Projet reseau-de-kherfallah-ipm-2010-2011

6 131 vues

Publié le

Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin d'une entreprise : Intranet, GED, e-Learning.

0 commentaire
6 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

Aucun téléchargement
Vues
Nombre de vues
6 131
Sur SlideShare
0
Issues des intégrations
0
Intégrations
3
Actions
Partages
0
Téléchargements
475
Commentaires
0
J’aime
6
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

Projet reseau-de-kherfallah-ipm-2010-2011

  1. 1. MODULE : Réseaux PROJET DE CONCEPTION DE RESEAU Cas : Assurance de MarseilleRéalisé par : KHERFALLAH BoubakerMaster 2 IPMUniversité de Lille1Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin dela compagnie assurance de Marseille : Intranet, GED, e-Learning. 1
  2. 2. OBJET DU PROJET L’objet du projet est de proposer une solution d’architecture pour le réseau de la compagnieassurance de Marseille .Ce réseau doit être dimensionné en fonction des types d’utilisation, del’entité utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles etdes utilisateurs du réseaux…ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATIONLORS DE LA CONCEPTION :Les bases de ma conception se résument à quatre objectifs fondamentaux :Extensibilité : Les conceptions de réseau extensibles donnent la possibilité d’accueillir denouveaux groupes d’utilisateurs et de sites distants et peuvent prendre en charge de nouvellesapplications sans affecter le niveau de service fourni aux utilisateurs déjà existants.Disponibilité : Un réseau conçu pour être disponible fournit, 24 heures sur 24 et 7 jours sur 7, desperformances constantes et fiables. En outre, la défaillance d’une seule liaison ou d’une partie dumatériel ne doit pas avoir d’impact important sur les performances réseau.Sécurité : La sécurité doit être prévue dès la conception du réseau et non ajoutée après saréalisation. La planification de l’emplacement des dispositifs de sécurité, des filtres et des pare-feuest primordiale pour assurer la protection des ressources du réseau. 1
  3. 3. Facilité de gestion : Quelle que soit la qualité de la conception initiale du réseau, le personnel encharge du réseau doit être capable de le gérer et de le prendre en charge. Un réseau trop complexeet difficile à maintenir ne peut pas fonctionner efficacement. I- SIEGE DE MARSEILLE :ARCHITECTURE PROPOSÉE 1.1 TOPOLOGIE DE RÉSEAU:1.1.1 ARCHITECTURE GÉNÉRALE L’architecture que je viens de proposer se base sur une conception hiérarchique divisée en trois couches : ● Cœur de réseau : assure la commutation à haut débit (optimisation du transport). ● Réseau de distribution : assure une connectivité fondée sur les stratégies. ● Accès : permet aux utilisateurs et aux groupes de travail daccéder au réseau. NB : dans les entreprises de petite taille, il n’est pas rare d’implémenter un modèle fédérateur, où la couche de distribution et la couche coeur de réseau se trouvent au sein d’une seule et même couche.  Dans notre cas : un commutateur de couche distribution joue le rôle de fédérateur. Avantage d’un réseau hiérarchique : - évolutivité : les réseaux hiérarchiques peuvent être aisément étendus. - redondance : la redondance au niveau de la couche cœur réseau et distribution garantis la disponibilité des chemins d’accès. - performance : l’agrégation des liaisons garantis une vitesse proche de celle de câble à travers le réseau. - sécurité : sécurité des ports au niveau de la couche accès réseau et les stratégies au niveau de la couche de distribution renforcent la sécurité de réseau. -facilité de gestion : la cohérence entre les commutateurs à chaque niveau simplifie la gestion. -maintenance : via la modularité hiérarchique la maintenance devient facile.1.1.2 LE MATÉRIEL J’ai choisi d’uniformiser le type de matériel déployé sur lensemble de mon architecture. Cela aura plusieurs avantages : 1
