Embed Size (px)
Citation preview
1
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
PPE - BTS SIO
M2L (Maison des Ligues de Lorraine) Projet Titan
IMFELD Stanley
2ème année option SISR
ISITech Partner Formation
2
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Table des matières Rappel de l'intitulé pour le projet TITAN .......................................................................................................................... 3
Mission 3: Mise en place d'une solution de sauvegarde/restauration via TFTP .............................................................. 4
Qu'est ce qu'une solution TFTP ? .................................................................................................................................. 4
Installation de TFTP ....................................................................................................................................................... 4
Recettage du service ..................................................................................................................................................... 5
Connexion du service TFTP au équipement Cisco ........................................................................................................ 6
Mission 4: Installation et configuration d'un serveur Syslog ............................................................................................ 7
Qu'est ce qu'un serveur Syslog ? .................................................................................................................................. 7
Installation et configuration du service ........................................................................................................................ 7
Configuration des équipements Cisco .......................................................................................................................... 8
Mission 5: Mise en place d'ACL afin de sécuriser le routeur de la M2L ........................................................................... 9
Qu'est ce qu'une ACL ? ................................................................................................................................................. 9
Définir une ACL ............................................................................................................................................................. 9
Deployement de l'ACL 101 ............................................................................................................................................ 9
Deployement de l'ACL 110 .......................................................................................................................................... 10
Mission 6: Mise en place du Vlan de niveau 1 et protocole VTP ................................................................................... 11
Qu'est ce qu'une VLAN................................................................................................................................................ 11
Deployement du VLAN 1 ............................................................................................................................................. 11
Mise en place du protocole VTP ................................................................................................................................. 13
Mise en place du routage inter-Vlan .......................................................................................................................... 13
3
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Rappel de l'intitulé pour le projet TITAN
M. Sapin, après avoir fait réaliser l’étude, le maquettage et la validation d’une solution permettant d’améliorer la continuité de service des services Web existants, souhaite maintenant effectuer quelques modifications au niveau du réseau de la M2L Le cahier des charges du projet dénommé « TITAN », que la M2L a mis en place, vaut pour l’étude, le maquettage et la validation d’une solution permettant dans un premier temps d’améliorer la gestion globale des équipements d’interconnexion, d’assurer une meilleure sécurité du réseau tout en améliorant la bande passante. Dans un deuxième temps, la M2L désire étudier la faisabilité d’un passage à IPv6, avec pour base les équipements actuels. Le but étant d’étudier la difficulté du passage à IPv6 suivant plusieurs cas de figures. L’administrateur de la M2L n’a ni le temps ni les compétences techniques pointues pour se pencher sur ces questions d’infrastructure réseau. Satisfaite de votre première intervention sur le Cluster, la M2L décide de faire de nouveau appel à vous.
4
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Mission 3: Mise en place d'une solution de sauvegarde/restauration via TFTP
Qu'est ce qu'une solution TFTP ? TFTP (pour Trivial File Transfer Protocol ou Protocole simplifié de transfert de fichiers) est un protocole simplifié de
transfert de fichiers.
Il fonctionne en UDP sur le port 69, au contraire du FTP qui utilise lui TCP. L'utilisation d'UDP, protocole « non fiable
», implique que le client et le serveur doivent gérer eux-mêmes une éventuelle perte de paquets. En termes de
rapidité, l'absence de fenêtrage nuit à l'efficacité du protocole sur les liens à forte latence. On réserve généralement
l'usage du TFTP à un réseau local.
Les principales simplifications visibles du TFTP par rapport au FTP est qu'il ne gère pas le listage de fichiers, et ne
dispose pas de mécanismes d'authentification, ni de chiffrement. Il faut connaître à l'avance le nom du fichier que
l'on veut récupérer. De même, aucune notion de droits de lecture/écriture n'est disponible en standard
À cause de ces fonctionnalités absentes, FTP lui est généralement préféré. TFTP reste très utilisé pour la mise à jour
des logiciels embarqués sur les équipements réseaux (routeurs, pare-feu, etc.) ou pour démarrer un PC à partir d'une
carte réseau.
Installation de TFTP Pré-requis: Une machine DEBIAN à jour. Une machine serveur et une machine client
Sur votre machine qui sera votre machine dites serveur, installer le paquet pour le service TFTP:
#apt-get install tftpd-hpa
Nous allons vérifier les infos sur le fichier tftpd-hpa dans le dossier /etc/default
Vous devriez obtenir la fiche suivante:
On peut voir que le port utilisé est le 69.
Nous allons nous diriger vers le dossier de sauvegarde du service TFTP:
#cd /srv/tftp
Nous allons créer les dossiers qu'on désire transférer:
5
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Recettage du service
Sur la machine client nous allons installer le service utilitaire:
#apt-get install tftp
Ensuite pour se connecter au service effectuer la commande suivante:
tftp <adress_ip_serveur_tftpd>
Dans l'exemple ci-dessus on reçoit des informations du serveur, grâce à la commande get.
