Embed Size (px)
DESCRIPTION
Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin d'une entreprise : Intranet, GED, e-Learning.
Citation preview
1
MODULE : Réseaux
PROJET DE CONCEPTION DE RESEAU
Cas : Assurance de Marseille
Réalisé par : KHERFALLAH Boubaker
Master 2 IPM
Université de Lille1
Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin de
la compagnie assurance de Marseille : Intranet, GED, e-Learning.
1
OBJET DU PROJET
L’objet du projet est de proposer une solution d’architecture pour le réseau de la compagnie
assurance de Marseille .Ce réseau doit être dimensionné en fonction des types d’utilisation, de
l’entité utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles et
des utilisateurs du réseaux…
ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATION LORS DE LA CONCEPTION :
Les bases de ma conception se résument à quatre objectifs fondamentaux :
Extensibilité : Les conceptions de réseau extensibles donnent la possibilité d’accueillir de
nouveaux groupes d’utilisateurs et de sites distants et peuvent prendre en charge de nouvelles
applications sans affecter le niveau de service fourni aux utilisateurs déjà existants.
Disponibilité : Un réseau conçu pour être disponible fournit, 24 heures sur 24 et 7 jours sur 7, des
performances constantes et fiables. En outre, la défaillance d’une seule liaison ou d’une partie du
matériel ne doit pas avoir d’impact important sur les performances réseau.
Sécurité : La sécurité doit être prévue dès la conception du réseau et non ajoutée après sa
réalisation. La planification de l’emplacement des dispositifs de sécurité, des filtres et des pare-feu
est primordiale pour assurer la protection des ressources du réseau.
1
Facilité de gestion : Quelle que soit la qualité de la conception initiale du réseau, le personnel en
charge du réseau doit être capable de le gérer et de le prendre en charge. Un réseau trop complexe
et difficile à maintenir ne peut pas fonctionner efficacement.
I- SIEGE DE MARSEILLE :
ARCHITECTURE PROPOSÉE
1.1 TOPOLOGIE DE RÉSEAU:
1.1.1 ARCHITECTURE GÉNÉRALE
L’architecture que je viens de proposer se base sur une conception hiérarchique divisée en
trois couches :
● Cœur de réseau : assure la commutation à haut débit (optimisation du transport).
● Réseau de distribution : assure une connectivité fondée sur les stratégies.
● Accès : permet aux utilisateurs et aux groupes de travail d'accéder au réseau.
NB : dans les entreprises de petite taille, il n’est pas rare d’implémenter un modèle fédérateur,
où la couche de distribution et la couche coeur de réseau se trouvent au sein d’une seule et
même couche.
Dans notre cas : un commutateur de couche distribution joue le rôle de fédérateur.
Avantage d’un réseau hiérarchique :
- évolutivité : les réseaux hiérarchiques peuvent être aisément étendus.
- redondance : la redondance au niveau de la couche cœur réseau et distribution garantis la
disponibilité des chemins d’accès.
- performance : l’agrégation des liaisons garantis une vitesse proche de celle de câble à
travers le réseau.
- sécurité : sécurité des ports au niveau de la couche accès réseau et les stratégies au niveau
de la couche de distribution renforcent la sécurité de réseau.
-facilité de gestion : la cohérence entre les commutateurs à chaque niveau simplifie la
gestion.
-maintenance : via la modularité hiérarchique la maintenance devient facile.
1.1.2 LE MATÉRIEL
J’ai choisi d’uniformiser le type de matériel déployé sur l'ensemble de mon architecture. Cela
aura plusieurs avantages :
1
Tous les équipements sont de même marque ce qui évite tous problèmes de compatibilité
entre les protocoles propriétaires. Et même plus il nous permet d’exploiter pleinement les
protocoles développés par le constructeur.
J’ai donc choisi de prendre du matériel Cisco puisque ce sont des équipements fiables qui ont
fait leur preuve.
Les équipements d’interconnexion:
Equipement d’interconnexion Fonctions symboleRouteurs Cisco 2811
fonctionnalités avancées : • Large éventail d’options de réseau LAN et WAN. possible évolution pour s’adapter auxfutures technologies.• Plusieurs types d’emplacements qui permettent d’ajouter des options de connectivitéet des services à mesure que l‘entreprise se développe• avec la plate-forme logicielle Cisco IOS Security, permettent de bénéficier de la protection des liaisons de réseau WAN et des services VPN.
Routage vers la destination finale
Switch Catalyst 3570
(Pour la couche distribution)
-Prise en charge de la couche 3- débit de transfert élevé.-Ethernet gigabits/ Ethernet 10 gigabits- composants redondants-stratégies de sécurité/liste de contrôle d’accès-agrégation des liaisons-qualité de service
Switch Catalyst 2960
(pour la couche accès réseau)
-sécurité des ports-réseau locaux virtuel-Fast Ethernet /gigabit Ethernet
Fonctionnalité d’un commutateur de couche 3 :
1
Les commutateurs de couche 3 peuvent exécuter des fonctions de routage de la couche 3, ce
qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de
couche 3 disposent d’un matériel de commutation spécialisé, l’acheminement des données est
généralement aussi rapide que la commutation.
Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manière
similaire à un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, à
défaut d’exploiter les informations d’adresses MAC de couche 2 pour toute décision en
matière de transmission, un commutateur de couche 3 peut également exploiter celles des
adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles
adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP
associées à ses interfaces. Il peut alors orienter le trafic sur le réseau sur la base des
informations recueillies sur les adresses IP.
Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites)
- Switch catalyst Cisco 3750
- 4 Switch catalyst 2960 de 24 ports
1.1.3 SCHÉMA DE CÂBLAGE
Sur le deuxième étage, un local de répartiteur principal constituera le point central de
raccordement du câblage LAN ainsi que le point de présence de la connexion WAN. Les
principaux composants électroniques du réseau, notamment les routeurs et les commutateurs
LAN, seront hébergés à cet emplacement.
- Le câblage horizontal comprendra des câbles à paires torsadées non
blindées de catégorie 5 et devra accepter un débit de 100
Mbits/s de norme TIA/IEA-568-B.
- Le câblage vertical (backbone) comprendra des câbles à fibre optique multi-
mode.
1
1.2 SERVEURS ET FONCTIONS
1.2.1- Emplacement des serveurs : (batterie des serveurs)
Il est très difficile d’administrer et de sécuriser un grand nombre de serveurs lorsqu’ils sont
distribués sur plusieurs sites d’un même réseau. C’est pourquoi ils sont fréquemment centralisés
sous forme de batteries de serveurs (terme utilisé par Cisco). Ces batteries de serveurs sont
généralement regroupées dans un local central. Cisco donne à ce stade des recommandations
concernant la séparation des modules fonctionnelles dans un réseau de la façon suivantes :
Campus d’entreprise : cette zone contient les éléments de réseau nécessaires à une exploitation
indépendante, au sein d’un réseau local.
Batterie de serveurs : composant de campus d’entreprise ; la batterie de serveurs protège les
ressources de serveur et fournit une connectivité haut débit fiable et redondante. (Généralement
constituée des serveurs principaux et des serveurs de sauvegarde pour l’équilibrage de charge, la
redondance et la tolérance de panne).
Périphérie du réseau d’entreprise : lorsque le trafic de données arrive au réseau de l’entreprise,
cette zone le filtre et le sépare des ressources extérieures, pour l’acheminer vers le réseau
1
d’entreprise. Elle contient tous les composants nécessaires à une communication efficace et
sécurisée entre le campus d’entreprise et les sites distants, les utilisateurs distants et Internet.
Avantage d’une telle conception du réseau :
La structure modulaire des architectures d’entreprise (inspiré de l’architecture des entreprises
chez Cisco) offre les avantages suivants en termes de conception :
- Elle crée un réseau déterministe doté de frontières clairement définies entre les modules.
Ces points de démarcation clairs permettent au concepteur du réseau de savoir exactement
d’où vient le trafic et où il va.
- Elle facilite le travail de conception en rendant chaque module indépendant. Le
concepteur peut alors se concentrer sur les besoins de chaque zone, de manière
individuelle.
- Elle améliore l’extensibilité du système en permettant à l’entreprise de rajouter facilement
de nouveaux modules. Lorsque la complexité du réseau augmente, il suffit au concepteur
d’ajouter de nouveaux modules fonctionnels.
- Elle permet au concepteur d’ajouter des services et des solutions sans avoir à modifier la
structure sous-jacente du réseau.
Donc au sein de notre réseau est segmenté en deux zones, la zone serveurs et la zone
utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi
segmentée de telle sorte à avoir un service par vlan. Chaque services ainsi que leurs serveurs
(Ressources humaines, comptabilité, finances ...) se trouvera sur un vlan différent afin de
segmenter au mieux notre réseau, d'en faciliter l’administration, gérer la bande passante et
d'augmenter la sécurité.
1
Fig. : Schéma logique de l’architecture de réseau de siège de Marseille.
Dans ce schéma : le nombre des ordinateurs et serveurs n’est pas exhaustif, c’est juste
schématisation des frontières de chaque zone.
1.2.2- Fonctions :
Tous les serveurs seront classés en tant que services de type Entreprise ou Groupe de travail et
seront placés dans la topologie du réseau selon leur fonction et le trafic utilisateur prévu.
1- LES SERVEURS D’ENTREPRISE : (QUI COMPOSENT L’INTRANET)
Services de Noms de Domaine (DNS) : Service de résolution de nom dynamique. Ce
serveur est chargé de traduire un nom en adresse IP. il permet d'accéder simplement aux ressources
du Web sans avoir à noter des adresses IP difficile à retenir, il fera la même chose soit à a
l'intérieur de d’un réseau soit sur internet.
