Upload
sofiane-touchani
View
167
Download
0
Embed Size (px)
Citation preview
Epreuve E6 – Parcours de professionnalisation
BTS SIO option SISR
Apprenti : TOUCHANI Sofiane Période : 01/09/2012 au 31/08/2014
Portefeuille de compétences
Situation :
Besoin : Restructuration du réseau de StadiumCompany : Lors de ma formation, j'ai dû mettre en place
une segmentation de réseaux ainsi qu’un routage inter-vlan dans le cadre de mon PPE (StadiumComapny).
- Les VLANs permettent d'isoler des domaines de diffusions en séparant les réseaux. La sécurité du
réseau principal s'en retrouve amélioré et la bande passante optimisé.
Environnement :
Service : VLAN (Segmentation du réseau en 3 vlans) & Routage Inter-Vlans
Matériel : Cisco Cisco IOS, Routeur 2600 series X2, Switch catalyst 2960G X3
Logiciel : Putty
Tâches réalisées :
Définition d’un VLAN
Plan d’adressage & Schéma
Configuration des VLANS (Sw-Serveur) & VTP (Sw-Client, Sw-Client2)
Configuration du routage Inter-Vlans (Rstade et Rstade2)
Vérification de la configuration
Conclusion : Cette mission m’a permis d’apprendre à mettre en place une segmentation de réseaux ainsi
qu’un routage inter-vlan.
Cette situation m’a permis de valider ces activités :
A le
Tuteur :
Signature :
Activités Résultats attendus/productions Vécu ou simulé Ou observé
A1.3.1, Test d'intégration et d'acceptation d'un service Cisco Packet Tracer en test Vécu
A3.1.1, Proposition d'une solution d'infrastructure Proposition de solution de mobilité de service Simulé A3.1.2, Maquettage et prototypage d'une solution
d' infrastructure
Mise en place sur Cisco Packet Tracer & GNS3 Vécu
A3.2.1, Installation et configuration d'éléments
d' infrastructure
Configuration des éléments réseaux VLAN & VTP Vécu
A3.3.1, Administration sur site ou à distance des éléments
d'un réseau, de serveurs, …
Accès SSH Vécu
Modalités d’accès aux productions 1 :
http://sofianetouchani.fr/wp-content/uploads/E6/Missions-Formations/
Proposition de Solutions Proposition de solution de mobilité de service
Principe du VLAN :
Le principe de la segmentation logique d’un réseau consiste à regrouper des machines
dans un ou plusieurs segments indépendamment de leur emplacement physique.
Cette technologie permet de créer des segments Ethernet logiques, indépendamment de
l’implantation géographique.
Les VLAN fonctionnent au niveau 2 et 3 du modèle OSI
La communication inter-VLAN est assurée par le routage de couche 3
Les VLAN fournissent une méthode de contrôle des broadcastes
Les VLAN permettent d'effectuer une segmentation selon certains critères
- Des collègues travaillant dans le même service
- Une équipe partageant le même applicatif
Les VLAN peuvent assurer la sécurité des réseaux en définissant les nœuds réseaux qui
peuvent communiquer entre eux.
Vlan de niveau 1
Vlan de niveau 2
Vlan de niveau 3
Principe
Mappage par port
Les Vlans par port associent un port d'un switch à un
numéro de Vlan. On dit alors que le port est tagué
suivant le Vlan donné. Le switch entretien ensuite une
table qui lie chaque Vlan au port associé. Le taggage
des ports peut se faire de manière statique ou de
manière dynamique (voir la norme 802.1q)
Mappage par Adresse MAC
Le Vlan de niveau segmente le réseau en fonction
de l'adresse MAC de l'utilisateur. On associe ainsi
des adresses à des Vlans pour permettre à un
utilisateur de se déplacer sans pour autant changer
de profil.
Ce type de Vlan est généralement utilisé pour
regrouper les utilisateurs par service.
Mappage par IP
Le Vlan de niveau segmente le réseau en fonction de
l'adresse MAC de l'utilisateur. On associe ainsi des adresses
à des Vlans pour permettre à un utilisateur de se déplacer
sans pour autant changer de profil.
Ce type de Vlan est généralement utilisé pour regrouper
les utilisateurs par service.
Sécurité
Optimale
Le Vlan par port permet une étanchéité maximale
des Vlans. Une attaque extérieur ne pourra se faire
qu'en branchant le PC pirate sur un port taggué. Le
pirate a donc besoin d'avoir accès à la machine
physique pour pénétrer le Vlan.
Moyenne
Les Vlans de niveau 2 permettent une sécurité au
niveau de l'adresse MAC.
Le Vlan de niveau 2 offre une sécurité moindre
que le Vlan par port de par la possibilité de
spoofer l'adresse MAC.
De plus, il n'y a pas de contrôle de flux prévu ce
qui nécessite un bon dimensionnement du réseau.