Pour envoyer des commandes sur le serveur. Les fichiers doivent déjà exister (juste pour le nom) et les droit d'accès
doivent être disponible :
/!\ modifié les droits d'accès a la racine du fichier /srv
Dans l'exemple ici on va créer le fichier configcisco:
Sur la machine cliente on va créer» dans le dossier /network le fichier « configcisco ». Et y écrire "Ceci est un fichier
de configuration cisco"
Désormais on peut se reconnecter au tftp . Et envoyer le fichier.
#tftp put "chemindevotrefichier/nomduclient" "chemindarriveesurleserver/nomdufichier"
# tftp put /etc/network/configcisco /srv/openbsd/firmwares/cisco/configcisco
Une fois l'envoie effectuer on va vérifier sur le serveur.
6
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Le fichier a bien été réceptionné. Le service TFTP est fonctionnel.
Connexion du service TFTP au équipement Cisco Grâce au service TFTP nous pouvons effectuer des sauvegardes.
Toutes ses configurations doivent être effectuées en opérateur
#Switch en
#Switch# ping "adress_TFTP"
Sans modification de conf, effectuer la commande suivante:
#"Switch # copy running-config tftp:
Address or name of remote host? "adressedutftp"
Destination file name? "nomdufichierdésiré"
Pour récupérer la configuration après une mise à jour du serveur effectuer la :
#Switch # copy tftp: running-config
Address or name of remote host ? "adress_tftp"
Source filename ? "nom_tftp"
Destination filename ? "nomswitch"
7
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Mission 4: Installation et configuration d'un serveur Syslog
Qu'est ce qu'un serveur Syslog ? Syslog est un protocole définissant un service de journaux d'événements d'un système informatique. C'est
aussi le nom du format qui permet ces échanges.
En tant que protocole, Syslog se compose d'une partie cliente et d'une partie serveur. La partie cliente émet
les informations sur le réseau, via le port UDP 514. Les serveurs collectent l'information et se chargent de créer les
journaux.
L'intérêt de Syslog est donc de centraliser les journaux d'événements, permettant de repérer plus rapidement et
efficacement les défaillances d'ordinateurs présents sur un réseau.
Il existe aussi un logiciel appelé Syslog, qui est responsable de la prise en charge des fichiers de journalisation du
système. Ceci inclut aussi le démon klogd, responsable des messages émis par le noyau Linux.
Installation et configuration du service Pré-requis: Une machine DEBIAN à jour. Une machine serveur et une machine client
Le service SYSLOG est de base dans le système d'exploitation de linux. Il se trouve dans la racine /etc
Modifier le fichier de conf de rsyslog:
#nano /etc/rsyslog.conf
Liberer le port udp pour la réception des paquets comme ci dessous:
Ensuite nous rajoutons ces 3 lignes a la fin du fichier:
Grâce à cela nous aurons tous les logs répertories dans le fichier /var/log.
Bien sauvegarder le fichier modifié.
Désormais autorise l'accès de transfert de données via le port 514 grâce à la commande suivante:
8
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Le service est bien opérationnel. Relancer le service:
#service rsyslog restart
Désormais, lancer votre machine client.
De même, modifier le fichier conf:
#nano /etc/rsyslog.conf
et en bas du document ajouter la connexion a votre serveur par la port 514:
Et enfin, allez dans var/log:
# cd /var/log
et pour consulter les log effectuer la commande suivante:
#nano auth.log
Vérifier que vous posséder bien les logs d'authentification, ceci signifie que votre service syslog est bien fonctionnel.
Configuration des équipements Cisco Il existe plusieurs codes d'informations emergencies (=0) à debugging(=7). Afin d'éviter tous incidents prendre debugging
#Switch (config) # logging trap debugging
Configurer la connexion:
#Switch (config) # logging facility "etiquette"
#Switch (config) # logging "adress_server_syslog"
L’étiquette sert de repérages pour retrouves les switch.
9
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Mission 5: Mise en place d'ACL afin de sécuriser le routeur de la M2L
Qu'est ce qu'une ACL ? Access Control List (ACL) — liste de contrôle d'accès en français — désigne deux choses en sécurité informatique :
un système permettant de faire une gestion plus fine des droits d'accès aux fichiers que ne le permet la méthode
employée par les systèmes UNIX.
en réseau, une liste des adresses et ports autorisés ou interdits par un pare-feu.
Une ACL est une liste d’Access Control Entry (ACE) ou entrée de contrôle d'accès donnant ou supprimant des droits
d'accès à une personne ou un groupe.
