Contexte « Laboratoire GSB » Sommaire( · - VLAN 802.1Q . PPE Gonesse Groupe 2 Contexte Laboratoire GSB 5 HP E-MSM430 - Interface de gestion sécurisée - Ligne de commande (telnet

Contexte « Laboratoire GSB »

1 / 7

Contexte « Laboratoire GSB »

Sommaire(!

Description du laboratoire GSB ...............................................................................................2!Le secteur d'activité..............................................................................................................2!L'entreprise ...........................................................................................................................2!

Description du Système Informatique .....................................................................................3!Le système informatique ......................................................................................................3!La gestion informatique ........................................................................................................3!L'équipement ........................................................................................................................3!

Organisation du réseau ...........................................................................................................4!Répartition des services .......................................................................................................4!Segmentation .......................................................................................................................4!

Salle serveur et connexion internet .........................................................................................5!Domaine d'étude......................................................................................................................6!

Les visiteurs .........................................................................................................................6!Les visiteurs et les autres services ......................................................................................6!Responsabilités ....................................................................................................................7!

Groupe 2 : Julien Seknazi, Sylvain Elias, Mathieu Yalap

PPE Gonesse Groupe 2

Contexte Laboratoire GSB 2

Sommaire

PPE 3 : Projet Personnalisé Encadré 3 _______________________ 3

I. Introduction _____________________________________________ 3 II. Etude de la sécurisation WIFI ______________________________ 3 III. Solution du site de Gonesse _________________________________ 5 IV. Solution d’interconnexion __________________________________ 8 V. Packet Tracer ___________________________________________ 13 VI. Fichiers de configuration commentés _______________________ 14 VII. Installation du serveur de gestion de parc et du déploiement de l’agent sur les postes clients ___________________________________ 23 VIII. Outil de Fonctionnement global de l’outil ___________________ 37



PPE 3 : Projet Personnalisé Encadré 3

I. Introduction

Pour l’ouverture de la nouvelle antenne commerciale située à Gonesse nous avons mis en place une solution informatique correspondant au cahier des charges. Tout d’abord nous proposons une stratégie de sécurité pour le WIFI ainsi qu’un descriptif de la solution informatique. Une adaptation sur Packet tracer permettra de visualiser nos solutions choisies. Pour finir, nous avons effectué un compte rendu détaillé et explicatif sur le logiciel de gestion de parc.

II. Etude de la sécurisation WIFI

Pour assurer la sécurité du réseau nous allons utiliser le Wi-Fi Protected Access 2 (WPA2 – IEEE 802.11i), en implémentant différents protocoles qui permettront de répondre aux exigences de sécurité et de transparence auprès des utilisateurs. Authentification des utilisateurs :

Pour le réseau des visiteurs médicaux, nous allons utiliser un serveur Radius. Radius (Remote Authentifiacation Dial-in User Service) est un protocole client-serveur permettant de centraliser les données d’authentification.

Pour s’authentifier, le poste utilisateur transmet une requête d’accès à un client RADIUS pour entrer sur le réseau, ce dernier se charge de demander les informations identifiant l’utilisateur (utilisateur & mot de passe). Le client RADIUS génère une requête d’accès qu’il transmet au serveur RADIUS, ce dernier préalablement couplé avec le service d’annuaire va pouvoir aller vérifier les informations envoyées par le client et ainsi valider ou bien refusé l’accès. Sécurité des communications :

Pour sécuriser les communications sur le réseau WPA2 offre deux types de chiffrements : - Temporal Key Integrity Protocol (TKIP) : il permet l’authentification et la protection des données transitant sur le réseau. C’est une méthode de cryptage. Qui génère une clé de paquets, mélange les paquets du message, puis remet les paquets dans l'ordre pour retrouver l'intégrité du message grâce à un mécanisme de triage. - Advanced Encryption Standard (AES) : c’est une méthode de chiffrement symétrique (chiffrement avec une clé secrète). TKIP est donc initialement mis en place pour pallier aux différents problèmes du chiffrage WEP, il repose sur la même base de chiffrement qui a révélé ses limites. AES quant à lui est une méthode de chiffrement complètement à part qui n’a pour l’instant pas été cassé. De plus TKIP générant dynamiquement (quelques minutes d’intervalle entre chaque génération de clés) des clés de chiffrement peuvent diminuer les performances alors que l’AES n’a besoin que de très peu de ressources.



Le réseau Wi-Fi utilisera donc la sécurité suivante : WPA2 Enterprise AES. Les

bornes Wi-Fi devront être référencées sur le serveur d’authentification afin d’assurer la provenance des connexions. On renseigne un code secret qui ne sera connu que par le point d’accès et le serveur.

