème, il faut désigner un agent relai DHCP sur chacune des sous interfaces du. (NB : La procédure est séparée de la configuration des s dans un but de clarté, mais pourrait très bien être réalisée lors de la création des s abordée précédemment pour gagner du temps) Router(config)#interface gigabitethernet 0/0.110 Router(config-subif)# ip helper-address 192.168.100.1 Router(config-subif)#interface gigabitethernet 0/0.120 Router(config-subif)# ip helper-address 192.168.100.1 Router(config-subif)#interface gigabitethernet 0/0.100 Router(config-subif)# ip helper-address 192.168.100.1 Router(config-subif)#end On passe en mode administrateur sur le On entre dans la configuration du On sélectionne la On renseigne l adresse du serveur DHCP On sélectionne la On renseigne l adresse du serveur DHCP On sélectionne la On renseigne l adresse du serveur DHCP On sort de la configuration du Création d une route par défaut statique pour l accès à internet via R2 En l état actuel des choses, un paquet à destination de 8.8.8.8 ne pourrait pas être délivré par le R1, car il ne sait pas joindre d autre réseau que ses routes connectées. Pour tous les paquets à destination de l extérieur, il faut donc rajouter une route par défaut (IP DEST 0.0.0.0 NETMASK 0.0.0.0) statique au R1, en lui précisant qu il doit passer par la passerelle R2 (192.168.100.1) pour atteindre par exemple 8.8.8.8 Router(config)#ip route 0.0.0.0 0.0.0.0 192.168.100.1 Router(config-if)#end On passe en mode administrateur sur le On entre dans la configuration du On définit la route par défaut en désignant R2 comme passerelle de dernier recours On sort de la configuration du Activation de l interface Par défaut, les interfaces sont éteintes sur les s Cisco. Il faut donc activer l interface. Router(config)#interface FastEthernet 0/0 Router(config-if)#no shutdown Router(config-if)#end On passe en mode administrateur sur le On entre dans la configuration du On sélectionne la On allume l interface On sort de la configuration du
Interdire les communications entre les services via les ACL du Nous allons maintenant, comme demandé par le cahier des charges, utiliser les Access Control List pour filtrer les flux réseau et notamment interdire toute communication entre les services commercial et comptabilité On entre dans la configuration du Router(config)#ip access-list standard 1 On crée une nouvelle ACL standard Router(config-std-nacl)#deny 192.168.110.0 0.0.0.255 On refuse les packets du réseau source Router(config-std-nacl)#permit any On autorise les packets des autres réseaux Router(config)#ip access-list standard 2 On crée une nouvelle ACL standard Router(config-std-nacl)#deny 192.168.120.0 0.0.0.255 On refuse les packets du réseau source Router(config-std-nacl)#permit any On autorise les packets des autres réseaux Router(config)#end On sort de la configuration du On entre dans la configuration du Router(config)#interface FastEthernet 0/0.110 On sélectionne la sous interface Router(config-subif)#ip access-group 2 out On applique l ACL Router(config)#interface FastEthernet 0/0.120 On sélectionne la sous interface Router(config-subif)#ip access-group 1 out On applique l ACL Router(config)#end On sort de la configuration du Sécurisation du Router(config)#enable secret 0 MOTDEPASSE Router(config)#end On entre dans la configuration du On définit un mot de passe qui sera ensuite crypté par le On sort de la configuration du Sauvegarde de la configuration du Router#copy running-config startup-config Router(config)#end Copie la configuration actuelle du vers le fichier de démarrage On sort de la configuration du
Mise en place d un serveur DHCP isc-dhcp-server On passe alors à la configuration du serveur DHCP sous Debian 8 Jessie Mise à jour du système et installation des paquets apt-get update apt-get upgrade apt-get install isc-dhcp-server Configuration réseau nano /etc/network/interfaces # The loopback network interface auto lo iface lo inet loopback # Interface eth0 auto eth0 iface eth0 inet static address 192.168.2.165 netmask 255.255.255.0 gateway 192.168.2.254 broadcast 192.168.2.255 # Interface eth1 auto eth1 iface eth1 inet static address 192.168.100.1 netmask 255.255.255.0 gateway 192.168.100.254 broadcast 192.168.100.255 Configuration du fichier dhcpd.conf nano /etc/dhcp/dhcpd.conf ddns-update-style none; # Définition de la durée des baux DHCP default-lease-time 600; max-lease-time 7200; authoritative ; log-facility local7 ; # Pool Commercial subnet 192.168.110.0 netmask 255.255.255.0 { range 192.168.110.1 192.168.110.100; option subnet-mask 255.255.255.0; option broadcast-address 192.168.110.255; option routers 192.168.110.254; } # Pool Comptable subnet 192.168.120.0 netmask 255.255.255.0 { range 192.168.120.1 192.168.120.100; option subnet-mask 255.255.255.0;
} option broadcast-address 192.168.120.255; option routers 192.168.120.254; # Pool Serveur (Déclaration obligatoire pour lancement du service DHCP / Subnet interface eth0 subnet 192.168.100.0 netmask 255.255.255.0 { } subnet 192.168.2.0 netmask 255.255.255.0 { } Configuration du fichier isc-dhcp-server nano /etc/default/isc-dhcp-server INTERFACES="eth1" Redémarrage du service networking et démarrage du serveur DHCP service networking restart Mise en place d un R2 assurant le NAT et l accès internet pour les postes Activation du routage On décommente la ligne net.ipv4.ip_forward=1 nano /etc/sysctl.conf # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward=1 Et on met à jour les paramètres sysctl p /etc/sysctl.conf Activation du NAT Sur l interface ayant un accès extérieur. iptables t nat A POSTROUTING o eth0 j MASQUERADE Ajout des routes statiques vers les 2 VLANs de postes Dans cette situation, les postes client ne peuvent pas encore accéder à internet, et un ping vers 8.8.8.8 resterait sans réponse puisque R2 ne sait pas joindre les postes des sous réseaux. Il ne connaît en effet que ses routes connectées. Cette situation est simplifiée dans le schéma suivant :
Solution : ip route add 192.168.110.0/24 via 192.168.100.254 dev eth1 ip route add 192.168.120.0/24 via 192.168.100.254 dev eth1