~Elaboration infrastructure réseau de la M2L SISR

Elaboration de l’infrastructure réseau M2L
Rappel du contexte :
Les Projets Personnels Encadrés (PPE) ont été développés autour d’un contexte proposé par le réseau
certa, l’équipe pédagogique de CDF a choisi celui de la Maison des Ligues de Lorraine (M2L). Cet
environnement doit permettre aux étudiants de réaliser un ensemble de projets autour de différentes
situations professionnelles (les missions) et acquérir ainsi les compétences en conformité avec le
référentiel.
La Maison des Ligues de Lorraine (M2L) a pour mission de fournir des espaces d’hébergement et des
services aux différentes ligues sportives régionales et à d’autres structures hébergées. La M2L est une
structure financée par le Conseil Régional de Lorraine dont l'administration est déléguée au Comité
Régional Olympique et Sportif de Lorraine (CROSL).
Pour fournir ses prestations de service, la M2L s’appuie sur un réseau et une infrastructure informatique
qui couvre un ensemble de besoins répondant ainsi au cahier des charges de la région et aux exigences de
ses clients, les ligues.
L’infrastructure informatique et réseau est prise en charge par le département Réseau de la M2L qui se
charge de l’exploitation de l’ensemble des équipements du parc ainsi que de la réalisation des projets
informatiques.
Observations :
Nos étudiants doivent ainsi se positionner en tant que techniciens professionnels agissant pour le compte
de la M2L. Dès lors chaque projet et chaque mission doivent respecter des exigences professionnelles telles
que la capacité à s’intégrer dans le travail d’équipe, de gérer un groupe, de savoir mener à bien une
mission en s’informant et s’auto-formant grâce aux ressources disponibles internes ou externes à
l’établissement.
En montant de A à Z l’environnement informatique de la M2L de manière à répondre à bon nombre
d’exigences du Cahier des Charges National nous permettons à chaque étudiant d’acquérir une partie de
Professionnalité qui lui sera nécessaire pour obtenir son BTS, mais aussi pour continuer ses études ou
devenir directement un bon professionnel informatique dans la spécialité choisie.
Les étudiants devront élaborer pour leur Projet et les missions y afférant une maquette sur PacketTracer
reflétant les exigences du cahier des charges de la M2L et les documents annexes tel que tableau
d’adressage, schéma réseau, application paketTracer avec les missions mises en œuvre et tout autre
document nécessaire à la compréhension du travail produit.
Cette maquette sera reproduite « physiquement » avec le matériel du centre CDF.
Présentation Générale de l’infrastructure :
L’infrastructure a été volontairement séparée en 2 pôles distincts pour des raisons de gestion du trafic, de
sécurité et d’administration des différents services (voir schéma 1).
Le réseau intègre une partie spécifique à la M2L. Ce réseau regroupe un ensemble de ressources
partageables entre M2L et les différentes ligues (Annuaire, Serveurs divers DHCP, DNS, et une DMZ, …)
ainsi que les équipements du parc de la M2L.
L’autre partie constitue l’infrastructure propre louée aux différentes ligues adhérentes de la M2L, chaque
Ligue aura son propre sous-réseau.
Chaque ligue est responsable de l’installation des équipement , de leur exploitation et leur maintenance.
Elle délègue ces diverses tâches au département réseau de M2L qui agit en tant que prestataire par le
biais d’un contrat de service.
L’infrastructure générale repose sur un ensemble de 4 bâtiments avec les impondérables et impératifs
techniques que cela peut engendrer. Ce site constitue l’infrastructure réseau dans laquelle sont intégrés
les postes et serveurs informatiques, une infrastructure mobile WIFI, un service d’accès à Internet
sécurisé et des liaisons télécom permettant à la M2L de proposer des connexions dédiées avec ses
partenaires.
L e domaine m2l.local a été choisi pour héberger l’infrastructure générale. La gestion et l’administration
du réseau sont assurées par un serveur d’annuaire Active Directory et son contrôleur de domaine.