Etude du matériel : Pour la mise en place du réseau Wi-Fi nous avons étudié trois bornes :

Références Illustrations des modèles Descriptions

D-LINK DAP-2590

-Interface de gestion sécurisée

- Ligne de commande (telnet et SSH) - WPA2 AES - Filtre MAC - RADIUS

- SSID Caché - Multi-SSID

- PoE - 802.11a/b/g/n - VLAN 802.1Q



HP E-MSM430

- Interface de gestion sécurisée



- PoE - 802.11a/b/g/n - VLAN 802.1Q

CISCO Aironet 1042 N

- Interface de gestion sécurisée



- PoE - 802.11a/b/g/n - VLAN 802.1Q

Choix de la solution :

Suite cette comparaison nous avons choisi le point d’accès Aironet de Cisco qui est le plus adaptés à nos besoins. Elle est compatible avec toutes les contraintes de sécurisation besoin, son avantage par rapport aux autres points d’accès est la garantie matérielle à vie. De plus notre réseau étant essentiellement formé de matériel du constructeur Cisco, cette borne respectera l’homogénéité matérielle.

III. Solution du site de Gonesse

Contrairement au site de Paris, le site de Gonesse est plus petit. Nous installerons dans un petit local, la salle serveurs d'où est gérée l'ensemble du parc informatique. Nos différents services intégreront un VLAN respectif afin de fluidifier le trafic sur le réseau.

Une baie de brassage, qui sera occupée par les différents matériels réseaux nécessaires,

intégrera se local. Le lien entre les machines utilisateur et le local se fera par une connexion Gigabit. Comme sur le site de Paris, nous utiliserons une topologie en étoile.



Nous avons établi une liste d’équipement nécessaire pour mettre en place ce projet : • Une armoire ou coffret de brassage • Un onduleur • Un ou plusieurs commutateurs • Des panneaux de brassage cuivre • Un routeur • Des Bornes WIFI

A l’aide du cahier des charges, nous avons pu déterminer les caractéristiques des équipements nécessaires, ainsi que leur quantité : Commutateurs : Nous avons choisi deux Cisco Catalyst 2960S-24TD-L (24 ports) Un Switch PoE pour alimenter et gérer les bornes Wi-Fi Onduleur : Deux onduleurs HP UPS R/T3000 G2. Il permettra de sécuriser nos équipements et de les maintenir sous tension environ 4 minutes en cas de coupure électrique. Il peut accueillir jusqu’à 6 équipements. Panneau de brassage 24 ports : Ces panneaux permettront d'interconnecter des cordons de brassage afin de relier les prises murales dans les bureaux au commutateur. Le câblage : Nous utiliserons des câbles pairs torsadés de Catégorie 7, monobrin, FTP. Le routeur : Le routeur sera déterminé en fonction de la solution d’interconnexion choisi. Borne Wi-Fi : Notre étude sur la sécurisation wifi déterminera le modèle de la borne wifi. Armoire de brassage : Pour organiser l’installation des équipements nous auront besoin d’un coffret ou d’une armoire de brassage.

Les équipements réseau du site de Gonesse auront des adresses IP privées de classe B de type : 172.17.X.Y

X = le numéro du VLAN (sauf 230 pour le VLAN 300 et 240 pour le VLAN 400) Y = l’octet « host » distribué automatiquement par le serveur DHCP pour les postes.

La dernière adresse disponible sera toujours l’adresse de la passerelle. Un VLSM (Variable Length Subnet Masking) limite de nombre d’adresses disponibles par réseau, tout en gardant une marge afin de pouvoir rajouter des équipements en cas de besoin.

Nous avons choisi ce plan d’adressage pour sa simplicité à gérer et mémoriser. De plus, il est totalement adapté à l’architecture recherchée par GSB.

N° de switch

Nb de ports VLAN 10 VLAN 60 VLAN 90

VLAN 150

VLAN 200

VLAN 300

VLAN 400

1 24 6 à 15 1 à 5 24 2 24 1 à 11 12 à 22 POE 24 1 2

N° VLAN Service(s) Nb d'adresses disponibles

Nb de hosts

Adresse réseaux

Masque sous-‐réseau

Première adresse

Dernière adresse / Passerelle Broadcast

10 Réseau et système 13 5 172.17.10.0 255.255.255.240 172.16.10.1 172.16.10.14 172.16.10.15 60 Commercial 13 10 172.17.60.0 255.255.255.240 172.16.60.1 172.16.20.14 172.16.20.15 90 Secrétariat Administratif 13 10 172.17.90.0 255.255.255.240 172.16.90.1 172.16.90.14 172.16.90.15 150 Visiteurs 29 15 172.17.150.0 255.255.255.224 172.16.150.1 172.16.150.30 172.16.150.31 200 Démonstration 13 10 172.17.200.0 255.255.255.240 172.16.200.1 172.16.200.14 172.16.200.15 300 Serveurs 13 3 172.17.230.0 255.255.255.240 172.16.230.1 172.16.230.14 172.16.230.15 400 Sortie 2 1 172.17.240.0 255.255.255.252 172.16.240.1 172.16.240.2 172.16.240.3

IV. Solution d’interconnexion Etude des solutions

Il existe beaucoup de solutions d’interconnexion de sites. Nous avons effectué dans un premier temps des recherches sur les solutions mises à disposition sur le marché.