Faible
La sécurité est beaucoup plus faible par rapport aux Vlans de
niveau 1 / 2.
Les Vlans de niveau 3 sont restreints par l'utilisation d'un
protocole de routage pour avoir l'identifiant niveau 3, et ainsi
se joindre au Vlan correspondant.
Admin
Simple mais laborieuse
L'administrateur peut sans difficulté choisir les
ports à taguer sans avoir d'information de la part
des machines auxquelles sont reliés les ports.
Moyenne
Administration plus complexe du fait d’un
paramétrage par @MAC si problèmes
surviennent (Problème de connexion, on doit
régler le problème de manière logique)
Complexe mais polyvalente
L'avantage du Vlan de niveau 3 est qu'il permet une affectation
automatique à un Vlan suivant une adresse IP. Par conséquent,
il suffit de configurer les clients pour joindre les groupes
souhaités. Il est aussi possible de séparer les protocoles par
Vlan...
Adaptabilité
Faible
Configuration lourde et contraignante sur chaque switch. A
chaque déplacement de poste, il faut modifier les switchs
correspondant pour maintenir une qualité de service.
Le mécanisme de Vlan par port ne possède pas d'architecture
centralisée qui pourrait permettre d'éviter la lourdeur de la
configuration. Chaque switch possède sa table de
correspondance indépendamment du contenu des autres
switchs.
Moyenne
Les Vlans de niveau 2 offrent des possibilités de
centralisation des tables Vlans adresses MAC
notamment par le protocole VTP.
Chaque Switch interroge ensuite cette table pour
connaitre les informations nécessaires à une
adresse MAC donnée.
Optimale
Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch
est obligé de décapsuler le paquet jusqu’à l'adresse IP pour pouvoir détecter à quel Vlan il appartient.
I l faut donc des équipements plus couteux (car ils doivent pouvoir décapsuler le niveau 3) pour une
performance moindre.
Mais il facilite grandement la mobilité notamment s’il y’a beaucoup de postes mobiles la lourdeur de
la configuration. Chaque switch possède sa table de correspondance indépendamment du contenu des
autres switchs.
Choix de solution VLAN
Le choix de la mise en place d’un VLAN de niveau trois est donc obligatoire pour répondre au mieux à la demande
du client. Le coût de la mise en place de ces services est relatif à l’achat des connecteurs éventuels
Plan d’adressage
ADRESSE RESEAU : 172.20.0.0/21
1er sous réseau: ADMINISTRATION VLAN 11 Besoin de 250 IP - VSLM (Nombre d’adresse) = 254
Adresse réseau 172.20.0.0
Masque sous réseau 255.255.255.0 /24
Adresses hôtes 172.20.0.1 – 172.20.0.254 Broadcast 172.20.0.255
2ème réseau : EQUIPE (A + B + VISITEUR) VLAN 12
Besoin de 160 IP - VSLM (Nombre d’adresse) = 254
Adresse réseau 172.20.1.0
Masque sous réseau 255.255.255.0 / 24 Adresses hôtes 172.20.1.1 – 172.20.1.254
Broadcast 172.20.2.255
3ème réseau : WIFI VLAN 13
Besoin de 250 IP - VSLM (Nombre d’adresse) = 254
Adresse réseau 172.20.2.0
Masque sous réseau 255.255.255.0 / 24 Adresses hôtes 172.20.2.1 – 172.20.2.254
Broadcast 172.20.2.255
Configuration du Sw-Serveur
#Sw-Serveur Création de Vlan 11 (ADMINISTRATION) ,12 (EQUIPES) 13 (WIFI) : Sw-Serveur#conf t
Sw-Serveur(config)#vlan 11
Sw-Serveur(config-vlan)#name Administration
Sw-Serveur(config-vlan)#exit
Sw-Serveur(config)#vlan 12
Sw-Serveur(config-vlan)#name Equipes
Sw-Serveur(config-vlan)#exit
Sw-Serveur(config)#vlan 13
Sw-Serveur(config-vlan)#name Wifi
Sw-Serveur(config-vlan)#exit
# Sw-Serveur Attribution de VLAN à un port : Sw-Serveur#conf t
Sw-Serveur(config)#int f1/3
Sw-Serveur(config-if)#switchport access vlan 11
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#exit
Sw-Serveur(config)#int f1/4
Sw-Serveur(config-if)#switchport mode access
Sw-Serveur(config-if)#switchport access vlan 11
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#exit
Sw-Serveur(config)#int f1/5
Sw-Serveur(config-if)#switchport mode access
Sw-Serveur(config-if)#switchport access vlan 12
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#exit
Sw-Serveur(config)#int f1/6