Le réseau
Comme le montre clairement le schéma1 la maquette réseau M2L intègre les sous réseaux de
l’association M2L, les sous réseaux des ligues, l’infrastructure de sécurité DMZ et enfin le service d’accès à
Internet. Le service Informatique du département réseau de la M2L héberge toute la structure de
contrôle et de supervision du parc informatique du site.
Plan d’adressage IP
(annexe2)
Le réseau général est construit autour de l’adresse 172.16.0.0 avec un masque de 16 bits. Toutefois il
faut penser l’infrastructure avec un ensemble de 32 ligues préconisé comme capacité d’hébergement
maximale de M2L. Dans cette infrastructure 60 adresses IP seront affectées à chaque ligue dans un
environnement double DHCP, soit un masque de 24 bits par sous réseau. Chaque ligue ayant son VLAN.
Le plan d’adressage IP 192.168.0.0 /28 est attribué à la DMZ. Le plan d’adressage IP 172.16.99.x /28 est
réservé au sous réseau de gestion.
Un tableau Annexe2 décrit le plan d’adressage IP de l’ensemble du réseau et propose une gestion des
adresses par adressage dynamique et adressage fixe.
Un ensemble d’adresses fixes est réservé pour les équipements réseau, serveurs et postes terminaux ceci
pour chaque sous réseaux. Des choix d’Administration préconisent des règles d’ingénierie imposant de
placer les plages d’adresses fixes sur les adresses les plus hautes (réservées pour chaque sous réseau)
avec les équipements de réseau placés aux adresses les plus hautes.
Une plage d’adresses pour les postes à adressage dynamique est établie et tient compte de l’installation
de 2 serveurs DHCP pour l’implantation d’une tolérance de panne sur le service réseau DHCP. Voir
Tableau annexe 2.
Infrastructure M2L
Ce réseau regroupe les fonctions suivantes :
- Une structure de VLAN de niveau 3, comprenant 6 sous réseaux VLAN , organisée selon la
structure hiérarchique de M2L (structure par département). La maquette comprend les VLAN du
service Informatique du département Réseau (VLAN INFO) et le VLAN du service Administratif
(VLAN ADMIN)
. Le service Informatique est placé à l’adresse de base du réseau général soit 172.16.0.0 /24.
- Le VLAN de gestion permet d’accéder aux équipements de réseau via le poste Administrateur du
service Informatique du département réseau. Le service Informatique accède à distance sur ces
équipements pour assurer la maintenance, les mises à jours des configurations ou des IOS. Ce VLAN
est intégré dans le sous réseau 172.16.99.x ou x détermine le sous réseau. Le VLAN de gestion de
M2L est dans le sous réseau 172.16.99.0 /28.
- Un routeur (RTM2L) permet d’interconnecter ces sous réseaux au réseau général via ses sous
interfaces VLAN et l’encapsulation 802.1Q.
- Un réseau backbone qui assure le lien entre les Ligues et M2L. Ce réseau est administré par le
protocole de routage dynamique OSPF. Les équipements de réseau sont administrés par les postes
administrateurs.
- Une administration à distance en mode sécurisé via le protocole SSH permet une prise de contrôle
à distance des équipements routeurs et commutateurs du réseau global.
- Les services et applications nécessaires au fonctionnement général du site. Tous ces services et
applications sont administrés par le serveur d’annuaire AD-DC. Ce sont :
- les serveurs DHCP, DNS, le service d’annuaire AD + Contrôleur de domaine dans
l’environnement Windows Server 2003 ou 2008 (gestion des habilitations, GPO…)
- les services applicatifs (gestion de parc OCS-NG sous Linux , Terminal Server..),
- Les services de déploiement et automatisation de tâches RIS, WDS, Package MSI, Scripts
- Le service de distribution d’adresse IP DHCP est installé dans 2 serveurs physiquement séparés
pour assurer la tolérance aux pannes. Un de ces Serveurs fonctionne sous Linux. Le service DHCP
assure la distribution d’adresses IP à l’ensemble du réseau.
