MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

MISE EN PLACE D’UN VPN
(SITE-TO-SITE) AU SEIN D’UNE
ENTREPRISE : CAS DE LA SOROUBAT
(SOCIETE DE ROUTES ET BATIMENTS)
Présenté par :
DENAGNON Franck
ECOLE SUPERIEURE DE GENIE INFORMATIQUEUNIVERSITE FRANCAISE D’ABIDJAN
MEMOIRE
Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS)
Discipline : Systèmes, Réseaux et Cloud Computing
Année académique 2017 - 2018
Encadreur :
M. AGBISSI Jean- Paul

MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 2
SOMMAIRE ………………………………………………………………………………………… 02
AVANT-PROPOS………………………………………………………………………………...……. 03
REMERCIEMENTS…………………………………………………………………………………… 04
LISTE DES ABREVIATIONS ET ACRONYMES ………………………………………………. 05
INTRODUCTION GENERALE ……………………………………………………………………… 07
INTRODUCTION ……………………………………………………………………………………… 08
PREMIERE PARTIE : APPROCHE METHODOLOGIQUE ……………………………………... 10
INTRODUCTION DE LA PREMIERE PARTIE ……………………………………………………. 11
CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET……………………………. 12
CHAPITRE 2 : ETUDE ET CRITIQUE DE L’EXISTANT………………………………………. 15
CONCLUSION DE LA PREMIERE PARTIE …………………………………………………. 19
DEUXIEME PARTIE : ETUDE TECHNIQUE ET CONDITIONS DE REALISATION…………. 20
INTRODUCTION DE LA DEUXIEME PARTIE…………………………………………………. 21
CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES …………………. 22
CHAPITRE 2 : LES RESEAUX PRIVES VIRTUELS ……………………………………………… 33
CHAPITRE 3 : ADMINISTRATION ET SECURITE………………………………………………… 40
TROISIEME PARTIE : MISE EN OEUVRE DE L’INTERCONNEXION ………………………… 43
CHAPITRE 1 : PLAN D’ACTION DU DEPLOIEMENT……………………………………………45
CHAPITRE 2 : CONFIGURATION DES EQUIPEMENTS ET SERVICES …………………. 47
CHAPITRE 3 : ESTIMATION FINANCIERE DU PROJET ………………………………………... 60
CONCLUSION GENERALE ………………………………………………………………………. 61
BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE ………………………………………… 62
SOMMAIRE

Avant-propos
L’Université Française d’Abidjan (UFRA) réunit sept établissements supérieurs (Groupe
ESG) dans les domaines du Management, Comptabilité, Finances, Ressources Humaines,
Commerce International, Marketing, Publicité et de l’Informatique. Le groupe compte un
établissement de formation continue.
La naissance de l’UFRA ou en d’autres termes la délocalisation en Côte d’Ivoire des
Diplômes Techniques Français, répond aux vœux formulés par de nombreux cadres et étudiants,
désirant se spécialiser dans les différentes filières de très haut niveau relevant du domaine du
management, de l'informatique et de la gestion des entreprises. Le but secondaire étant bien sûr
de décrocher un Diplôme Supérieur Français tout en restant à Abidjan.
La filière qui nous concerne, est la filière informatique de l’Ecole Supérieure de Génie
Informatique - PARIS (ESGI - PARIS)
Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus
académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des
travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil.
Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises
pendant les trois années de formation.
Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to -
Site) au sein d’une entreprise ".
Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a
pour but de présenter le résultat du travail effectué sur ledit thème.
Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en
place d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions
idoines aux problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre
formation académique et de nos réflexions empiriques.

Remerciements
Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de
parvenir à ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il
convient de remercier. Il aurait été certainement plus juste de remercier nommément chacune
d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour
leur contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu
figurer ici.
Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs
sans qui ce travail n'aurait pas pu aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu
tout le long de mon parcours.
J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette
formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice
de l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA)
J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir
fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean-
Paul, pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire.
Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience
dans le domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout
en respectant les architectures en place.
Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné
ma chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet
de Bachelor dont mes collègues et camarades de classe.

Listes des abréviations et acronymes
AES : Advanced Encryption Standard
ARP : Adress Resolution Protocol
ANSI : American National Standard Institute
ADSL : Asymmetrical bit rate Digital Subscriber Line
AES : Application Environment Service
ASCII : American Standard Code for Information Interchange
CDMA : Code Division Multiple Access
CSMA/CD : Carrier Sense Multiple Access / Collision Detection.
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System/Service
DMZ : DeMilitarized Zone
DES : Data Encryption Standard
EAP : Extensible Authentication Protocol
ERP : Enterprise Resource Planning
FAI : Fournisseur d'Accès Internet
FDDI : Fiber Distributed Data Interface
FTP : File Transfer Protocol
HTTP : Hyper Text Transfer Protocol
HTML : Hyper Text Markup Language
IKE : Internet Key Exchange
ISO : International Standards Organisation.
ISP : Internet Service Provider
IEEE : Institute of Electrical and Electronics Engineers
ICMP : Internet Control Message Protocol
IPSEC : Internet Protocol Security
ISAKMP : Internet Security Association and Key Management Protocol
L2F : Layer Two Forwarding

L2TP : Layer Two Tunneling Protocol
MAC : Message Authentification Code
MAU : Multisession Access Unit.
NAT : Network Adress Traduction
NAS : Network Attached Storage
NTIC : Nouvelles Technologies de l'Information et de la Communication
OSI : Open Systems Interconnection
PPP : Point To Point Protocol
PoE : Power over Ethernet
PKI : Public Key Infrastructure
PING : Packet Internet Groper.
PPTP : Point To Point Tunneling Protocol
QoS : Quality Of Service
RA : Registration Authority
RFC : Request For Comments
RIP : Routing Information Protocol
RNIS : Réseau Numérique à Intégration de Services
SHA : Secure Hash Algorithm
SSL : Secure Socket Layer
STP : Shielded Twisted Pair
SA : Security Association
SNMP : Simple Network Management Protocol.
SARL : Société par Actions à la Responsabilité Limité
SOROUBAT : Société Route et Bâtiments
TCP/IP : Transmission Control Protocol/Internet Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VSAT : Very Small Aperture Terminal
WAN : Wide Area Network ou réseau Etendu
WIFI : Wireless Fidelity

Introduction générale

Introduction
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications
ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi indispensable
que l’eau et l’électricité, aucun développement ne saurait se faire sans elles.
La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou
encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions,
administrations, etc…).
C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a
entrepris des réformes dans le domaine de la télécommunication visant à informatiser les
différents secteurs d’activité.
Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui
était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les entités
informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la naissance
du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel).
C’est dans cette même veine de besoin à satisfaire que la SOROUBAT a initié ce projet ayant
pour thème « Mise en place d’un VPN (Site–to-Site) au sein d’une entreprise ».
I. Problématique
Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé
graduellement comme un instrument primordial dans le monde professionnel, devenant l'outil
incontournable pour la gestion de l'information allant jusqu’ à la prise de décision d’une
importance capitale pour les entreprises
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important
marché en 2007. Ce projet de 75,8 Km, entrant dans le cadre du prolongement de l’autoroute du
Nord reliant ABIDJAN à YAMOUSSOUKRO, est composé de 3 lots comportant 11 échangeurs
et 9 passages inférieurs :
- Lot 1 (14,5 Km) de SINGROBO à TAABO
- Lot 2 (29,5 Km) de TAABO à TOUMODI
- Lot 3 (31,8 Km) de TOUMODI à YAMOUSSOUKRO.
Suite à la réalisation de ce projet depuis fin 2012, la société SOROUBAT a axé sa stratégie
de développement sur son service informatique notamment en mettant en place une
interconnexion entre ses différents chantiers à l’intérieur du pays et son siège social sis à Abidjan.
Cependant, dans sa gestion quotidienne, la SOROUBAT éprouve plusieurs difficultés
concernant la gestion centralisée de ses données et informations ainsi que dans l’interactions
avec ses sociétés du groupe.