Définir une ACL La syntaxe d'une ACL est la suivante:
#Router (config) # access-list <chiffre> [deny|permit] <ip_source> <masque_ip_source>
Afin de respecter notre contexte nons allons utilisé les acl dites nommées:
#Router (config) # ip access-list extended <nom>
Définir les configurations de l'acl:
#Router (config-ext-nacl)# [deny | permit] <protocole> <ip_source> <masque_ip_source>
<ip_destination> <masque_ip_destination>
Pour supprimer l'acl mettre le suffixe "no"
Deployement de l'ACL 101 #Router (config) # ip access-list extended 101
#Router (config-ext-nacl) # permit ip 172.16.0.0 0.0.255.255 any
#Router (config-ext-nacl) # permit ip 10.54.0.0 0.0.0.255 any
#Router (config-ext-nacl) # deny any any
L'action deny se fait automatiquement mais pour s'assurer de la règles on l'effectue quand même
On l’applique aux ports :
#Router (config) # int gigabitEthernet 0/0 (côté DMZ)
#Router (config-if) # ip access-group 101 in
#Router (config-if) # ex
#Router (config) # int gigabitEthernet 0/1 (côté LAN)
#Router (config-if) # ip access group 101 in
#Router (config-if) # ex
Faire de même pour les ports public:
10
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
#Router (config) # int gigabitEthernet 0/2
#Router (config-if) # ip access group 101 out
Deployement de l'ACL 110 Dans la même logique, poru l'acl 110 voici la mise en place:
#Router (config) # ip access-list extended 110
#Router (config-ext-nacl) # deny ip 127.0.0.0 0.255.255.255 any
#Router (config-ext-nacl) # deny icmp any any redirect
Pour laisser l'ouverture du flux du ping on effectue les commandes suivantes:
#Router (config-ext-nacl) => permit icmp any any echo
#Router (config-ext-nacl) => permit icmp any any echo-reply
11
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Mission 6: Mise en place du Vlan de niveau 1 et protocole VTP
Qu'est ce qu'une VLAN Un réseau local virtuel, communément appelé VLAN (pour Virtual LAN), est un réseau informatique logique
indépendant. De nombreux VLAN peuvent coexister sur un même commutateur réseau.
Deployement du VLAN 1 La mission requiert la création de 4 vlans.
La M2L possède 24 ligues donc les salles de réunions commenceront à 26
On va donc créer les vlans 2 et 3 pour les deux premières ligues et les 26 et 27 pour les salles de réunions.(voir liste
plus bas)
Création des vlans:
#Router (config) # vlan 2
#Router (config-vlan) # name ligue1
#Router (config-vlan) # ex
#Router (config) # vlan 3
#Router (config-vlan) # name ligue2
#Router (config-vlan) # ex
#Router (config) # vlan 26
#Router (config-vlan) # name reuBatA
#Router (config-vlan) # ex
#Router (config) # vlan 27
#Router (config-vlan) # name reuBatC
#Router (config-vlan) # ex
Batiment Ligue 2 Ligue 1
A 4 postes 6 postes
C 6 postes 4 postes
12
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
Voici les assignations par ports:
Port Vlan Ligue
FA 0/1 2 1
FA 0/2 2 1
FA 0/3 2 1
FA 0/4 2 1
FA 0/5 2 1
FA 0/6 2 1
FA 0/7 3 2
FA 0/8 3 2
FA 0/9 3 2
FA 0/10 3 2
Le vlan 26 représente le premiers étage du bâtiment A. Le port 11 représente la salle de réunion.
Voici l'attribution du bâtiment C
Port Vlan Ligue
FA 0/1 2 1
FA 0/2 2 1
FA 0/3 2 1
FA 0/4 2 1
FA 0/5 3 2
FA 0/6 3 2
FA 0/7 3 2
FA 0/8 3 2
FA 0/9 3 2
FA 0/10 3 2
13
Auteur: IMFELD. S Client: M2L Réf: Doc.1.0
#Switch (config) # int fa 0/11
#Switch (config-if) # switchport mode access
#Switch (config-if) # switchport access vlan 26
#Switch (config-if) # ex
#Switch (config) # int range fa0/1-6
#Switch (config-if-range) # switchport mode access
#Switch (config-if-range) # switchport access vlan 2
#Switch (config-if-range) # ex
#Switch (config) # int range fa 0/7-10
#Switch (config-if-range) # switchport mode access
#Switch (config-if-range) # switchport access vlan 3
#Switch (config-if-range) # ex
Passer le port 20 en mode trunk pour permettre le passe toutes les vlans
#Switch (config) # int fa 0/20
#Switch (config-if) # switchport mode trunk
#Switch (config-if) # switchport trunk allowed vlan all
Mise en place du protocole VTP #Switch (config) # vtp domain m2l.vtp.com
#Switch (config) # vtp mode server
#Switch (config) # vtp version 2
Le service SSH est activé donc il n'est pas nécessaire de mettre un mot de passe. Sur les machines clientes on
remplace la deuxième ligne :
#Switch (config) # vtp mode client
Grâces à ces commandes toute modification apportée aux vlans dans l’un des switchs du server modifiera les vlans
du switchs clients
Mise en place du routage inter-Vlan Les vlan bloque la communication des paquets des postes n'appartenant pas à la même lan
Cependant avec notre routeur on peut faire communiquer ces vlans par le biais de sous interfaces.
Il faut donc d’abord créer les sous interfaces puis les configurer
#Router (config) # int gigabitEthernet 0/1.2
#Router (config-subif) # encapsulation dot1Q 2
#Router (config-subif) # ip address <gateway_des_postes_du_Vlan2>
La seconde commande est une sorte d'étiquette permettant de reconnaitre les vlan.
Pour finir on donne une adresse IP à la gateway des postes du Vlan. L’échange de paquets est désormais possible.