VPN

Le but de la solution VPN (Virtual Private Network) est de permettre la communication sécurisée entre le site de Paris et celui de Gonesse de façon confidentielle, et ceci en utilisant Internet. Il s'agit de créer un canal de communication protégé traversant un espace public non protégé.

Un VPN fonctionne en encapsulant les données d'un réseau à l'intérieur d'un paquet IP ordinaire et en le transportant vers un autre réseau. Quand le paquet arrive au réseau de destination, il est décapsulé et délivré à la machine appropriée de ce réseau. En encapsulant les données et en utilisant des techniques de cryptographie. Les données sont protégées de l'écoute et de toute modification pendant leur transport au travers du réseau public.

Avantages de la solution :

• Favorise l'évolutivité et offre de vastes possibilités grâce à Internet. Le VPN permet l'ouverture du réseau selon les besoins ou les nécessités, en y ajoutant une grande souplesse et une grande réactivité. • Plus facile à gérer que les réseaux basés sur des technologies classiques car c'est l’opérateur de services qui est chargé de l’exploitation du réseau VPN. • Solution très avantageuse économiquement parlant. Internet VPN a été conçu pour relier à un moindre coût les employés distants et les partenaires de l'entreprise, puisque l'entreprise ne paye que l'accès vers Internet. • Solution sécurisée puisque le VPN est un réseau privé reposant sur 2 éléments : l’authentification et l’encryptage

Inconvénients de la solution :

• Le VPN doit être établi entre chaque station. En effet une station ne possédant pas l'application VPN ne pourra pas communiquer avec les autres, et la sécurisation entre cette station et l'entrée du VPN ne sera pas activée. Pour les clients nomades, il faudrait installer un logiciel sur les PC portables et maintenir le parc à niveau de façon régulière. Il est à savoir que plus le nombre de sites est important, plus la stabilité de la solution s'amoindrie et plus VPN est lourd à déployer. • Désavantages liés à l’encryptage généré par le VPN : le branchement est légèrement plus lent, l’ordinateur consomme plus de ressource, et il faut ajouter une étape pour se brancher au point de destination.

Transfix

Transfix est un service de liaisons louées numériques permanente de France Telecom

disponible sur le territoire métropolitain et dans les DOM. Il assure le transport de tous les



flux entre les différents sites distants et repose sur le raccordement permanent d'au moins deux sites.

Ce service offre des débits symétriques garantis compris entre 64 kbit/s et 2048k kbit/s. Ainsi les débits sont identiques dans le sens descendant et remontant.

Une liaison Transfix fonctionne grâce à des interfaces de raccordement qui permettent la liaison permanente entre les sites distants via le réseau de France Télécom. Les interfaces varient en fonction des débits choisis :


• Disponibilité permanente entre 2 sites et plus. Transfix est particulièrement adapté aux échanges longs et fréquents et assure le transfert de tous les flux : données, voix et images entre les différents sites. • Liaison dédiée avec des débits garantis jusqu'à 2 Mbit/s. La liaison Transfix est destinée à un usage exclusif et permet de communiquer entre les différents sites de façon certaine, confidentielle et rapide. Le haut débit est ainsi possible, tout en étant sécurisée. • Délais de livraisons rapides allant de 14 jours à 28 jours maximum selon le débit choisi. Pour des délais encore plus courts, un service de livraison express est proposé en option. • Garantie sur le temps de rétablissement du service. En effet France Telecom s’engage à rétablir le service dans les 10 heures ouvrables en cas d'incident sur la liaison Transfix. France Telecom propose également deux options supplémentaires: l’option GTR S2 qui garantit le temps de rétablissement du service en 4 heures : du lundi au samedi, de 8h à 18h ou l’option GTR S1 qui le garanti 24h/24 et 7j/7. • Possibilité d'une liaison temporaire pour les besoins ponctuels. Il est alors possible de s’engager pour une période minimum d’un mois avec un contrat résiliable à tout moment et sans pénalité.

Inconvénients de la solution : • Le cout de la liaison Transfix dépend de la distance et du débit choisi par le client. Ainsi plus la distance est longue plus les tarifs deviennent excessifs. • Solution inadaptée pour des connexions distantes au réseau privé de l’entreprise avec un PC portable.



RNIS (Réseau Numérique à Intégration de Services)

La technologie RNIS permet de transmettre des signaux numériques sur le câblage téléphonique existant. Cette transmission est rendue possible grâce à la mise à niveau des commutateurs de la compagnie de téléphone en vue de la prise en charge des signaux numériques. La technologie RNIS est généralement perçue comme une solution alternative aux lignes louées, qui peut être utilisée pour le télétravail et les LAN formés de petits bureaux éloignés.