- Les serveurs sont virtualisés. Un poste client est installé dans ce département pour simuler le
poste administrateur.
Infrastructure des ligues
Chaque ligue est intégrée à un sous réseau dans un VLAN. Le plan d’adressage des ligues est donné dans
le tableau Annexe2.
La maquette comprend la ligue de Karaté, d’Athlétisme et la ligue de Yoga avec 2 postes informatiques en
tant que postes clients. Ces postes sont équipés des systèmes d’exploitation Windows Seven et/ou XP
et/ou Linux intégrant chacun un agent OCS pour la supervision de parc.
Ces ligues sont réparties sur les commutateurs SWLIGUE2 et SWLIGUE3. Le commutateur de distribution
SW1LIGUE assure le lien entre les commutateurs ligues et le routeur.
Les sous réseaux des ligues sont connectés au réseau général par un routeur (routeur RTLIGUES)
supportant des sous interfaces VLAN et l’encapsulation 802.1Q.
Cette structure de réseau de commutateurs dite à chemin redondant , doit assurer la continuité du
service sur la transmission des données. Elle est installée en utilisant 3 commutateurs connectés en
boucle. Le spanning- tree est configuré pour privilégier en phase opérationnelle les chemins principaux
qui relient les commutateurs d’accès au commutateur de distribution (continuité de service).
Accès Internet et DMZ
Cette partie représente le périmètre de sécurité pour l’accès à Internet. Une zone DMZ est intégrée dans
le routeur M2L permettant aussi l’accès à Internet. Ce routeur assure la gestion du sous réseau DMZ qui
intègre les services WEB et FTP, la fonction de pare feu et l’interconnexion au réseau privé et Internet.
Les 2 services FTP et WEB de la DMZ sont intégrés dans une machine avec une VM Windows Admin Server
2003 pour héberger le service WEB M2L et le serveur FTP FileZilla sur la machine hôte Windows Seven.
Ces services sont accessibles depuis l’Internet et le réseau interne sous certaines conditions.
Le Pare Feu assure le périmètre de sécurité avec l’Internet au travers des fonctions suivantes :
- Interconnexion entre le réseau interne, la DMZ et Internet avec sécurisation par des règles de
contrôle d’accès (indiquées plus bas).
- Connexion avec l’Internet via une interface intégrant la fonction NAT/PAT. On pourra par exemple
ici simulé internet par un switch non manageable et un poste intégrant un serveur WEB IIS sous
Windows 2003.
Règles de contrôle d’accès :
1/ Les sous réseaux des ligues et de M2L peuvent accéder à Internet.
2/ Les Internautes peuvent accéder aux ressources de la DMZ mais pas aux réseaux privés
Ligues et M2L.
3/ Les sous réseaux M2L peuvent accéder aux ressources de la DMZ tout comme les ligues.
4/ Les postes de l’administrateur et des techniciens réseau (adresses IP 172.16.2.54 et
172.16.2.55) peuvent tester (ping ou trace route) toutes les machines de tous les réseaux
M2L, Ligues, DMZ et Internet.
5/ Le trafic ICMP provenant de l’Internet est interdit.
Maintenance Mise en service
La détection de pannes, l’analyse de réseau s’effectuent en utilisant l’outil d’analyse de trame Wireshark
qui permettra de vérifier le bon fonctionnement des composants du réseau pour la validation mise en
service et de dépanner une situation en cas de blocage.
La prise de contrôle à distance via le protocole Telnet ou SSH permet de surveiller, modifier ou visualiser
les états des équipements de réseau.