Par exemple, vu la demande étendue à différents chantiers repartis sur le territoire ivoirien
elle a du mal à fédérer le suivi de ses stocks et demande en approvisionnement.
Pourtant, une rupture de stock ou un retard de livraison est susceptible d’immobiliser
plusieurs engins qui peuvent conduire à l’arrêt des travaux sur le chantier.
La nécessité pour la Direction Générale de disposer d’un moyen de transmission et de
réception (interconnexion) des flux de donnés regroupant, mobilité, itinérance et fidélité s’impose.
Cette interconnexion devrait constituer la boussole des services de transmissions à
distance de l’entreprise, il devient évident que la mise en place d’un tel système serait très
judicieuse pour la pérennité du système d’information du groupe SOROUBAT.
Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau Privé
Virtuel (VPN) au sein d’une entreprise ».
Cependant, cette situation suscite un certain nombre d’interrogations :
- Comment la SOROUBAT est-elle organisée dans son système d’information actuel ?
- Comment accéder à distance de n’importe où aux ressources de données du siège ?
- Quelles dispositions prendre pour assurer une interconnexion optimale des différents sites
distants au sein de la SOROUBAT ?
II. Méthode et stratégie de recherche
Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans les
centres de documentations et bibliothèques universitaires il s’agit de :
- La bibliothèque de l’Université Française d’Abidjan (UFRA) sis au plateau ;
- Au centre culturel Français d’Abidjan au plateau ;
- Les sites Internet de technologies
Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des ouvrages
généraux, des ouvrages spécialisés, des revues, des rapports d’études, des mémoires. Ces
ouvrages et sites web donnerons une connaissance générale sur le thème et nous permettrons
d’élaborer un plan de travail beaucoup plus scientifique.
L'architecture de l’étude s'articule autour de trois grands mouvements désignés sous le
vocable de « parties ».
Nous avons adopté pour une approche volontairement pédagogique et opératoire :
 La première partie sera une réflexion théorique et globale qui aborde de façon
analytique le thème.
Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.
 La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche du
projet.
Un accent particulier sera mis sur une étude technique suivit de la présentation d’une
solution architecturale ainsi que sur l’administration et la sécurité du réseau.
 La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième partie sera
consacrée à la mise en service du VPN et des services associés de façon pratique suivi
d’une évaluation financière du projet.
Nous terminerons ce mémoire par une conclusion générale et des perspectives.

Première partie :
Approche méthodologique

Introduction de la première partie
Cette première partie de l'étude consiste en une réflexion purement théorique sur le sujet et
expose la démarche méthodologique adoptée pour le traiter. Elle s'attache ainsi, exclusivement,
à montrer l'intérêt scientifique du sujet, à poser le problème, à dégager les hypothèses de
recherche, à élaborer la méthodologie sur laquelle s'appuie la recherche, et enfin à indiquer les
modes de mobilisation et de production de l'information.
Cette partie comporte deux chapitres :
- Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux scientifiques
et pose le problème. Il s'agit aussi, par une analyse de présenter « l 'état des lieux » d'un tel
sujet.
- Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant sur lequel
s'appuie la recherche. Une deuxième phase de ce chapitre indique les besoins qui ressortent
de cette analyse, constituant la substance de l'étude.

Chapitre 1 : Présentation et contexte du projet
I. Présentation de SOROUBAT
Dans cette partie de notre mémoire, nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la
structure organique de l'entreprise SOROUBAT-CI.
I.1 - Situation géographique et juridique
La « Société des Routes et Bâtiment » en abrégé SOROUBAT, est une entreprise de droit
tunisien ayant pour cœur d’activité principale les BTP (bâtiment et travaux publics), elle a une
représentation en Côte d’Ivoire.
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché
en 2007. La SOROUBAT-CI est une société à caractère privé, à responsabilité limitée (Sarl) au
capital de 4. 000. 000.000 FCFA (Quatre milliards de Francs CFA).
Au départ succursale, elle est devenue une SARL. Elle se développe en groupe à ce jours
plusieurs sociétés émanent de SOROUBAT-CI (SAME BUSINESS, SOGECAR, MADALY
SANTE, MADALY TOUR, SIAG, SADEP, C2SR, SDIA, FC SAN PEDRO).
I.2 - Objectif et mission
SOROUBAT-CI, intervient dans le domaine des travaux publics tels que les routes,
l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais elle s’est plus
particulièrement spécialisée dans la construction des routes, autoroutes et ouvrages d’arts.
Par son bon fonctionnement et son activité, la SOROUBAT contribue à soutenir
l'économie et la politique nationale car pour la construction des infrastructures, la SOROUBAT
utilise la main d'œuvre locale, et paie les impôts à l'Etat Ivoirien.
I.3 - Activités
La SOROUBAT-CI a pour principale activité la construction des routes et des bâtiments.
Elle a actuellement le projet de la voie Odienné - Madinani -Boundiali et la voirie de la nouvelle
zone industrielle de Yopougon au PK24.
Aujourd’hui, la SOROUBAT a diversifié ses activités et est devenu un groupe avec
différentes filiales dont :
- SOGECAR (Société de Gestion de Carrière).
- SAME BUSINESS. (Vente d’engin)
- FONCIERE IVOIRIENNE. (Société de gestion foncière et immobilière)
- MADALY TOURS. (Agence de tourisme IATA)
- MADALY SANTE. (Vente d’équipement médicaux et paramédicaux)

Ses caractéristiques principales sont les suivants :
- Raison sociale : Société de Routes et de Bâtiments en Côte d’Ivoire (SOROUBAT-
CI)
- Localisation : II Plateaux Vallon, non loin de la SGBCI Vallon route d’Attoban.
- Statut juridique : Société à Responsabilité Limitée (SARL)
- Capital social : 4 000 000 000 FCFA
- Téléphone : 22 41 35 10
- Compte contribuable : 0717959 M
- Email : soroubatci@yahoo.fr
I.4 - Organisation
Structure organique de l'Entreprise : L’organisation de la SOROUBAT-CI s’articule autour de
plusieurs directions et services.
Pour mener à bien ses activités de construction de l’autoroute du nord, la SOROUBAT
s’est subdivisée en six (05) grandes directions :
- La Direction Générale ;
- La Direction Administrative et Comptable ;
- La Direction Financière ;
- La Direction des Projets ;
- La Direction du matériel.
II. Présentation du thème
II.1 - Intérêt de l’étude
Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses ressources.
Vu l’ambition de la SOROUBAT d’être leader des BTP sur l’échiquier international, et dans le but
de lui permettre d’être interconnecté entre ses différents sites nationaux et même internationaux,
il a été jugé bon de nous pencher sur la question de la : « Mise en place de Réseau Privé Virtuel
(VPN) au sein d’une entreprise » et d’en faire une référence.
II.2 - Objectifs de l'étude
II.2.1 Objectifs principaux
Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place d'une
interconnexion entre plusieurs site distant à travers un VPN afin de faciliter les échanges distants
de données au sein de la société SOROUBAT et de ce fait de mieux gérer le système
d’information de l’entreprise.