  4. 4. Tous les équipements sont de même marque ce qui évite tous problèmes de compatibilité entre les protocoles propriétaires. Et même plus il nous permet d’exploiter pleinement les protocoles développés par le constructeur. J’ai donc choisi de prendre du matériel Cisco puisque ce sont des équipements fiables qui ont fait leur preuve.Les équipements d’interconnexion: Equipement d’interconnexion Fonctions symbole Routeurs Cisco 2811 fonctionnalités avancées : • Large éventail d’options de réseau LAN et WAN. possible évolution pour s’adapter aux futures technologies. Routage vers la destination • Plusieurs types finale d’emplacements qui permettent d’ajouter des options de connectivité et des services à mesure que l‘entreprise se développe • avec la plate-forme logicielle Cisco IOS Security, permettent de bénéficier de la protection des liaisons de réseau WAN et des services VPN. -Prise en charge de la Switch Catalyst 3570 couche 3 - débit de transfert élevé. (Pour la couche distribution) -Ethernet gigabits/ Ethernet 10 gigabits - composants redondants -stratégies de sécurité/liste de contrôle d’accès -agrégation des liaisons -qualité de service -sécurité des ports Switch Catalyst 2960 -réseau locaux virtuel -Fast Ethernet /gigabit Ethernet (pour la couche accès réseau)Fonctionnalité d’un commutateur de couche 3 : 1
  5. 5. Les commutateurs de couche 3 peuvent exécuter des fonctions de routage de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de couche 3 disposent d’un matériel de commutation spécialisé, l’acheminement des données est généralement aussi rapide que la commutation. Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manière similaire à un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, à défaut d’exploiter les informations d’adresses MAC de couche 2 pour toute décision en matière de transmission, un commutateur de couche 3 peut également exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces. Il peut alors orienter le trafic sur le réseau sur la base des informations recueillies sur les adresses IP. Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites) - Switch catalyst Cisco 3750 - 4 Switch catalyst 2960 de 24 ports1.1.3 SCHÉMA DE CÂBLAGE Sur le deuxième étage, un local de répartiteur principal constituera le point central de raccordement du câblage LAN ainsi que le point de présence de la connexion WAN. Les principaux composants électroniques du réseau, notamment les routeurs et les commutateurs LAN, seront hébergés à cet emplacement. - Le câblage horizontal comprendra des câbles à paires torsadées non blindées de catégorie 5 et devra accepter un débit de 100 Mbits/s de norme TIA/IEA-568-B. - Le câblage vertical (backbone) comprendra des câbles à fibre optique multi- mode. 1
  6. 6. 1.2 SERVEURS ET FONCTIONS1.2.1- Emplacement des serveurs : (batterie des serveurs)Il est très difficile d’administrer et de sécuriser un grand nombre de serveurs lorsqu’ils sontdistribués sur plusieurs sites d’un même réseau. C’est pourquoi ils sont fréquemment centraliséssous forme de batteries de serveurs (terme utilisé par Cisco). Ces batteries de serveurs sontgénéralement regroupées dans un local central. Cisco donne à ce stade des recommandationsconcernant la séparation des modules fonctionnelles dans un réseau de la façon suivantes :Campus d’entreprise : cette zone contient les éléments de réseau nécessaires à une exploitationindépendante, au sein d’un réseau local.Batterie de serveurs : composant de campus d’entreprise ; la batterie de serveurs protège lesressources de serveur et fournit une connectivité haut débit fiable et redondante. (Généralementconstituée des serveurs principaux et des serveurs de sauvegarde pour l’équilibrage de charge, laredondance et la tolérance de panne).Périphérie du réseau d’entreprise : lorsque le trafic de données arrive au réseau de l’entreprise,cette zone le filtre et le sépare des ressources extérieures, pour l’acheminer vers le réseau 1