1
Serveur active directory (AD) :
Sert pour l’authentification des utilisateurs de la compagnie lors de l’exploitation des ressources de
réseau et gère les droits d’accès au système d'information de l’entreprise. Ce serveur est le
contrôleur de domaine de la compagnie d’assurance (service active directory) sous Windows 2003
server.
Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour
communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris
et dunkerque
Serveur Web (HTTP) : nécessaire pour l’accès aux ressources web de la compagnie.
Serveur E-Learning : qui héberge la plateforme e-Learning de la compagne, elle est
accessible aussi par les employés des succursales Paris et Dunkerque.
Serveur GED : outils de gestion de documents et échanges et partages de fichiers entre
collaborateur de la compagnie.
Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue
automatiquement une adresse IP et toutes les données de configuration nécessaires a un bon
fonctionnement a chaque machine au moment de sa mise en service sur le réseau. Plus de liste de
paramètres à configurer sur les postes clients.
2- LES SERVEURS DE GROUPE DE TRAVAIL :
SERVEUR D'APPLICATIONS propres a chaque service d’entreprise (finance, comptabilité,
contrats d’assurance ….)
Toutes les applications informatiques seront hébergées par un serveur propre à chaque service (par
la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications
telles que gestion des contrats d’assurances, finance,…etc.
1
1.3 LES DEBITS
A partir de l’hypothèse que les applications utilisées par la compagnie assurance de Marseille sont
gourmandes et consommatrice de la bande passante, j’ai opté pour des liens de en fibre optique
pour les liaisons verticales et restent évolutifs en fonction du nombre de Switch empilés.
Politique des VLANs
Un réseau local est défini par un domaine de diffusion. Tous les hôtes d'un réseau local
reçoivent les messages de diffusion émis par n'importe quel autre hôte de ce réseau. Par
définition, un réseau local est délimité par des équipements fonctionnant au niveau 3 (couche
réseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau
2(notamment de réduire le domaine de collision) et de sécuriser le réseau.
L’objectif principal étant de segmenter ce domaine de diffusion pour utiliser efficacement la bande
passante et d’assurer la sécurité des données transitant sur le réseau de la société, de ce fait
chacun des services de la société sera cloisonnés sur un vlan.
2 ADRESSAGE ET NOMMAGE
2.1 ADRESSAGE :
Le plan d'adressage est la stratégie que l'on va appliquer afin de relier les différentes entités de
notre réseau de la manière la plus optimale. C'est-à-dire afin que le réseau soit le plus rapide
possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne).
Pour ce faire, je suis partis du principe que pour optimiser au maximum les différents flux
réseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de
privilégier la limitation des domaines de broadcast à l'aide de VLANs.
De plus, on doit prendre en compte certains éléments primordiaux pour la réalisation du plan
d'adressage. Tout d'abord, il me faut un plan d'adressage évolutif. En effet, on doit pouvoir
s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra être capable
d'accueillir des nouvelles entités sans subir aucun changement particulier.
A l'intérieur de notre réseau, on ne définira pas de sous réseaux pour les différents services mais on utilisera plutôt une solution à base de VLAN afin de réduire le nombre de routeur.
1
2.1.1 Adressage des serveurs et des postes de travail.
Le nombre de postes dans la compagnie Marseille assurance ne dépasse pas les 50 postes donc, j’ai
opté pour l’adressage en classe C.
Nous avons fait le choix d’adresser les actifs (routeurs, commutateurs) et les serveurs avec les
adresses d’hôtes les plus faibles : ce sont des adresses IP fixes.
Les postes de travail seront adressés avec les adresses restantes et se les verront attribuer
Dynamiquement. Le siège de Marseille dispose d’un serveur DHCP configuré pour distribuer les
adresses aux clients. Tous les ordinateurs des serveurs seront dotés d'adresses statiques et les
ordinateurs réservés aux employés via le protocole DHCP.
Donc les machines peuvent êtres adressées de 192.168.1.50 à 192.168.1.100 (mon
hypothèse est basée sur un nombre de 50 postes dans le siège de Marseille).
2.1.2 Plan d’adressage :
Il était possible de découper notre réseau en sous réseaux, mais je suis parti du principe que
pour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routage
et favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast à
l'aide de VLANs.
Il ya une possibilité de regrouper plusieurs service sur le même serveur matériel, comme on peut
ces services dans des serveurs indépendants (selon l’aspect cout).