II.2.2 Objectifs spécifiques
Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place
un réseau virtuel privé stable et opérationnel. Ceci nous amènera donc à étudier différents
aspects :
- Nous évaluerons le type de VPN le mieux adapté aux besoins de l’entreprise.
- Nous définirons la sécurité des données.
- Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon
fonctionnement.
II.3 - Cahier de charge
Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi riche
et prometteur que le thème.
En effet les contraintes globales que nous devons respecter sont les suivantes :
- Identifier les différents services de SOROUBAT ;
- Proposer un plan d’adressage par SUBNETTING ;
- Configurer les routeur VPN ;
- Assurer la confidentialité des connexions ;

Chapitre 2 : Etude et critique de l’existant
Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l’existant quel qu’il
soit.
La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou
indirectement une relation avec le service informatique de SOROUBAT
Il s’agit principalement du Directeur Financier M. CHADI Issam, de M. SABER Drira, Directeur
Administratif, de M. Riadh AYACHI Responsable Achat.
Après quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette
méthodologie de travail nous a permis d’avoir une connaissance large de l’existant.
I. Etude de l’existant
Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que possible, l'analyse
qualitative et quantitative du système d’information actuel de la SOROUBAT.
Une analyse de l'existant comprend trois parties distinctes :
- La première consiste à recueillir les informations ; elle est réalisée à partir d'entretiens ou
de questionnaires, tableaux de bords, catalogues, études, données statistiques etc.
- La seconde consiste à analyser, classer et donner une vue synthétique de l'ensemble
des informations collectées par domaine fonctionnel, en tenant compte des ressources
humaines (nombre et profil des personnes assignées aux diverses tâches).
- La troisième consiste à esquisser une modélisation à grosses mailles des données et
des traitements.
En effet, pour faire le déploiement de solution d’interconnexion, il est essentiel de disposer
d’informations précises sur l’infrastructure réseau physique et les problèmes qui ont une
incidence sur le fonctionnement du réseau.
En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans
le déploiement du VPN.
Il s’agira donc pour nous de rassembler les informations relatives à l’organisation de l’existant.
Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de Télécommunication
et des services qui feront l’objet d’interconnexion.

I.1 - Matériels et logiciels utilisés
Le recensement des outils informatiques associés aux départements, et services de la
SOROUBAT nous a donné pour le siège (Nb : Tout les PC fonctionnent sous Windows 10)
SIEGE
Direction Nbre des Pcs Marques Types HDD Mémoires
RAM
Dir. Générale 04 Dell Core I7 1Terra 8 Go
Dir. RH 04 HP Core I5 500 Go 4 Go
Dir. Technique 04 Dell Core I5 500 Go 4 Go
Services Achat 06 Dell Core I5 500 Go 4 Go
Dir. Financier 07 HP Core I5 500 Go 4 Go
Dir. Comptable 03 Dell Core I5 500 Go 4 Go
Dir Audit 02 HP Core I5 500 Go 4 Go
Dir Informatique 04 Dell Core I7 2 Terra 8 Go
Dir Transit 03 Dell Core I5 500 Go 4 Go
Service Juridique 01 Dell Core I5 500 Go 4 Go
Service Contrôle
de gestion
06 HP Core I5 500 Go 4 Go
Secrétariat 04 HP Core I5 1Terra 4 Go
TOTAL 48
- LES SERVEURS
Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents
clients. Les serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous dans une
salle machine et présentent différentes caractéristiques énumérées comme suit :
Tableau n° 02 : Les serveurs de SOROUBAT
Nombres Rôle des serveurs Type de serveur O. S
01 Serveur de Domaine (AD) Serveur Dell Windows 2012 R2
01 Hyperviseur Navision Serveur Dell Windows 2012 R2
01 Hyperviseur Citrix Serveur Dell Windows 2008 R2
01 Serveur de redondance (AD) Serveur HP ProLiant Windows 2012 R2
10 Serveur de Vidéosurveillance Serveur HP Windows 10 Pro
14 Total
Source : Nos réalisations
Tableau n° 01 : PC SIEGE

- LES EQUIPEMENTS TERMINAUX
Types de terminaux Modèles Nombres
Téléphone IP Alcatel 50
Imprimantes Laserjet Canon & HP 12
Copieur IP Canon 04
Pointeuse Biométrique (IP) Zkteco 02
Camera IP HD HikVision 40
AUTOCOM (Passerelle VoIP) Vidéoconférence au
Format H264 avec protocole SIP
ALCATEL OXO
Large
01
TOTAL 109
- LES EQUIPEMENTS D’INTERCONNEXION
Types de terminaux Modèles Nombres
Routeur fibre optique (Orange) Huawei 02
Routeurs Cisco 02
Switches (48 ports) Cisco 04
Switches (48ports) Alcatel 01
Point d’accès Wifi D-Link 06
Firewall FORTIGATE 60D Plus 01
Firewall SOPHOS XG 210 Entreprise 01
TOTAL 17
I.2 - Topologie et type de média
De façon plus précise, le réseau LAN de SOROUBAT, est un réseau FAST ETHERNET commuté
à 10/100Mbps, essentiellement basé sur une topologie en étoile.
Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant des paires
torsadées FTP catégorie 6.
I.3 - Les applications utilisées
Les applications de SOROUBAT sont diverses et installées sur les serveurs contenus en salle
machine en mode client-serveur sur les autres machines.
Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis les chantiers
de SOROUBAT à l’intérieur du pays et en dehors.
Tableau n° 03 : EQUIPEMENTS TERMINAUX
Tableau n° 04 : EQUIPEMENTS D’INTERCONNEXION

Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci-
après.
Applications Rôles Bénéficiaire
MICROSOFT DYNAMICS
NAVISION
Progiciel de gestion intégré
(Achats, production, gestion de
projets, RH, gestion financière,
etc.…)
Utilisateur de logiciel
métier
IVMS-4500 HD (HikVision IP
CAM)
Monitoring et gestion de camera
IP
Utilisateur des services
de surveillance
II. Critique de l’existant
La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de
l'entreprise qui vient d'être présenté.
Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les serveurs être mis
en DMZ.
La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement
des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un
réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou
de publier les services sur internet sur le contrôle de Pare-feu externe.
Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur d'impression, un
serveur d'antivirus, un serveur de Navision, un serveur de messagerie (Exchange) ils assurent
tous l'échange des informations entre les employés de l'entreprise, etc.
Les informations de l'entreprise arrivent par le routeur du FAI, elles sont directement envoyées
au pare-feu qui lui, les envoient au travers d’un switch fédérateur à un serveur en fonction bien
entendu de la nature de l'information (données, etc.) à son tour le serveur concerné route
l'information au terminal du destinataire. Les informations provenant du réseau externe (internet)
sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout
simplement rejetée.
Les points à déplorer sont :
- Un plan d’adressage réseau peu optimal et évolutif en l’absence de Vlan.
- Il existe trop de nœud d’interconnexion, ce qui accroit la perte de connectivité.
- Il n’existe pas de serveur d’antivirus, ni de serveur de messagerie (Exchange) pour
assurer les échanges ;
Tableau n° 05 : Applications métier du SIEGE