Les compagnies de téléphone ont mis au point cette technologie en vue d'uniformiser les services proposés aux abonnés. Cette uniformisation comprend l'interface UNI, qui correspond à ce qui s'affiche à l'écran lorsqu'un utilisateur se connecte au réseau, ainsi que des fonctions réseau. L'uniformisation des services aux abonnés garantit la compatibilité à l'échelle internationale. Les normes RNIS définissent le matériel et les mécanismes d'établissement d'appels nécessaires à l'instauration d'une connectivité numérique de bout en bout. En garantissant une communication aisée entre les réseaux RNIS, elles contribuent ainsi à la réalisation de l'objectif de connectivité à l'échelle mondiale. En fait, la numérisation s'opère au niveau du site de l'utilisateur plutôt que de la compagnie de téléphone. RNIS offre plusieurs types d’accès possible : -‐ Accès de base : constitué de deux canaux B à 64 kbit/s et d'un canal D à 16 kbit/s. -‐ Accès Numéris Duo : offre 2 interfaces analogiques supplémentaires tout en reprenant les principes de l’accès de base. -‐ Groupement d'accès de base : consiste en la réunion de plusieurs accès de base permettant de disposer de 2 à 8 canaux B groupés sous un même numéro d’appel. -‐ Accès primaire : accès composé de 15, 20, 25 ou 30 canaux B et d'un canal D conséquent autorisant un débit de 64 kbit/s.


• Acheminer une variété de signaux de trafic utilisateur. La technologie RNIS permet d'avoir accès à des données vidéo numériques, à des données provenant de réseaux à commutation de circuits, ainsi qu'à des services du réseau téléphonique en utilisant le réseau téléphonique ordinaire qui est un réseau à commutation de circuits. • Permet d'établir des appels beaucoup plus rapidement que des connexions par modem, parce qu'elle fait appel à la signalisation hors bande (sur un canal Delta ou canal D). Ainsi, sur un réseau RNIS, un appel peut être établi en moins d'une seconde. • Offre un débit de transfert plus élevé que celui des modems grâce à l'utilisation de canaux Bearer (ou canaux B) à 64 Kbits/s. En utilisant plusieurs canaux B, la technologie RNIS offre aux utilisateurs une bande passante plus large sur les WAN que certaines lignes louées. • RNIS peut offrir un chemin de données précis pour la négociation des liaisons PPP. • Ensemble de service complet sur un même accès proposé par l’opérateur.

Inconvénients de la solution : • Problèmes liés à la sécurité puisque les unités du réseau peuvent maintenant être reliées sur le réseau téléphonique public commuté, il est essentiel de concevoir et de mettre en place un modèle de sécurité robuste pour assurer la protection du réseau.



• Contrairement aux services de données en continu, la technologie RNIS ne constitue pas un lien permanent entre les sites distants. • Problèmes liés aux coûts et au confinement. Le choix de la technologie RNIS pour le réseau vise principalement à éviter les coûts associés à l'utilisation de services de données en continu. Il est donc important d'évaluer les profils de trafic de données et de surveiller les tendances d'utilisation du réseau RNIS afin de bien gérer les coûts associés au WAN. • La tarification se fait également à la durée et en fonction de la distance, en plus d’une redevance mensuelle. Choix de la solution

En définitif, nous avons choisi la solution VPN car elle facile d’accès et s’appuie sur le réseau Internet. La solution VPN est certes plus chère à l'achat, mais permet des économies importantes. En effet, avec le VPN et l'utilisation de l’ADSL, il s'agit de payer un abonnement, ce qui est relativement moins onéreux.

Description du matériel Modem-‐routeur : Bewan LanBooster 9000

Pour permettre l'accès aux informations via des tunnels VPN IPSec sur Internet, la

solution envisagée est l'équipement de terminaison de tunnels VPN : BeWan Lan Booster 9000.

Le BeWan LanBooster 9000 est un puissant routeur VPN/pare-‐feu intégrant un modem ADSL haut débit.il a pour qualité qualités sa simplicité d’administration, richesse fonctionnelle et haut niveau de sécurité. Véritable solution tout-en-un il permet d’accroître la productivité de l’entreprise tout en optimisant son budget télécom.

Il apporte ainsi un certain nombre d’avantages : L’installation du routeur LanBooster 9000 est remarquablement simple grâce à son interface d’administration web conviviale. L’administrateur identifié peut configurer le modem-‐routeur en quelques minutes, au moyen d’un simple navigateur Internet, depuis un poste du réseau local ou à distance.

• Il intègre un modem performant, il fonctionne sur toute ligne ADSL, ADSL2/2+ ou RE ADSL • L’interface et la documentation du routeur sont entièrement en français. • Le routeur comprend un commutateur 4 ports Ethernet 10/100 avec détection automatique du câblage utilisé (droit ou croisé) afin de créer ou étendre facilement le réseau local. • Sa fonction VLAN permet d’assigner des réseaux virtuels (VLAN) à un ou plusieurs ports.