  7. 7. d’entreprise. Elle contient tous les composants nécessaires à une communication efficace etsécurisée entre le campus d’entreprise et les sites distants, les utilisateurs distants et Internet.Avantage d’une telle conception du réseau : La structure modulaire des architectures d’entreprise (inspiré de l’architecture des entreprises chez Cisco) offre les avantages suivants en termes de conception : - Elle crée un réseau déterministe doté de frontières clairement définies entre les modules. Ces points de démarcation clairs permettent au concepteur du réseau de savoir exactement d’où vient le trafic et où il va. - Elle facilite le travail de conception en rendant chaque module indépendant. Le concepteur peut alors se concentrer sur les besoins de chaque zone, de manière individuelle. - Elle améliore l’extensibilité du système en permettant à l’entreprise de rajouter facilement de nouveaux modules. Lorsque la complexité du réseau augmente, il suffit au concepteur d’ajouter de nouveaux modules fonctionnels. - Elle permet au concepteur d’ajouter des services et des solutions sans avoir à modifier la structure sous-jacente du réseau.Donc au sein de notre réseau est segmenté en deux zones, la zone serveurs et la zoneutilisateurs. Cette segmentation seffectue au travers de vlans. La zone utilisateurs est elle aussisegmentée de telle sorte à avoir un service par vlan. Chaque services ainsi que leurs serveurs(Ressources humaines, comptabilité, finances ...) se trouvera sur un vlan différent afin desegmenter au mieux notre réseau, den faciliter l’administration, gérer la bande passante etdaugmenter la sécurité. 1
  8. 8. Fig. : Schéma logique de l’architecture de réseau de siège de Marseille. Dans ce schéma : le nombre des ordinateurs et serveurs n’est pas exhaustif, c’est justeschématisation des frontières de chaque zone.1.2.2- Fonctions :Tous les serveurs seront classés en tant que services de type Entreprise ou Groupe de travail etseront placés dans la topologie du réseau selon leur fonction et le trafic utilisateur prévu. 1- LES SERVEURS D’ENTREPRISE : (QUI COMPOSENT L’INTRANET)Services de Noms de Domaine (DNS) : Service de résolution de nom dynamique. Ceserveur est chargé de traduire un nom en adresse IP. il permet daccéder simplement aux ressourcesdu Web sans avoir à noter des adresses IP difficile à retenir, il fera la même chose soit à alintérieur de d’un réseau soit sur internet. 1
  9. 9. Serveur active directory (AD) :Sert pour l’authentification des utilisateurs de la compagnie lors de l’exploitation des ressources deréseau et gère les droits d’accès au système dinformation de l’entreprise. Ce serveur est lecontrôleur de domaine de la compagnie d’assurance (service active directory) sous Windows 2003server.Serveur Messagerie : Le courriel est un outil indispensable de lentreprise pourcommuniquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de pariset dunkerqueServeur Web (HTTP) : nécessaire pour l’accès aux ressources web de la compagnie.Serveur E-Learning : qui héberge la plateforme e-Learning de la compagne, elle estaccessible aussi par les employés des succursales Paris et Dunkerque.Serveur GED : outils de gestion de documents et échanges et partages de fichiers entrecollaborateur de la compagnie.Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribueautomatiquement une adresse IP et toutes les données de configuration nécessaires a un bonfonctionnement a chaque machine au moment de sa mise en service sur le réseau. Plus de liste deparamètres à configurer sur les postes clients. 2- LES SERVEURS DE GROUPE DE TRAVAIL :SERVEUR DAPPLICATIONS propres a chaque service d’entreprise (finance, comptabilité,contrats d’assurance ….)Toutes les applications informatiques seront hébergées par un serveur propre à chaque service (parla suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applicationstelles que gestion des contrats d’assurances, finance,…etc. 1