III. Spécifications des besoins
Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier aux contraintes
précédemment mentionnées.
Ce sont les besoins exprimés par les différents services de la SOROUBAT pour mener à bien ce
projet.
III.1 - Les besoins fonctionnels
Dans ce cadre, nous allons :
- Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les domaines de
diffusion (VLAN) ;
- Proposer une architecture physique d’interconnexion VPN avec débits adaptés.
- La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux, filtrage) ;
III.2 - Les besoins non-fonctionnels
Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit
répondre.
Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères suivants :
- La simplicité d’utilisation des services implémentés.
- La centralisation de l’administration et de la gestion des utilisateurs.
- La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de rétablissement).
- La gestion de sauvegarde des fichiers.
- La documentation du réseau.
Conclusion de la première partie
Le but de cet exercice de réflexion théorique à la fois délicat et intellectuellement
passionnant sur l’articulation entre la présentation du projet et la critique de l’existant était de
fournir une indication suffisamment élaborée et claire des objectifs et enjeux sur le sujet, ses
objectifs et enjeux ainsi que sur la façon dont il serait conduit.
Nous espérons, avoir faire ressortir ce lien dialectique au terme de cette partie.
Nous nous attèlerons maintenant à faire ressortir les démonstrations empiriques
auxquelles confronter la réflexion théorique qui a été faite. C’est ce à quoi la deuxième partie
et notamment la troisième partie (à travers une étude de cas) vont s’attacher.

Deuxième partie :
Etude technique et conditions de réalisation

Introduction de la deuxième partie
La mise en place optimale d’une solution VPN, exige une connaissance suffisante en
matière d’architecture informatique et de liaison d’interconnexion, tant au plan général des
infrastructures réseaux qu'au niveau spécifique des télécommunications. La présente partie
de l'étude s'efforce d'apporter cette indispensable connaissance.
Cette deuxième partie comporte trois chapitres :
- Le chapitre 1 offre un aperçu général sur les différents types de réseaux et topologies
informatiques, ainsi que sur les équipements d’interconnexion des réseaux qui sont des
prérequis indispensables à assimiler pour notre étude technique. Il en relève par ailleurs les
contraintes infrastructurelles.
- Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des différents types
de VPN afin de savoir quand implémenter chaque type.
- Le chapitre 3 donne une indication sur l’administration et la sécurité adéquate à mettre en
place afin de sécuriser le réseau. Cette réflexion constitue en quelque sorte une transition pour
entamer la troisième partie de la recherche qui instruit réellement sur la mise en œuvre de
l’interconnexion et des services VPN.

Chapitre 1 : Généralités sur les réseaux informatiques
Nous allons aborder dans ce premier chapitre, quelques notions sur les réseaux.
I. Les réseaux informatiques
I.1. - Définition d’un réseau
Un réseau informatique est un ensemble de moyens matériels et logiciels mis en œuvre pour
assurer les communications (échange de messages entre utilisateurs, l’accès à distance à des
bases de données ou encore le partage de fichiers) de données, et le partage de services entre
ordinateurs, terminaux informatiques. Ces communications étaient, bien avant, destinées aux
transports de données informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui
intègrent, à la fois, des données, la voix, et la vidéo.
Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à comprendre pourquoi
certaines topologies existent.
I.1.1 Les types de réseaux
Les réseaux en fonction de la localisation, la distance et le débit, sont classés en trois types :
Tableau n° 6 : Classification d'un réseau
Distance entre Processus Localisation Type des réseaux
10 m Salle Réseau local (LAN)
100 m Bâtiment
1000 m = 1 Km Campus Réseau Métropolitain (MAN)
100.000 m = 100 Km Pays Réseau longue distance
(WAN)1.000.000 m = 1000 Km Continent
10.000.000 m = 10.000 Km Planète Internet
100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel
Source : Mémoire « Mise en place d'un réseau VPN. Cas de la BRALIMA Sarl en RDC »
• LAN (Local Area Network ou réseau local en français) : Il s’´étend sur quelques dizaines à
quelques centaines de mètres. C’est un réseau local, il correspond par sa taille aux réseaux intra-
entreprises et permet l’échange de données et le partage de ressources.
• MAN (Metropolitan Area Network ou réseau métropolitain en français) : Réseau
métropolitain qui également nommé réseau fédérateur assure les communications de plusieurs
sites à l’échelle d’une ville (quelques dizaines de kilomètres).
• WAN (Wide Area Network ou réseau étendu au public en français) : Réseau typiquement à
l'échelle d'un pays, d'un continent, ou de la planète entière, généralement celui des opérateurs.
Le plus connu des WAN est Internet. Un WAN est en fait une succession de plusieurs LAN Dans
ce document.

I.1.2 Les types de topologies
Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et logique.
- La topologie physique :
L'agencement physique, c'est-à-dire la configuration spatiale des éléments constitutifs d’un
réseau est appelée topologie physique. C'est donc en d’autres termes la forme, l’architecture
physique, l'apparence du réseau.
Il en existe plusieurs dont la :
• Topologie en bus
Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus (pensez, que
chaque passager peut y accéder et se trouver une place pour
poursuivre le trajet).
Dans cette topologie, tous les ordinateurs sont connectés entre
eux par le biais d'un seul câble réseau débuté et terminé par
des terminateurs.
Ce qui n'est pas du tout pratique, et ceux pour 2 raisons
majeures. La première est que, parce que toutes les machines
utilisent le même câble, le réseau n'existe plus si le câble vient
à être défectueux. Alors, il n'y aura plus de communication
possible étant donné que tous les hôtes partagent un câble
commun.
La seconde est que, puisque le câble est commun, la vitesse
de transmission est très faible.
Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, il ne faut pas que 2
machines communiquent simultanément, sinon cela créé des collisions !
Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas assurée à
100% car tous Les hôtes peuvent voir les données destinées à un hôte du réseau, heureusement
que d'autres topologies plus simples et plus pratiques existent.
• Topologie en étoile (la plus utilisée)
Dans un réseau en étoile, la forme physique du réseau
ressemble à une étoile. Pour parler à une autre entité on passe
par le matériel central (qui peut être le routeur, switch, etc.).
En pratique, dans un réseau d'entreprise en étoile, au centre
on trouve un switch.
Le principal défaut de cette topologie, c'est que si l'élément
central ne fonctionne plus, plus rien ne fonctionne : toute
communication est impossible. Cependant, cette topologie est
plus avantageuse que celle vue précédemment, car il n'y a pas
de risque de collision de données.
Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette
topologie réside dans la longueur des câbles utilisés.
Schéma d'un réseau en
bus
Schéma d'un réseau en
étoile

• Topologie en anneau
Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau.
Cependant, la topologie physique d'un réseau en anneau
est similaire à celui du bus.
En réalité, dans une topologie anneau, les ordinateurs ne
sont pas reliés en boucle, mais sont reliés à un répartiteur
(appelé MAU, Multi-station Access Unit) qui va gérer la
communication entre les ordinateurs qui lui sont reliés en
impartissant à chacun d'entre-deux un temps de parole
système de jeton (token)
Dans un réseau possédant une topologie en anneau, les
ordinateurs sont situés sur une boucle et communiquent
chacun à leur tour.
Les deux principales topologies logiques utilisant cette
topologie physique sont Token ring (anneau à jeton) et FDDI.
• Topologie maillée
Une topologie maillée, est une évolution de la topologie en
étoile, elle correspond à plusieurs liaisons point à point
(peer to peer).
Concrètement, le principe de la topologie maillée est de
relier tous les ordinateurs entre eux (aucun risque de voir
une isolation du réseau si un des points névralgiques
tombent en panne générale, l'inconvénient est le nombre
de liaisons nécessaires qui devient vite très élevé. On
implémente une topologie maillée afin de garantir une
protection maximale contre l'interruption de service
La formule pour connaitre le nombre de câbles est n(n-1) /
2, avec n le nombre d'ordinateurs. Donc rien qu'avec 20
ordinateurs par exemple, ça nous donnera 20 (20-1) / 2,
soit 190 câbles !
Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle infrastructure.
Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple : Internet,
systèmes de contrôle en réseau d'une centrale nucléaire, armée). L'information peut parcourir le
réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou
grâce à des méthodes de routage réparties.
L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien, l'information peut
quand même être acheminée.
Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de topologie mesh
mais ne concerne que les routeurs WiFi.
Schéma d'un réseau en anneau
Schéma d'un réseau en maille