Le routeur permet de partager un accès Internet haut débit au sein de l’entreprise, tout en assurant une protection efficace du réseau local contre les intrusions et attaques en provenance d’Internet. Il dispose d’un pare-‐feu complet et paramétrable qui intègre un système de filtrage par adresse IP, port, protocole et type de paquet. • Le LanBooster 9000 intègre un serveur VPN permettant de créer un réseau privé virtuel (jusqu’à 16 tunnels) sécurisé par un chiffrement matériel IPSec, PPTP ou L2TP. Il gère également les sous-‐réseaux VPN, l’inactivité ou le maintien des tunnels. • Le routeur LanBooster 9000 permet également de gérer les noms de domaine dynamiques (DNS Dynamique) pour l’hébergement de services Internet (web, FTP, messagerie...) sans IP fixe. Il dispose également de fonctions de diagnostic avancé, d’administration du contrôle d’accès (ACL). Logiciel client VPN 3000

Il peut être installé sur plusieurs systèmes d'exploitation, en effet il est adapté à Windows XP, Windows Vista ainsi que Mac OS X. Il est disponible en version d’évaluation sur le site de BeWan.

Il permet de connecter les postes distants et nomades sur le site de paris au travers d'un tunnel VPN IPSec. Ce client intègre une solution de pare-feu local sur le poste nomade, afin d'éviter que les ressources informatiques du site ne soient attaquées. En effet, la fonctionnalité dite de "Split Tunneling" sur le client VPN permet d'autoriser simultanément un tunnel VPN et du "surf" sur des sites Internet en direct.

La configuration du client VPN peut se faire très facilement via un simple fichier comportant la configuration cliente souhaitée. De plus contrairement aux clients IPSec de Microsoft, l'installation et la configuration "manuelle" du client VPN de BeWan est très simple et nécessite très peu de temps.

Nous avons ainsi choisi la solution VPN comme étant la plus apte à satisfaire le cahier des charges. Pour des raisons de coûts, de facilité, de mobilité, d’évolution et de sécurité cette solution est la plus adaptée nos besoins.



V. Packet Tracer



VI. Fichiers de configuration commentés Routeur Gonesse#show running-config Building configuration... Current configuration : 1626 bytes ! version 12.4 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname "Routeur Gonesse" ! ! ! enable password gsb ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 /une interface virtuelle a été montée sur l'interface physique/ encapsulation dot1Q 10 /l'interface est taguée pour le vlan 10/ ip address 172.17.10.14 255.255.255.240 ip helper-address 172.17.230.1 /le router laisse passer les requête dhcp sur cette interface/ ! interface FastEthernet0/0.60 encapsulation dot1Q 60 ip address 172.17.60.14 255.255.255.240 ip helper-address 172.17.230.1 ! interface FastEthernet0/0.90 encapsulation dot1Q 90 ip address 172.17.90.14 255.255.255.240 ip helper-address 172.17.230.1 ! interface FastEthernet0/0.150 encapsulation dot1Q 150



ip address 172.17.150.30 255.255.255.224 ip helper-address 172.17.230.1 ! interface FastEthernet0/0.200 encapsulation dot1Q 200 ip address 172.17.200.14 255.255.255.240 ip helper-address 172.17.230.1 ! interface FastEthernet0/0.230 no ip address ip helper-address 172.17.230.1 ! interface FastEthernet0/0.240 no ip address ip helper-address 172.17.230.1 ! interface FastEthernet0/0.300 encapsulation dot1Q 300 ip address 172.17.230.14 255.255.255.240 ! interface FastEthernet0/0.400 encapsulation dot1Q 400 ip address 172.17.240.2 255.255.255.252 ! interface FastEthernet0/1 no ip address duplex auto speed auto shutdown ! interface Serial0/3/0 ip address 10.0.0.2 255.255.255.252 ! interface Serial0/3/1 no ip address shutdown ! interface Vlan1 no ip address shutdown ! ip classless ip route 172.16.0.0 255.255.0.0 10.0.0.1 /une route a été créée pour accéder au site de Paris/ line con 0 line vty 0 4 login !