Schéma 1 – Exemple pour l’Infrastructure réseau M2L
Annexe2 - PLAN D’ADRESSAGE IP
VLAN M2L
VLAN 2
INFORMATIQUE
VLAN 3
ADMINISTRATIF
Masque
Adresse du réseau
Adresse de diffusion
255.255.255.0
172.16.2.0
172.16.2.255
255.255.255.0
172.16.3.0
172.16.3.255
Plage adresse DHCP1
172.16.2.1
172.16.2.60
172.16.3.1
172.16.3.60
Plage adresse DHCP2
172.16.2.61
172.16.2.120
172.16.3.61
172.16.3.120
Plage fixe
Passerelle
172.16.2.240
172.16.2.254
172.16.2.254
172.16.3.240
172.16.3.254
172.16.3.254
VLAN LIGUES
VLAN10 KARATE
Masque
Adresse du réseau
Adresse de diffusion
VLAN 4 …
VLAN 5 …
VLAN11 ATHLE
VLAN12 YOGA
VLAN13 LIGUE ***
255.255.255.0
172.16.10.0
172.16.10.255
255.255.255.0
172.16.11.0
172.16.11.255
255.255.255.0
172.16.12.0
172.16.12.255
Plage adresse DHCP1
172.16.10.1
172.16.10.60
172.16.11.1
172.16.11.60
172.16.12.1
172.16.12.60
Plage adresse DHCP2
172.16.10.61
172.16.10.120
172.16.11.61
172.16.11.120
172.16.12.61
172.16.12.120
Plage fixe
172.16.10.240
172.16.10.254
172.16.10.254
172.16.11.240
172.16.11.254
172.16.11.254
172.16.12.240
172.16.12.254
172.16.12.254
Passerelle
VLAN 6 …
----
VLAN 7 …
VLAN32 LIGUE***
Annexe2 - PLAN D’ADRESSAGE IP (suite)
VLAN de gestion
Gestion M2L
Gestion LIGUES
DMZ
Internet
Masque
Adresse du réseau
Adresse de diffusion
255.255.255.240
172.16.99.0
172.16.99.15
172.16.99.1
172.16.99.13
172.16.99.14
255.255.255.240
172.16.99.16
172.16.99.31
172.16.99.17
172.16.99.29
172.16.99.30
255.255.255.240
192.168.0.0
192.168.0.15
192.168.0.1
192.168.0.13
192.168.0.14
255.255.255.248
212.27.48.8
212.27.48.15
Plage fixe
Passerelle
Plan d'adresse d'interconnexion
Masque
Adresse du réseau
Adresse de diffusion
Passerelle
Plan d’adressage serveurs
Service
Serveur AD/DNS/DHCP1
Serveur DHCP2
Serveur OCS-NG
Serveur NAS
Serveur FTP DMZ
Serveur WEB DMZ
Connexion Internet
212.27.48.14
LIGUES <> M2L
255.255.255.252
10.10.10.0
10.10.10.3
10.10.10.1 <>
10.10.10.2
Nom DNS
m2l-AD
m2l-Linux
m2l-OCS
m2l-NAS
m2L-FTP
m2L-WEB
free.fr
Adresse IP
172.16.2.251
172.16.2.250
172.16.2.252
172.16.2.253
192.168.0.11
192.168.0.13
212.27.48.14
Système
Win Admin 2008 ou 2003
Linux Ubuntu, ou OpenBSD
Windows 2003 ou Linux
Windows 2003 ou Linux
Windows Seven ou Linux
Service IIS Win 2003 ou Linux
---
Schéma2 – Infrastructure M2L Finale sur PacketTracer.
Missions SISR pour ce PPE 3.
Vous lirez et appréhenderez chaque élément nécessaire au bon fonctionnement de la M2L et des Services quelle doit rendre aux Ligues adhérentes.
Notamment sur tous les points suivants :
- Infrastructure réseau : mise en œuvre et administration de tous les équipements et protocoles d’interconnexion.
- Services : DHCP, DNS, AD et authentification, connexions sécurisées.
Vous devrez établir un compte rendu à la fin de chaque séance de PPE . C’est OBLIGATOIRE !
Vous établirez vous même la priorité des tâches à effectuer pour chaque mission, les diagrammes de GANT, la répartition de ces activités en précisant
comment et pourquoi elles ont été confiées à tel étudiant.