- La topologie logique :
La topologie logique est la structure logique d'une topologie physique, c’est-à-dire qu’elle
représente la façon dont les données transitent dans les lignes de communication. Les topologies
logiques les plus courantes sont Ethernet, Token Ring et FDDI.
Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence physique, la
forme) de votre réseau, l'autre (topologie logique) définit comment la communication se
déroule dans cette forme physique.
II. Les systèmes d’interconnexion
Dans ce chapitre, selon le modèle OSI ou TCP/IP, nous étudierons les composants réseaux, sans
oublier les supports de transmission qui nous permettent de les relier aux ordinateurs.
Il sera aussi question de normalisation.
II.1 - Nécessité de l’interconnexion
« L’interconnexion des réseaux est la possibilité de faire dialoguer plusieurs sous réseaux
initialement isolés, par l’intermédiaire de périphériques spécifiques (récepteur, concentrateur,
pont, routeur, modem), dans ce cas, des équipements spécifiques sont nécessaires » Wikipédia
En d’autres termes un réseau local a pour but d’interconnecter les périphériques informatiques
d'une organisation, il s’avère dans la pratique que plusieurs réseaux locaux peuvent se trouver
au sein d’une même organisation (université par exemple), les relier entre eux devient
indispensable. Dans ce cas, des équipements spécifiques sont nécessaires.
Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames de l'un sur
l'autre. Dans le cas contraire, c'est-à-dire lorsque les deux réseaux utilisent des protocoles
différents, il est indispensable de procéder à une conversion de protocole avant de transférer les
trames. Ainsi, les équipements à mettre en œuvre sont différents selon la configuration face à
laquelle on se trouve.
II.2 - Normalisation
II.2.1 Modèle OSI
L’organisme ISO (International Organization for Standardization) en français (Organisation
Internationale de Normalisation) a défini en 1984 un modèle de référence, nommé modèle
OSI (de l'anglais Open Systems Interconnection) destiné à normaliser les échanges entre deux
machines dans les systèmes informatiques.
La normalisation émane de la volonté des gouvernements d'harmoniser les
technologies afin d'assurer la compatibilité des équipements.
Le modèle OSI décrit la manière dont deux éléments d’un réseau (station de travail, serveur...etc)
communiquent, en décomposant les différentes opérations à effectuer en sept étapes
successives, qui sont nommées.

• Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur un canal de
communication. Cette couche doit garantir la parfaite transmission des données. L’unité
d’information typique de cette couche est le bit, représenté par une certaine différence de
potentiel.
• Couche2 : (Liaison de données) Elle va transformer la couche physique en une liaison a priori
exempte d’erreurs de transmission pour la couche réseau. Elle fractionne les données d’entrée
de l’émetteur en trames, transmet ces trames en séquence et gère les trames d’acquittement
renvoyées par le récepteur. L’unité d’information de la couche liaison de données est la trame.
• Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à parcourir à
partir des adresses), des blocs de données entre les deux systèmes d’extrémités, ainsi elle
contrôle également l’engorgement du sous-réseau.
• Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des informations
entre les deux extrémités, afin de rendre le transport transparent pour les couches supérieures,
elle assure le découpage des messages en paquets pour le compte de la couche réseau et les
constitue pour les couches supérieures. Un des tous derniers rôles à évoquer est le contrôle de
flux. C’est l’une des couches les plus importantes, car c’est elle qui fournit le service de base à
l’utilisateur, et c’est par ailleurs elle qui gère l’ensemble du processus de connexion, avec toutes
les contraintes qui y sont liées.
• Couche 5 : (Session) Elle assure l’échange de données, entre deux applications
distantes. Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties. Elle assure surtout la synchronisation de l’échange (qui doit parler, qui parle…) entre
deux programmes d’application devant coopérer. Dans ce dernier cas, ce service d’organisation
s’appelle la gestion du jeton. Elle assure aussi la reprise de l’échange en cas d’erreurs.
• Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la sémantique des
données transmises : c’est elle qui traite l’information de manière à la rendre compatible entre
tâches communicantes. Elle va assurer l’indépendance entre l’utilisateur et le transport de
l’information.
Typiquement, cette couche peut faire la mise en forme des données, la conversion des codes
(ASCII), pour délivrer à la couche application un message compréhensible. Elle peut aussi
assurer le décryptage et la compression de données.
• Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur et le réseau.
C’est donc elle qui va apporter à l’utilisateur les services de base offerts par le réseau, comme
par exemple le transfert de fichier, la messagerie.
Tableau n° 7 : Diagramme du modèle OSI.
Source : Wikipédia

II.2.2 Classe d’adresse
Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP. Ces classes correspondent à des regroupements en réseaux de même taille. Les
réseaux de la même classe ont le même nombre d’hôtes maximum.
• La Classe A : Le premier octet a une valeur comprise entre 1 et 126, soit un bit de poids fort
égal à 0.
• La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2 bits de poids fort
égaux à 10.
• La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3 bits de poids fort
égaux à 110.
• La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3 bits de poids fort
égaux à 111, il s’agit d’une zone d’adresses dédiées aux services de multidiffusion vers des
groupes d’hôtes (host groups).
• La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit d’une zone
d’adresses réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour
adresser des hôtes ou des groupes d’hôtes.
Tableau n° 8 : Classes des adresses IP
Classe Valeur
1er Octet
binaire
Nbr de réseaux /
Nbr d’hôtes
Notation
CIDR
A 1.0.0.0 à 126.255.255.255 0xxx xxxx
128 réseaux (2^7) /
16 777 214 hôtes
(2^24-2)
/8
B 128.0.0.0 à 191.255.255.255 10xx xxxx
16384 réseaux
(2^14) /
65 534 hôtes (2^16-
2)
/16
C 192.0.0.0 à 223.255.255.255 110x xxxx
2 097 152 réseaux
(2^21) /
254 hôtes (2^8-2)
/24
D 224.0.0.0 à 239.255.255.255 1110 xxxx Multicast - Diffusion
partielle
-
E 240.0.0.0 à 247.255.255.255 1111 xxxx
Expérimentale
(Réservée)
-
Source : https://www.inetdoc.net/articles/adressage.ipv4/adressage.ipv4.class.html
Tableau n° 09 : Cas particuliers (Source : Nos réalisations)
Plage IP Utilité
0.0.0.0 Utilisé pour définir une route par défaut sur un routeur
127.0.0.0 – 127.255.255.255 Localhost Loopback Address (boucle locale)
169.254.0.0 - 169.254.255.255 APIPA Automatic Private IP Addressing (65 534 hôtes)