end Switch 1#show running-config Building configuration... Current configuration : 2069 bytes version 12.2 no service timestamps log datetime msec no service timestamps debug datetime msec no service password-encryption ! hostname "Switch 1" ! enable password gsb ! ! ! interface FastEthernet0/1 switchport access vlan 300 /ce port a été ajouté au van 300/ switchport mode access /cette interface ne peu être seulement membre d'un vlan/ ! interface FastEthernet0/2 switchport access vlan 300 switchport mode access ! interface FastEthernet0/3 switchport access vlan 300 switchport mode access ! interface FastEthernet0/4 switchport access vlan 300 switchport mode access ! interface FastEthernet0/5 switchport access vlan 300 switchport mode access ! interface FastEthernet0/6 switchport access vlan 10 switchport mode access ! interface FastEthernet0/7 switchport access vlan 10 switchport mode access ! interface FastEthernet0/8 switchport access vlan 10



switchport mode access ! interface FastEthernet0/9 switchport access vlan 10 switchport mode access ! interface FastEthernet0/10 switchport access vlan 10 switchport mode access ! interface FastEthernet0/11 switchport access vlan 10 switchport mode access ! interface FastEthernet0/12 switchport access vlan 10 switchport mode access ! interface FastEthernet0/13 switchport access vlan 10 switchport mode access ! interface FastEthernet0/14 switchport access vlan 10 switchport mode access ! interface FastEthernet0/15 switchport access vlan 10 switchport mode access ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 ! interface FastEthernet0/20 ! interface FastEthernet0/21 ! interface FastEthernet0/22 switchport trunk allowed vlan 10,60,90,150,200,300,400 /le mode 802.1Q est activé sur les vlan 10,60,90,150,200,300,400/ switchport mode trunk /cette interface est taguée/ ! interface FastEthernet0/23



switchport trunk allowed vlan 10,60,90,150,200,300,400 switchport mode trunk ! interface FastEthernet0/24 switchport trunk allowed vlan 10,60,90,150,200,300,400 switchport mode trunk ! interface GigabitEthernet1/1 ! interface GigabitEthernet1/2 ! interface Vlan1 no ip address shutdown ! ! line con 0 ! line vty 0 4 login line vty 5 15 login ! ! end Switch 1#show vlan VLAN Name Status Ports ---- -------------------------------- --------- ------------------------------- 1 default active Fa0/16, Fa0/17, Fa0/18, Fa0/19 Fa0/20, Fa0/21, Gig1/1, Gig1/2 10 Resau/Systeme active Fa0/6, Fa0/7, Fa0/8 Fa0/9, Fa0/10, Fa0/11, Fa0/12 Fa0/13, Fa0/14, Fa0/15 /ces interfaces appartiennent au vlan 10/ 60 Commercial active 90 Secretariat/Administratif active 150 Visiteurs active 200 Demonstration active 300 Serveurs active Fa0/1, Fa0/2, Fa0/3, Fa0/4, Fa0/5 400 Sortie active 1002 fddi-default act/unsup 1003 token-ring-default act/unsup 1004 fddinet-default act/unsup 1005 trnet-default act/unsup VLAN Type SAID MTU Parent RingNo BridgeNo Stp BrdgMode Trans1 Trans2



---- ----- ---------- ----- ------ ------ -------- ---- -------- ------ ------ 1 enet 100001 1500 - - - - - 0 0 10 enet 100010 1500 - - - - - 0 0 60 enet 100060 1500 - - - - - 0 0 90 enet 100090 1500 - - - - - 0 0 150 enet 100150 1500 - - - - - 0 0 200 enet 100200 1500 - - - - - 0 0 300 enet 100300 1500 - - - - - 0 0 400 enet 100400 1500 - - - - - 0 0 1002 fddi 101002 1500 - - - - - 0 0 1003 tr 101003 1500 - - - - - 0 0 1004 fdnet 101004 1500 - - - ieee - 0 0 1005 trnet 101005 1500 - - - ibm - 0 0 Remote SPAN VLANs ------------------------------------------------------------------------------ Primary Secondary Type Ports ------- --------- ----------------- ------------------------------------------ Switch 1#show vtp status VTP Version : 2 Configuration Revision : 17 Maximum VLANs supported locally : 255 Number of existing VLANs : 12 VTP Operating Mode : Server /ce switch est en mode vip server. Il distribue la configuration des vlan aux autres switchs/ VTP Domain Name : gsb /le switch apparent au domaine vtp gsb/ VTP Pruning Mode : Disabled VTP V2 Mode : Enabled VTP Traps Generation : Disabled MD5 digest : 0xAC 0xCD 0x3C 0x33 0xAB 0x55 0x19 0xFA Configuration last modified by 0.0.0.0 at 3-1-93 00:52:20 Local updater ID is 0.0.0.0 (no valid interface found) Switch 1#show spanning-tree VLAN0010 Spanning tree enabled protocol ieee Root ID Priority 32778 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32778 (priority 32768 sys-id-ext 10)



Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/6 Desg FWD 19 128.6 P2p Fa0/7 Desg FWD 19 128.7 P2p Fa0/8 Desg FWD 19 128.8 P2p Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p VLAN0060 Spanning tree enabled protocol ieee Root ID Priority 32828 Address 0007.EC93.B06D This bridge is the root /ce switch est le swtich root. Il permet d'établir un chemin prioritaire dans le réseau/ Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32828 (priority 32768 sys-id-ext 60) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p VLAN0090 Spanning tree enabled protocol ieee Root ID Priority 32858 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32858 (priority 32768 sys-id-ext 90) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p