Elément Adresse IP masque de
sous réseauxInterface interne du routeur
(passerelle)
192.168.1.1 255.255.255.0
Serveur DNS + Serveur active
directory (AD) (sur la même machine)
192.168.1.2 255.255.255.0
Serveur web 192.168.1.3 255.255.255.0Serveur de messagerie 192.168.1.4 Serveur DHCP 192.168.1.5 255.255.255.0Serveur GED 192.168.1.6Serveur hébergeant la plate forme e-
Learning
192.168.1.7 255.255.255.0
Les postes utilisateurs Adresse attribuée par le serveur
DHCP :
Plage : 192.168.1.50 à
255.255.255.0
1
192.168.1.100Les serveurs de groupe de travail qui
hébergent les applications de :
(finance, comptabilité, contrats
d’assurance)
Adresses fixes à partir de
192.168.1.200
255.255.255.0
- Les serveurs propres à chaque service se situent dans leur propre
VLAN.
2.1.3 Plan de nommage :
Nom de domaine : marsassurance.fr
Serveur web : www.marsassurance.fr
Serveur messagerie : mail.marsassurance.fr
1
Serveur e-Learning : learn. marsassurance.fr
Le nom de domaine et les FQDN de chaque serveur sont à configurer sur le serveur
DNS de la compagne.
3 –Sécurité :
Mise en œuvre d’un pare-feu afin de sécuriser toutes les applications exposées à Internet sur le routeur Cisco 2811 via ses fonctionnalités intégrées :
- Détection des intrusions (IDS).- Filtrage des URL- Les listes de contrôle d’acées (ACL).
II- Connectivité des sites distants (Paris et Dunkerque)
Les deux sites distants existants, un à Paris et l’autre située à dunkerque.. Doivent pouvoir accéder à la plateforme e-Learning situées sur un serveur à l’assurance Marseille.
L’un des objectifs prioritaires du nouveau réseau consiste à étendre. Voici les deux connexions distantes supplémentaires prévues :
1
1- L’adressage dans le réseau WAN : - Système NAT
L’adressage privé (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse considérable dans la conception de leur réseau. Des schémas d’adressage pratiques aux niveaux du fonctionnement et de l’administration peuvent ainsi être utilisés, et la croissance est plus simple à gérer.
Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et qu’il n’existe pas suffisamment d’adresses publiques pour nous permettre d’en fournir une à chacun de nos hôtes, les réseaux ont besoin d’un mécanisme pour traduire les adresses privées en adresses publiques à la périphérie du réseau ; ce mécanisme doit pouvoir fonctionner dans les deux sens.
Sans système de traduction, Les hôtes privés derrière un routeur dans le réseau de Paris ne peuvent pas se connecter aux hôtes privés derrière un routeur dans le réseau de Marseille via Internet.
Donc on doit configurer un mécanisme de traduction d’adresses de réseau qui s’appel (NAT) sur les trois routeurs (Marseille, paris et dunkerque) pour procurer un accès à Internet.
Adresses IP de l’Interface WAN de routeur masque de sous réseaux
1
Marseille : 209.165.201.1 255.255.255.224
Paris : 209.165.200.225 255.255.255.224
Dunkerque : 209.165.202.129 255.255.255.224
Puisque la compagnie possède 3 adresses publiques pour gérer des dizaines de machines dans chaque réseau, le type de NAT à configurer sur les 3 les routeurs et le NATING par port,
2- Comment sécuriser l’accès distant ? Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au réseau de Marseille pour la plateforme e-Learning. Et ils ont besoin dans certains cas d’accéder ressources réseau sur le réseau de Marseille. Cette connexion concerne des informations d’un aspect privé, elle doit être impérativement sécurisée.
Donc dans ce cas, Il faut déployer un système de sécurité pour :
– Protéger les communications inter -sites (Marseille, Paris, Dunkerque)– Autoriser les accès licites distants à la plateforme e-Learning et aux services intranet de Marseille : À partir de Paris et Dunkerque.
Il s’agit ici d’une connexion site-à-site entre (Marseille-paris) et (Marseille-Dunkerque), la technologie la plus adapté à cette situation VPN site-à-site est la technologie IPSEC basée sur le tunneling.
Dans ce cas on va créer un réseau privé (celui de la compagnie d’assurance) via un réseau public (internet) .
1
La configuration de VPN IPSec va se faire sur les trois routeurs des sites (Marseille, dunkerque et Paris).
3- Des services supplémentaires sur les sites distants :
Afin de faciliter l’accès aux serveurs de site distant de Marseille, j’ai opté d’installé dans chacun
des sites paris et dunkerque un serveur de noms local peut faire office de cache et répondre plus
rapidement que l'interrogation du serveur de noms faisant autorité situé sur le site de Marseille.
III- Schéma général du réseau.
1
Configuration sur le routeur Cisco 2811 (Marseille, Dunkerque, Paris) :
- Protocole de routage OSPF
- Translation d’adresses NAT
- Liste de contrôle d’accès
- VPN
- firewall IDS