II.3 - Equipements d’Interconnexion des réseaux
Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à mettre en relation,
indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines
appartenant à des réseaux physiquement distincts.
Dans les sections suivantes, nous présenterons les principaux équipements matériels mis en
place dans les réseaux locaux que sont :
Les répéteurs, permettant de régénérer un signal
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes
Les ponts (bridges), permettant de relier des réseaux locaux de même type
Les commutateurs (switches) permettant de relier divers éléments tout en segmentant le
réseau
Les passerelles (Gateway), permettant de relier des réseaux locaux de types différents
Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à permettre la
circulation de données d'un réseau à un autre de la façon optimale
Les B-routeurs, associant les fonctionnalités d'un routeur et d'un pont.
II.3.1 Repeater (Répéteur)
Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du signal, le
répéteur permet d’amplifier ce signal et d’augmenter la
taille d’un réseau, afin d’étendre la distance du câblage.
C'est un équipement simple qui opère au niveau 1
du modèle OSI (couche physique), et qui ne nécessite
aucune administration. Le répéteur génère de nouveau un
signal à partir du signal reçu.
On distingue deux catégories du répéteur :
• StandAlone : Les débits sur les deux câbles doivent être les mêmes.
• Store and Forward : Avec mémoire, il support les vitesses différents sur les différents
tronçons.
II.3.2 Hub (Concentrateur)
Le concentrateur est un périphérique qui opère au niveau
1 du modèle OSI (couche physique), il permet de connecter
plusieurs machines entre elles ; il a pour but de concentrer le
trafic réseau qui provient de plusieurs hôtes, et aussi
de régénérer le signal. Il réduit le trafic (segmentation).
Son unique but est de récupérer les données binaires
provenant d'un port et de les diffuser sur l'ensemble des
ports. Ils servent à raccorder deux segments de câbles ou deux réseaux identiques (Ethernet)
qui constituent alors un seul réseau logique.
Ils sont en général dotés d'un port spécial appelé "Up Link".
Repeater (Répéteur)
Hub (Concentrateur)

On distingue deux catégories du concentrateur :
• Concentrateur Actif : Ils sont alimentés électriquement, permettant de régénérer le
signal sur les différents ports.
• Concentrateur Passif : Diffuser le signal à tous les hôtes sans amplification. Ne
nécessitent pas une quelconque alimentation
II.3.3 Bridge (Pont)
Un pont est un équipement informatique d'infrastructure de réseaux de type passerelle, il opère
au niveau logique c'est-à-dire au niveau de la couche
2 du modèle OSI (couche liaison de données), il permet de
relier deux réseaux identiques ou deux parties de même
réseau.
Le pont travail comme un relais qui transmet d'un réseau à
l'autre les trames dont l'adresse ne figure pas dans le
premier réseau et permet donc aux deux éléments qu'il relie
de fonctionner indépendamment.
Son usage le rapproche fortement de celui
d'un commutateur (switch), à l'unique différence que le
commutateur ne convertit pas les formats de transmissions de données. Le pont ne doit pas être
confondu avec le routeur.
II.3.4 Les commutateurs (switches)
C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les trames arrivant
sur les ports d’entrées et les filtre pour aiguiller sur les ports adéquats. Il dispose d'une table
d'adresses MAC des machines connectés, et qui opère au niveau 2 du modèle OSI (couche
liaison de données).
« Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments
(câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer
des circuits virtuels.
La commutation est un des deux modes de
transport de trame au sein des réseaux
informatiques et de communication, l'autre étant
le routage. Dans les réseaux locaux (LAN), il s'agit
le plus souvent d'un boîtier disposant de
plusieurs ports RJ45 (entre 4 et plusieurs
centaines), il a donc la même apparence
qu'un concentrateur (hub).
Il existe aussi des commutateurs pour tous les types de réseau en mode point à point comme
pour les réseaux ATM, relais de trames, etc. Il est fréquent qu'un commutateur intègre, par
exemple, le Spanning Tree Protocol que l'on rencontre dans les ponts. Le commutateur est
d'ailleurs souvent vu d'une manière réductrice comme un pont multiport. » Wikipédia
Sa présence permet d'optimiser les performances des réseaux et d'autoriser les utilisateurs d'un
réseau à accéder à toutes les ressources disponibles sur le réseau.
Bridge (Pont)
Les commutateurs (switches))

II.3.5 Router (Routeur)
C'est un élément intermédiaire dans un réseau informatique, assurant le routage des paquets en
choisissant le chemin selon un ensemble de règles formant la table de routage. Il opère au niveau
3 du modèle OSI (couche réseau).
« C’est un dispositif d’interconnexion de réseaux
informatiques permettant d’assurer le routage des
paquets entre deux réseaux ou plus afin de
déterminer le chemin qu’un paquet de données va
emprunter. Ils sont plus puissants : ils sont capables
d'interconnecter plusieurs réseaux utilisant le même
protocole. » Wikipédia
Il permet d'interconnecter deux entités de la couche
Réseau i.e. deux réseaux proprement dits. Le
routeur assure les fonctions de routage et
d'aiguillage comme son nom l'indique. Le routeur
sélectionne un parcours approprié pour diriger les
messages vers leurs destinations.
La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie par le
masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée. Ces
protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de
communication inter sites et inter réseaux.
Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de relier des
réseaux locaux de types différents.
II.4 - Les protocoles de routage
Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système
autonome. On retient les protocoles suivants :
• États de lien, ils s'appuient sur la qualité et les performances du média de communication
qui les séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau
pour utiliser la meilleure route : OSPF
• Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les
sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP
• Hybride des deux premiers, comme EIGRP
Les protocoles couramment utilisés sont :
• Routing Information Protocol (RIP)
• Open Shortest Path First (OSPF)
• Enhanced Interior Gateway Routing Protocol (EIGRP)
Les routeurs (routers)

III. Les réseaux locaux virtuels (Vlan)
Avant d’arriver à la conception technique globale de la solution retenue, nous ferons une
étude brève sur les fonctionnalités des VLANs. Celle-ci nous permettra de définir à travers ces
fonctionnalités, une meilleure planification du déploiement future.
III.1 - Généralités
Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel
(logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs,
périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à
un département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs,
câblage informatique inapproprié, etc.).
III.2 - Avantages offerts par les Vlan
Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière
dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi
de nombreux avantages et permet de nombreuses applications intéressantes. Parmi les
avantages liés à la mise en œuvre d’un VLAN, on retiendra notamment :
• La flexibilité de segmentation du réseau : Les utilisateurs et les ressources entre lesquels les
communications sont fréquentes peuvent être regroupés sans devoir prendre en considération
leur localisation physique.
• La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement d’éléments
existants peut être réalisé rapidement.
• L’augmentation considérable des performances du réseau (réduction du domaine de collision)
: Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein du VLAN qui lui est associé,
de la bande passante est libérée, ce qui augmente les performances du réseau.
• Une meilleure utilisation des serveurs réseaux.
• Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par les VLANs ne
pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des
communications est renforcée.
III.3- Technique et méthodes d’implantation des Vlan
Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de niveau
2 du modèle OSI qui supportent le VLAN.
On distingue généralement trois techniques pour construire des VLANs. Nous pouvons
les associer à une couche particulière du modèle OSI :
• VLAN de niveau 1 ou VLAN par ports :
On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte réseau
à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc
affectés statiquement à un VLAN.