VLAN0150 Spanning tree enabled protocol ieee Root ID Priority 32918 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32918 (priority 32768 sys-id-ext 150) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p VLAN0200 Spanning tree enabled protocol ieee Root ID Priority 32968 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 32968 (priority 32768 sys-id-ext 200) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p VLAN0300 Spanning tree enabled protocol ieee Root ID Priority 33068 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 33068 (priority 32768 sys-id-ext 300) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20



Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/1 Desg FWD 19 128.1 P2p Fa0/2 Desg FWD 19 128.2 P2p Fa0/3 Desg FWD 19 128.3 P2p Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p VLAN0400 Spanning tree enabled protocol ieee Root ID Priority 33168 Address 0007.EC93.B06D This bridge is the root Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Bridge ID Priority 33168 (priority 32768 sys-id-ext 400) Address 0007.EC93.B06D Hello Time 2 sec Max Age 20 sec Forward Delay 15 sec Aging Time 20 Interface Role Sts Cost Prio.Nbr Type ---------------- ---- --- --------- -------- -------------------------------- Fa0/22 Desg FWD 19 128.22 P2p Fa0/23 Desg FWD 19 128.23 P2p Fa0/24 Desg FWD 19 128.24 P2p



VII. Installation du serveur de gestion de parc et du déploiement de l’agent sur les postes clients

Comme serveur de gestion de parc, nous avons décidé de choisir le duo GLPI/OCS. A ce jour c’est le logiciel de gestion de parc le plus complet, qui plus est gratuit. Les prérequis :

Un Serveur sous Windows (2003, 2008 ou 2008 R2) Le logiciel OCSNG-Windows-Server-Setup.exe La dernière version de GLPI La dernière version d’OCS Agent

Installation du serveur OCS

Dans un dossier, nous avons mis tous les outils cités dont il est besoin pour l’installation.

Lancer OCSNG-Windows-Server-Setup.exe.



Sélectionner comme langue le Français (ici “French”). Un message d’avertissement s’affiche, cliquer sur « OK ». L’installation débute. Cliquer sur Suivant.

Sélectionner « J’accepte les termes du contrat de licence ».

Cliquer sur Suivant sans rien modifier jusqu’à que l’installation débute.



Trois fenêtres vont s’ouvrir où il faudra appuyer sur une touche du clavier pour que l’installation se poursuive.

Ensuite l’installation va se poursuivre. Deux messages d’avertissement vont se poursuivre, pour les services Apache et Mysql, il suffit de cliquer sur « OK ». Ces message indique seulement que les services Apache et Mysql n’ont pas pu démarrer. On arrive à la fenêtre de fin d’installation du server OCS. Cliquer sur « Fermer ».

Vous venez d’installer complètement le serveur OCS. Il suffit maintenant de configurer ce dernier et d’y ajouter GLPI.



Configuration du serveur OCS.

Vous trouverez un nouvel icone sur le bureau : OCS Invertory NG Reports. Cliquer dessus.

Une page web va s’ouvrir, en bas de la page, il faut remplir les champs comme il suit. Et faites « Send ».

La base de donnés va se créer. Cette fenêtre va alors apparaitre :



En bas, vous pouvez marquer ce que vous voulez ou laisser vierge. Soumettre la requête. Puis, en cliquant sur « click here » vous allez arriver sur la fenêtre de log OCS. Le mot de passe est admin et l'utilisateur admin.

Installation et configuration de GLPI

Sur le serveur, allez maintenant dans le dossier suivant : C:\xampp\htdocs Copier à cet emplacement le dossier GLPI qui se situe dans le dossier créé précédemment. Connectez-vous à l’adresse http://localhost/glpi et vous obtiendrez ceci:

Choisissez la langue, et faites « OK ». Cliquez sur « J’accepte les termes… » Et faites continuer. On vous propose d’installer GLPI ou de la mettre à jour, choisissez d’installer. Vous obtenez ceci :



Si tous les voyants sont verts, cliquez sur « Continuer Remplir comme il le suit et cliquez sur « Continuer ».

Faire pareil pour cette étape.



Pour les étapes 3 et 4 il n’y a rien à changer cliquez simplement sur « Continuer », puis sur « Utiliser GLPI ». Vous venez d’installer et de configurer GLPI. Il ne reste plus qu’à se connecter à GLPI et établir la liaison entre OCS et GLPI.

Liaison OCS/GLPI

Pour se connecter à GLPI, dans un navigateur, allez sur la page « http://localhost/glpi ». Le login est glpi et le mot de passe est aussi glpi.

Une fois connecter, il faut se rendre dans : Administration > Générale > Inventaire et activer le mode OCSNG.