Sw-Serveur(config-if)#switchport mode access
Sw-Serveur(config-if)#switchport access vlan 13
Sw-Serveur(config-if)#no shut
# [Sw-ServeurFa1/2 ------> Fa0/1 Rstade] TRUNK*
# [Sw-ServeurFa1/0 ------> Fa1/0 Sw-Client] TRUNK*
# [Sw-ServeurFa1/1 ------> Fa1/1 Sw-Client2 TRUNK*
Sw-Serveur#conf t
Sw-Serveur(config)#int f1/0
Sw-Serveur(config-if)#switchport mode trunk
Sw-Serveur(config-if)#switchport trunk encapsulation dot1q
Sw-Serveur(config-if)#switchport trunk allowed vlan add 11,12,13
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#exit
Sw-Serveur(config)#int f1/1
Sw-Serveur(config-if)#switchport mode trunk
Sw-Serveur(config-if)#switchport trunk encapsulation dot1q
Sw-Serveur(config-if)#switchport trunk allowed vlan add 11,12,13
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#end
Sw-Serveur#conf t
Sw-Serveur(config)#int f1/2
Sw-Serveur(config-if)#switchport trunk encapsulation dot1q
Sw-Serveur(config-if)#switchport trunk allowed vlan add 11,12,13
Sw-Serveur(config-if)#no shut
Sw-Serveur(config-if)#exit
# Sw-serveur VTP* server: Sw-Serveur#conf t
Sw-Serveur(config)#vtp mode server
Sw-Serveur(config)#vtp version 2
Sw-Serveur(config)#vtp domain stadiumcompany
# [Sw-Client Fa1/1 ------> Fa1/0 Sw-Serveur] TRUNK
# [Sw-Client2 Fa1/1 ------> Fa1/1 Sw-Serveur] TRUNK
# Sw-client & client2 VTP client : Sw-Client#conf t
Sw-Client(config)#vtp mode client
Sw-Client(config)#vtp version 2
Sw-Client(config)#vtp domain stadiumcompany
Sw-Client(config)#exit
Sw-Client2#conf t
Sw-Client2(config)#vtp mode client
Sw-Client2(config)#vtp version 2
Sw-Client2(config)#vtp domain stadiumcompany
Sw-Client2(config)#exit
# Vérification de propagation des vlans sur Sw-client1&2 : #show vlan-switch br
VLAN Name Status Ports
---- -------------------------------- --------- ------------------------------
1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
11 Administration active Fa1/1
12 Equipes active Fa1/2
13 Wifi active Fa1/3
# Routage Inter-Vlans à mettre en place sur le Rstade
Rstade(config)#int f0/1.11
Rstade(config-subif)#encapsulation dot1Q 11
Rstade(config-subif)#ip address 172.20.0.1 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
Rstade(config)#int f0/1.12
Rstade(config-subif)#encapsulation dot1Q 12
Rstade(config-subif)#ip address 172.20.1.1 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
Rstade(config)#int f0/1.13
Rstade(config-subif)#encapsulation dot1Q 13
Rstade(config-subif)#ip address 172.20.2.1 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
R.STADE Interface @IP Description
f0/0 WAN
f0/1 LAN
192.168.137.253 Internet
f0/1.11 172.20.0.1/24 VLAN 11 : ADMINISTRATION
f0/1.12 172.20.1.1/24 VLAN 12 : EQUIPES
f0/1.13 172.20.2.1/24 VLAN 13 : WIFI
# Routage Inter-Vlans à mettre en place sur le Rstade2
Rstade(config)#int f0/1.11
Rstade(config-subif)#encapsulation dot1Q 11
Rstade(config-subif)#ip address 172.20.0.2 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
Rstade(config)#int f0/1.12
Rstade(config-subif)#encapsulation dot1Q 12
Rstade(config-subif)#ip address 172.20.1.2 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
Rstade(config)#int f0/1.13
Rstade(config-subif)#encapsulation dot1Q 13
Rstade(config-subif)#ip address 172.20.2.2 255.255.255.0
Rstade(config-subif)#no shutdown
Rstade(config-subif)#exit
R.STADE2 Interface @IP Description
f0/0 WAN
f0/1 LAN
192.168.137.252 Internet
f0/1.11 172.20.0.2/24 VLAN 11 : ADMINISTRATION
f0/1.12 172.20.1.2/24 VLAN 12 : EQUIPES
f0/1.13 172.20.2.2/24 VLAN 13 : WIFI
# Sw-serveur @IP interface VLAN 11*
Sw-Serveur#conf t
Sw-Serveur(config)#interface vlan 11
Sw-Serveur(config-if)#ip address 172.20.0.3 255.255.255.0
Sw-Serveur(config-if)#exit
# Sw-Client @IP interface VLAN 11*
Sw-Client(config)#int vlan 11
Sw-Client(config-if)#ip address 172.20.0.4 255.255.255.0
Sw-Client(config-if)#exit
# Sw-Client2 @IP interface VLAN 11*
Sw-Client(config)#int vlan 11
Sw-Client(config-if)#ip address 172.20.0.5 255.255.255.0
Sw-Client(config-if)#exit
*Utile a la supervision