• VLAN de niveau 2 ou VLAN MAC :
On affecte chaque adresse MAC à un VLAN. L’appartenance d’une carte réseau à un
VLAN est déterminé par son adresse MAC.
En fait, il s’agit à partir de l’association MAC/VLAN d’affecter dynamiquement les ports
des commutateurs à chacun des VLAN.
• VLAN de niveau 3 ou VLAN d’adresses réseaux :
On affecte un protocole de niveau 3 ou de niveau supérieur à un VLAN. L’appartenance
d’une carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu’elle
utilise.
III.3 - Principe du routage INTER-VLAN
Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur
est nécessaire ou un commutateur de couche 3.
La connectivité entre les VLANs peut être établie par le biais d’une connectivité physique
ou logique. Une connectivité logique implique une connexion unique, ou agrégation, du
commutateur au routeur. Cette agrégation peut accepter plusieurs VLAN. Cette topologie est
appelée « router-on-a-stick » car il n’existe qu’une seule connexion physique avec le routeur. En
revanche, il existe plusieurs connexions logiques entre le routeur et le commutateur.
Une connectivité physique implique une connexion physique séparée pour chaque VLAN.
Cela signifie une interface physique distincte pour chaque VLAN.
Les premières configurations de VLAN reposaient sur des routeurs externes connectés à
des commutateurs compatibles VLAN.
Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un routeur
ou commutateur de couche 3. Le terme commutateur de couche 3 désigne un commutateur
capable d’assurer une fonction de routage en plus de ses fonctions habituelles. Ainsi, au lieu d’un
routeur externe, on aura un routeur interne au commutateur.

Chapitre 2 : Les réseaux privés virtuels (VPN)
Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées
sur le serveur d’un siège depuis une succursale distante de plusieurs milliers de kilomètres se
fait-il par exemple ?
La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel).
Avant l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC, ou
bien des lignes louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le terme
VPN sera notamment utilisé pour l’accès à des structures de type cloud computing.
I. Concept de VPN
En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus
quand une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des
succursales, des filiales, ou même donner accès à ses ressources à son personnel
géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de
kilomètres ?
L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois
son coût très élevé rend difficile son implémentation dans la plupart des entreprises,
« Un bon compromis consiste à utiliser Internet comme support de transmission en
utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du
terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On
parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour
désigner le réseau ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison
non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du
VPN peuvent "voir" les données. » Source : Commeçamarche.
II. Fonctionnement d’un VPN
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe très
simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes de
cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se connecter
directement sur le réseau de leur entreprise.
Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée
et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour toutes
personnes en dehors de ce tunnel en cas d’interception (écoute).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l’entreprise.

« De cette façon, lorsqu'un
utilisateur nécessite d'accéder au
réseau privé virtuel, sa requête
va être transmise en clair au
système passerelle, qui va se
connecter au réseau distant par
l'intermédiaire d’une
infrastructure de réseau public,
puis va transmettre la requête de
façon chiffrée.
L'ordinateur distant va alors
fournir les données au serveur
VPN de son réseau local qui va
transmettre la réponse de façon chiffrée. A la réception sur le client VPN de l'utilisateur, les
données seront déchiffrées, puis transmises à l'utilisateur. »
III. Les protocoles de tunnelisation
Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs que dans le
VPN les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par le
protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un
même protocole aux ordinateurs communicants (PPTP, SSL, IPsec…).
Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à savoir :
- Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F
- Les protocoles de niveau 3 tels que IPsec et MPLS
- Les protocoles de niveau 4 tels que SSL et SSH
Les principaux protocoles permettant de créer des VPN sont les suivants :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine
protocole transportant des paquets de couche 3, mais pouvant désormais aussi transporter la
couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de
couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de
l'IETF (RFC 393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole transportant des sessions PPP (couche 2).
IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au
protocole IKE pour l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer
du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows.
VPN (Virtual Private Network)

SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment
utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2
(L2VPN) point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4
(VPNv4) et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and
forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point to
Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce
protocole.
III.1 - Le protocole PPP
Le protocole PPP (Point To Point Protocol) est un ensemble de protocole standard
garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un
serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de
recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant
d'autres éditeurs, conformes aux normes PPP.
Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres
plateformes, sans avoir besoin d'installer un autre logiciel. Malheureusement, il est à oublier car
il n'est pas réputé fiable.
III.2 - Le protocole PPTP
Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames
sous le protocole PPP et de les encapsuler dans un datagramme IP.
Protocole en partie développé par Microsoft, il est le protocole standard pour VPN depuis
sa création. Premier protocole VPN à être pris en charge par Windows, PPTP offre une bonne
sécurité en s’appuyant sur toute une gamme de méthodes d’authentification, comme MS_CHAP
v2, la plus courante du lot.
Chaque appareil ou plateforme compatible avec un VPN a le mode PPTP par défaut, et
puisqu’il est simple à configurer, il reste le choix le plus courant pour les fournisseurs de VPN,
mais aussi les entreprises.
Son installation ne nécessite pas de performance techniques avancées, le rendant l’un
des protocoles VPN les plus rapides du marché.
Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques
vulnérabilités en matière de sécurité, la plus sérieuse étant la possibilité de faille de
l’authentification MS-CHAP v2.
À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été réparée
par Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser SSTP ou L2TP à la
place.
Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans avoir besoin
d’installer un autre logiciel.
Inconvénient : Il est réputé pour n'être pas fiable.

III.3 - L2TP et L2TP/IPsec
* Le protocole L2TP (Layer 2 Tunnel Protocol) est un protocole standard développé par
Cisco très proche du PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP,
encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).
Layer 2 Tunnel Protocol, contrairement aux autres protocoles VPN, n’offre aucune
confidentialité ni aucun cryptage au trafic qui y passe. Il est donc souvent accompagné d’une
suite de protocoles appelée IPsec pour crypter les données avant leur transmission, offrant ainsi
confidentialité et sécurité aux utilisateurs.
Tous les appareils modernes compatibles avec un VPN et tous les systèmes d’exploitation
possèdent L2TP/IPsec.
La configuration est aussi rapide et simple qu’un PPTP, mais il peut y avoir des soucis,
puisque ce protocole utilise le port 500 UDP, qui peut facilement se retrouver bloqué par des
firewalls NAT. Il faudra donc peut-être rediriger le port si on l’utilise avec un firewall.
Il n’y a pas de vulnérabilités majeures associées au cryptage IPsec, et il peut être fiable,
s’il est installé correctement.
* IPsec
IPSEC est un "Framework " qui spécifie plusieurs protocoles à utiliser afin de fournir un standard
de sécurité.
Les protocoles spécifiés par IPSEC sont :
Encapsulatlnq Securltv Payload : ESP
Il est le plus utilisé par IPSEC, ESP va encrypter les données. ESP protège également
contre des attaques basées sur du trafics " replayed "·
Authentication Header : AH
AH fournit l'authentification de la donnée. Il est peu utilisé, ESP étant plus efficace et
cryptant le tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu'il permet de crypter
les données en utilisant DES, 3DES ou AES. AH ne permet pas cela
Internet Key Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés
d'authentification utilisée par le VPN. IKE va permettre d'établir un échange de clé de manière
sécurisé sur un réseau " non sécurisé "·
Les VPN IPSEC utilisent le protocole IKE afin d'établir une communication sécurisée entre
deux « peers » à travers un réseau non sécurisé. IKE utilise l'algorithme de DIFFIE-HELLMAN
afin d'échange des clés symétriques entre deux " peers " et de configurer les paramètres de
sécurités associé au VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10
secondes.
IKE :
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque
" peer "·
- Permet de configurer une durée de vie pour la SA (Security association) de IPSEC. Une
SA est un " ensemble de contrat de sécurité "·
- Permet de changer les clés d'encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ... »
- Supporte l'architecture PKI.
- Permet une authentification dynamique de chaque peer.