  10. 10. 1.3 LES DEBITSA partir de l’hypothèse que les applications utilisées par la compagnie assurance de Marseille sontgourmandes et consommatrice de la bande passante, j’ai opté pour des liens de en fibre optiquepour les liaisons verticales et restent évolutifs en fonction du nombre de Switch empilés. Politique des VLANsUn réseau local est défini par un domaine de diffusion. Tous les hôtes dun réseau localreçoivent les messages de diffusion émis par nimporte quel autre hôte de ce réseau. Pardéfinition, un réseau local est délimité par des équipements fonctionnant au niveau 3 (coucheréseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau2(notamment de réduire le domaine de collision) et de sécuriser le réseau.L’objectif principal étant de segmenter ce domaine de diffusion pour utiliser efficacement la bandepassante et d’assurer la sécurité des données transitant sur le réseau de la société, de ce faitchacun des services de la société sera cloisonnés sur un vlan.2 ADRESSAGE ET NOMMAGE2.1 ADRESSAGE :Le plan dadressage est la stratégie que lon va appliquer afin de relier les différentes entités denotre réseau de la manière la plus optimale. Cest-à-dire afin que le réseau soit le plus rapidepossible avec si possible larchitecture la plus simple (ce qui facilite le diagnostic en cas de panne).Pour ce faire, je suis partis du principe que pour optimiser au maximum les différents fluxréseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, deprivilégier la limitation des domaines de broadcast à laide de VLANs.De plus, on doit prendre en compte certains éléments primordiaux pour la réalisation du plandadressage. Tout dabord, il me faut un plan dadressage évolutif. En effet, on doit pouvoirsadapter et anticiper la croissance de lentreprise e. mon plan dadressage devra être capabledaccueillir des nouvelles entités sans subir aucun changement particulier. A lintérieur de notre réseau, on ne définira pas de sous réseaux pourles différents services mais on utilisera plutôt une solution à base de VLANafin de réduire le nombre de routeur. 1
  11. 11. 2.1.1 Adressage des serveurs et des postes de travail.Le nombre de postes dans la compagnie Marseille assurance ne dépasse pas les 50 postes donc, j’aiopté pour l’adressage en classe C.Nous avons fait le choix d’adresser les actifs (routeurs, commutateurs) et les serveurs avec lesadresses d’hôtes les plus faibles : ce sont des adresses IP fixes.Les postes de travail seront adressés avec les adresses restantes et se les verront attribuerDynamiquement. Le siège de Marseille dispose d’un serveur DHCP configuré pour distribuer lesadresses aux clients. Tous les ordinateurs des serveurs seront dotés dadresses statiques et lesordinateurs réservés aux employés via le protocole DHCP.Donc les machines peuvent êtres adressées de 192.168.1.50 à 192.168.1.100 (monhypothèse est basée sur un nombre de 50 postes dans le siège de Marseille).2.1.2 Plan d’adressage :Il était possible de découper notre réseau en sous réseaux, mais je suis parti du principe quepour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routageet favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast àlaide de VLANs.Il ya une possibilité de regrouper plusieurs service sur le même serveur matériel, comme on peutces services dans des serveurs indépendants (selon l’aspect cout).Elément Adresse IP masque de sous réseauxInterface interne du routeur 192.168.1.1 255.255.255.0(passerelle)Serveur DNS + Serveur active 192.168.1.2 255.255.255.0directory (AD) (sur la même machine)Serveur web 192.168.1.3 255.255.255.0Serveur de messagerie 192.168.1.4Serveur DHCP 192.168.1.5 255.255.255.0Serveur GED 192.168.1.6Serveur hébergeant la plate forme e- 192.168.1.7 255.255.255.0LearningLes postes utilisateurs Adresse attribuée par le serveur 255.255.255.0 DHCP : Plage : 192.168.1.50 à 1
  12. 12. 192.168.1.100Les serveurs de groupe de travail qui Adresses fixes à partir de 255.255.255.0hébergent les applications de : 192.168.1.200(finance, comptabilité, contratsd’assurance) -  Les serveurs propres à chaque service se situent dans leur propre VLAN.2.1.3 Plan de nommage :Nom de domaine : marsassurance.frServeur web : www.marsassurance.frServeur messagerie : mail.marsassurance.fr 1