Vous devrez comme à l’accoutumée produire tout élément documenté nécessaire à la compréhension de votre progression dans les différentes missions.
Notamment l’explication de l’utilisation d’une technologie ou d’un service donné dans telle ou telle partie de la maquette. Par exemple l’intérêt des VLANs
en fonction des préconisations de la M2L. Si vous souhaitez ou devez changer un plan d’adressage, vous devez préciser pourquoi et expliquer de manière
détaillée les avantages et inconvénients de votre proposition.
Mission 1 est une Mission Individuelle et OBLIGATOIRE avant de passer aux autres.
Les Missions 2 et 3 peuvent êtres réalisées dans l’ordre ou en parallèle, ce sera votre choix d’équipe (à nous expliquer dans le compte rendu).
La Mission 4 n’est envisageable qu’après l’élaboration d’une maquette réseau fonctionnelle opérationnelle sur un ensemble de critères minimum.
1) Mission 1 :
Expliquez l’intérêt du plan d’adressage retenu et démontrez par des calculs la probité de ces éléments. Etudiez sérieusement chaque partie de
l’infrastructure réseau de la M2L, chaque adresse IP, chaque masque sous-réseau. Quels en sont les avantages et inconvénients ?
2) Mission 2 :
Commencez à élaborer la Maquette de l’infrastructure réseau sur PacketTracer.
Vous veillerez à indiquer de manière précise ( soit sur un schéma soit sous forme de tableau) les adresses IP correspondantes à chaque interface
ou sous-interface que vous mobiliserez sur un matériel. Vous expliquerez également les différentes notions et normes rencontrées, idem pour les
protocoles selon les diverses étapes que vous aurez élaborées pour la maquette.
Cette maquette comprend plusieurs difficultés de mise en œuvre. A vous de scinder ce projet par étapes, d’expliquer vos choix.
Vous pouvez dans les premiers temps ne faire que les choses simples, où vues en cours ou en TP, afin d’avoir une maquette fonctionnelle avec
la mise en place de VLANs, du routage, de service DHCP. Vous pourrez la faire évoluer par la suite au fur et à mesure des cours et TP.
La mise en place, par exemple, de la Zone Spanning-Tree ou le routage OSPF devant vous posez problème vous pouvez dans un premier temps
proposer une ébauche sans cette solution, mais il faudra la faire évoluer ensuite … pensez donc à faire des sauvegardes intelligentes et à noter les
numéros de versions.
3) Missions 3 :
Certains éléments ne pouvant pas complètement être reproduits fidèlement sur PacketTracer pourront ou devront être mise en œuvre via la
virtualisation (virtualPC, virtualBox ou vmWare). Les serveurs DHCP, DNS et AD Windows (sécurité, authentification, habilitation, gestion des Ligues
…) et autres serveurs Linux sont particulièrement visés par cette remarque. On peut également penser à la redondance de pannes, ou de la répartition
de charges avec des serveurs DHCP, DNS de secours, ou encore de la délégation de serveurs DNS.
4) Mission 4 :
Quand tout ou partie de la maquette virtuelle sera établi, vous pourrez avec l’accord des Enseignants responsables de vos projets mettre en pratique
« physiquement » votre infrastructure de la M2L.
Autres Consignes :
N’hésitez pas à posez les questions nécessaires à vos enseignants/super-chefs de projet afin de mieux construire votre évolution et bâtir vos missions.
Elaborez et monter une maquette dont vous connaissez ou avez étudié les diverses composantes vous-même.
Vous êtes habilités à nous proposer d’autres sujets d’étude, comme la détection d’intrusion, la supervision du réseau, ou la connexion sécurisée distante
via VPN, et bien d’autres encore.
Exemple Schéma Infrastructure M2L Simplifiée avec Vlans sans STP, et optimisation du nombre de serveurs.
Autre exemple possible pour remplacer le spanning-tree : Schéma Infrastructure M2L Complexe avec Vlans, Routeurs OSPF ou RIP avec solution de
continuité de service HSRP et Filtrage ACL

Download Report