Une fois fait, une nouvelle rubrique s’ajoute à la rubrique « Configuration », « Mode OCSNG ». Cliquez sur « localhost » pour modifier la liaison. Remplissez comme sur la photo. (Le mot de passe est « ocs ») Une fois fais, cliquez sur « Actualiser », En bas de la page, on vous indique si la liaison à bien été réussie ou non. Il est primordial que la connexion ait réussi.



Allez sur chaque rubrique : Option d’importation, Information générale, et remplissez comme sur les photos suivantes. N’oubliez pas de valider à chaque modification.

La configuration de la liaison entre OCS et GLPI est terminée. Il ne reste plus qu’à y ajouter des ordinateurs…

Déploiement de l’agent



Pour déployer l’agent OCS sur tous les ordinateurs du domaine, nous avons décidé de choisir le déploiement par GPO. Le déploiement GPO nécessite de créer le fichier d’installation MSI de l’agent OCS. Les prérequis :

Un serveur qui fait office de contrôleur de domaine (rôle DNS) Un domaine crée avec les ordinateurs GSB intégré Le fichier d’installation MSI et l’EXE de l’agent OCS Création du fichier d’installation MSI

Prérequis : L’EXE de l’agent OCS Le logiciel Windows Installer Wrapper Wizard

Lancer le logiciel Windows Installer Wrapper Wizard. Cliquez sur « Next ».

Cliquez sur « Browse », Choisissez le lieu d’extraction du MSI ainsi que son nom.



A la page suivante, cliquez sur « Add ». Ici :

Sélectionnez « Use [SourceDir] » Cliquez sur « Browse » et sélectionner l’EXE du l’agent OCS Dans la dernière case, écrire « /S /Server=http://localhost/ocsinventory /NOW ». Cela indique l’adresse du serveur OCS et force la remonté d’information après l’installation.

Cliquez sur « Ok »

Cliquez deux fois sur « Next » sans rien modifier, Vous obtenez ceci :



Entrez la version de l’agent OCS, puis cliquez sur « Next ». Attendez que le processus se termine et vous obtiendrez le MSI d’installation de l’agent OCS.

Déploiement par GPO

Pour que le MSI fonctionne, il est nécessaire que l’EXE soit dans le même répertoire que le MSI. Déplacer le MSI et l’EXE dans un même dossier et copier le sur le serveur DNS. Allez dans « Gestion des stratégie de groupe ».



Clic Droit sur le nom du domaine et sélectionner « Créer et lier un objet de stratégie de groupe ici… »

Choisissez le nom de la GPO et cliquez sur « OK ».

Clic droit sur la GPO récemment créé et sélectionner « Modifier ».



Allez dans User Configuration > Software Settings et faites un clic droit sur « Software Installation », puis sélectionner New > Package. Ici, il faut aller chercher le MSI de l’agent OCS.

On vous propose plusieurs choix, choisissez « Assigned ». Clic droit sur la ligne récemment ajouter et choisissez « Properties ». Dans l’onglet « Deployment », cochez la case « Install this application at logon ».

Vous pouvez fermer toutes les fenêtres, le déploiement par GPO de l’agent OCS est en place. A chaque connexion de user, l’agent OCS s’installera.



Import d’ordinateur sur GLPI depuis OCS

Une fois l’agent installé sur les différents ordinateurs voulus, toutes les informations relatives à ces ordinateurs remontent sur l’interface d’OCS. Il ne manque plus qu’a importé tous ces ordinateurs sur GLPI, chose simple à faire . Une fois connecté sur l’interface de GLPI, il suffit de se rendre dans l’onglet Outils puis sur OCSNG.

On vous propose plusieurs choix :

Tout est assez explicite, ici il suffit de cliquer sur « Importation de nouveaux ordinateurs ». Vous avez un visuel des ordinateurs qui vont être importés. Vous pouvez cocher/décocher les ordinateurs que vous voulez. Il ne reste plus qu’à valider et ensuite, si vous vous rendez dans l’onglet « Inventaire » vous trouverez tous les ordinateurs fraichement importés.



VIII. Outil de Fonctionnement global de l’outil



Fonctionnement global de l’outil de gestion de parc : GLPI est un outil complet et assez simple d’utilisation. Accouplé à OCS, son fonctionnement devient encore plus simple. Il suffit d’y installer l’agent OCS sur un ordinateur, puis de



l’importer sur GLPI, et dans la catégorie « ordinateurs », on trouve la liste des ordinateurs importés. Sur la fiche d’un ordinateur, on trouve une multitude d’information le concernant :

Nom de l’ordinateur Système d’exploitation Numéro de série du système d’exploitation Numéro de série de la machine Modèle Fabricant Type Domaine Usager IP Processeurs …

GLPI est donc l’outil le plus adapté à notre besoin, facile et rapide à utiliser.

Documents

Contexte « Laboratoire GSB » Sommaire( · - VLAN 802.1Q . PPE Gonesse Groupe 2 Contexte Laboratoire GSB 5 HP E-MSM430 - Interface de gestion sécurisée - Ligne de commande (telnet