  13. 13. Serveur e-Learning : learn. marsassurance.fr Le nom de domaine et les FQDN de chaque serveur sont à configurer sur le serveurDNS de la compagne.3 –Sécurité :Mise en œuvre d’un pare-feu afin de sécuriser toutes les applications exposées à Internet sur lerouteur Cisco 2811 via ses fonctionnalités intégrées :- Détection des intrusions (IDS).- Filtrage des URL- Les listes de contrôle d’acées (ACL). II- Connectivité des sites distants (Paris et Dunkerque)Les deux sites distants existants, un à Paris et l’autre située à dunkerque.. Doivent pouvoiraccéder à la plateforme e-Learning situées sur un serveur à l’assurance Marseille.L’un des objectifs prioritaires du nouveau réseau consiste à étendre. Voici les deux connexionsdistantes supplémentaires prévues : 1
  14. 14. 1- L’adressage dans le réseau WAN : - Système NATL’adressage privé (de type 192.168.1.0 par exemple) offre aux entreprises une souplesseconsidérable dans la conception de leur réseau. Des schémas d’adressage pratiques aux niveaux dufonctionnement et de l’administration peuvent ainsi être utilisés, et la croissance est plus simple àgérer.Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et qu’il n’existe passuffisamment d’adresses publiques pour nous permettre d’en fournir une à chacun de nos hôtes, lesréseaux ont besoin d’un mécanisme pour traduire les adresses privées en adresses publiques à lapériphérie du réseau ; ce mécanisme doit pouvoir fonctionner dans les deux sens.Sans système de traduction, Les hôtes privés derrière un routeur dans le réseau de Paris nepeuvent pas se connecter aux hôtes privés derrière un routeur dans le réseau de Marseille viaInternet.Donc on doit configurer un mécanisme de traduction d’adresses de réseau qui s’appel (NAT) surles trois routeurs (Marseille, paris et dunkerque) pour procurer un accès à Internet.Adresses IP de l’Interface WAN de routeur masque de sous réseaux 1
  15. 15. Marseille : 209.165.201.1 255.255.255.224Paris : 209.165.200.225 255.255.255.224Dunkerque : 209.165.202.129 255.255.255.224Puisque la compagnie possède 3 adresses publiques pour gérer des dizaines de machines danschaque réseau, le type de NAT à configurer sur les 3 les routeurs et le NATING par port, 2- Comment sécuriser l’accès distant ?Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au réseau de Marseille pour laplateforme e-Learning. Et ils ont besoin dans certains cas d’accéder ressources réseau sur le réseaude Marseille. Cette connexion concerne des informations d’un aspect privé, elle doit êtreimpérativement sécurisée.Donc dans ce cas, Il faut déployer un système de sécurité pour :– Protéger les communications inter -sites (Marseille, Paris, Dunkerque)– Autoriser les accès licites distants à la plateforme e-Learning et aux services intranet deMarseille : À partir de Paris et Dunkerque.Il s’agit ici d’une connexion site-à-site entre (Marseille-paris) et (Marseille-Dunkerque), latechnologie la plus adapté à cette situation VPN site-à-site est la technologie IPSEC basée sur letunneling.Dans ce cas on va créer un réseau privé (celui de la compagnie d’assurance) via un réseaupublic (internet) . 1
  16. 16. La configuration de VPN IPSec va se faire sur les trois routeurs des sites(Marseille, dunkerque et Paris). 3- Des services supplémentaires sur les sites distants :Afin de faciliter l’accès aux serveurs de site distant de Marseille, j’ai opté d’installé dans chacundes sites paris et dunkerque un serveur de noms local peut faire office de cache et répondre plusrapidement que linterrogation du serveur de noms faisant autorité situé sur le site de Marseille. III- Schéma général du réseau. 1
  17. 17.  Configuration sur le routeur Cisco 2811 (Marseille,Dunkerque, Paris) : - Protocole de routage OSPF - Translation d’adresses NAT - Liste de contrôle d’accès - VPN - firewall IDS 1

×