De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il n’est pas
aussi efficace que les solutions SSL, et légèrement plus lent que les autres protocoles VPN.
Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires OS.
Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes et peut poser
problème si on l’utilise avec un firewall restrictif.
III.4 - SSL (Secure Sockets Layer) / TLS (Transport Layer Security)
Ce sont des protocoles permettant de sécuriser les échanges sur internet. Développé à
l'origine sous le nom SSL par Netspace, l'IETF en reprend le développement en le rebaptisant
TLS. Ce sont des protocoles très largement utilisé car les protocoles de la couche application
comme HTTP n'ont pas besoin d'être profondément modifiés pour utiliser une connexion
sécurisée. Ils sont seulement implémentés au-dessus de ces protocoles, ce qui donne pour le
HTTP : le HTTPS.
Avantages : Il permet l'utilisation d'un navigateur Web comme client VPN.
III.5 - OpenVPN
« Technologie open source relativement récente, OpenVPN utilise les protocoles
SSLv3/TLSv1 et la bibliothèque OpenSSL, avec une combinaison d’autres technologies, pour
offrir à ses utilisateurs une solution VPN fiable et solide. Le protocole est facilement configurable
et fonctionne le mieux avec un port UDP, mais il peut être configuré pour fonctionner sur n’importe
quel port, rendant difficile pour Google et d’autres services similaires de le bloquer.
Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL prend
en charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES, Camellia,
Blowfish, CAST-128 et bien plus encore, même si Blowfish et AES sont presque exclusivement
utilisé par les fournisseurs de VPN.
Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le considère
comme la référence absolue. C’est tout simplement parce qu’il n’a pas de faille connue, et il a été
adopté par le gouvernement américain et ses agences pour protéger des données sécurisées.
Tout d’abord, la vitesse de performance de protocole OpenVPN dépend du niveau de
cryptage utilisé, mais c’est en principe plus rapide que IPsec.
Au niveau de la configuration, c’est un peu plus ardu quand on compare avec L2TP/IPsec
et PPTP, particulièrement quand on utilise le OpenVPN classique. Non seulement il vous faudra
télécharger et installer le client, mais aussi des fichiers de configuration additionnels, peu
évidents. De nombreux fournisseurs de VPN vivent ce problème de configuration dû au nombre
de clients VPN customisés.
Les preuves mathématiques indiquent qu’OpenVPN, quand il est combiné à un cryptage
solide, est le seul protocole VPN qui peut être considéré comme sûr. »
Source : https://fr.vpnmentor.com
Avantage : Hautement sécurisé et configurable. Il peut contourner facilement les pares-feux et
étant open source, on peut facilement vérifier la présence de backdoors.
Inconvénients : Nécessite des logiciels tiers.

IV. Différentes catégories de VPN
Il existe 02 grandes catégories d’utilisation des VPN. En étudiant ces schémas d’illustration, il est
possible d’isoler les fonctionnalités indispensables des VPN.
IV.1 – VPN to site ou VPN nomade ou VPN Remote-Access
Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au réseau
privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans y être
physiquement présent.
Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se
connecter au réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se
sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas :
- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le Nas (Network Access Server) du fournisseur
d'accès et c'est le Nas qui établit la connexion cryptée.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement
la communication de manière cryptée vers le réseau de l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
- La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant
plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible
avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le
NAS n'est pas cryptée ce qui peut poser des problèmes de sécurité.
- La deuxième méthode, ce problème disparaît puisque l’intégralité des informations sera
cryptée dès l’établissement de la connexion. Par contre, cette solution nécessite que
chaque client transporte avec lui le logiciel, lui permettant d’établir une communication
cryptée. Pour pallier à ce genre de problème certaines entreprises mettent en place des
VPN à base du protocole SSL, technologie implémentée dans la majorité des navigateurs
Internet du marché.

Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien
l’importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification
peut se faire par une vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés"
(utilisation de mots de passe aléatoires) ou par certificats numériques.
IV.2 - L'intranet VPN ou VPN Site-to-Site
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données.
Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de
données clients, informations financières...). Des techniques de cryptographie sont mises en
œuvre pour vérifier que les données n'ont pas été altérées, on parle d’intégralité.
Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés
font appel à des signatures numériques qui sont ajoutées aux paquets.
La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie.
La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen voir
faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour
assurer une sécurité raisonnable.

Chapitre 3 : Administration et sécurité
I. GESTION DE L’ADRESSAGE
Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP qui correspondent à des regroupements en réseaux de même taille. Les réseaux
de la même classe ont le même nombre d’hôtes maximum.
En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la configuration
des différents nœuds (poste, routeur) du réseau.
En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans adresses
broadcast et réseau) et a un masque réseau qui est 255.255.255.0.
Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette classe
à chacun des sites. Les adresses étant différentes, les différents sites ne pourront pas
communiquer sans l’implémentation d’un mécanisme de routage soit par un routeur ou un
commutateur multicouche (commutateur faisant le routage IP). Nous opterons pour le
commutateur multicouche, étant donné qu’il est plus rapide dans le traitement en interne.
Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la segmentation et
réduire le domaine de collision.
Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que les
communications autorisées, des VLAN et un routage Inter-VLAN sera définis.
Tableaux n° 10 : Tableaux donnant une répartition des Vlans et de l’adressage
Equipements Login par défaut IP dans le réseau
Routeur & Switch 192.168.1.0/24 Vlan 1
Serveur de Domaine &
Hyperviseur
192.168.2.0/24 Vlan 2
Copieurs IP &
Imprimantes
192.168.3.0/24 Vlan 3
Téléphone IP + Autocom
VoIP
192.168.4.0/24 Vlan 4
Pointeuse Biométrique
(IP)
192.168.5.0/24 Vlan 5
Camera et Serveur de
Vidéosurveillance
192.168.6.0/24 Vlan 6

II. SECURITE DES LIAISONS ET DE L’ACCES AUX SERVICES
Dès lors que le réseau privé transite par internet, le problème de la sécurité se pose : les
informations qu’il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le
monde, l’infrastructure réseau n’y échappent pas aussi. Il convient donc de mettre en place toute
une politique de sécurité pour garantir un maximum de sécurité.
II.1 - Charte de sécurité
La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les
utilisateurs dans le but de faciliter le déploiement de la politique sécurité.
Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre accès aux
ressources informatiques, électroniques et numériques dans le respect de la légalité.
Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils
pourraient encourir et des conséquences de tels risques.
Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du
réseau à déployer, en les éduquant aux bonnes conduites à tenir.
II.2 – Sécurité logicielle
C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger le
réseau contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même de
l’intérieur.
- Pare-feu et Antivirus :
• Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau filtrant tout
ce qui entre et tout ce qui sort du réseau (services Netbios, RPC, Telnet, NFS…).
• Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux données
confidentielles.
• Installer des programmes antivirus mis à jour régulièrement sur tous les postes.
- Authentification :
• Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2-
PSK(AES).
• Authentification avec code d’accès pour les utilisateurs Wifi.
• Mise en place de mots de passe sur les nœuds les plus importants du réseau (serveur,
routeur).
- Autres :
• Configurer des VLANs relatifs aux différents services à l’intérieur de chaque site dans le
but de ne permettre que les communications autorisées entre ces services.
• Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) : HTTPS,
SSH, IMAPS, DNSSEC, etc.

II.3 Sécurité physique
Elle concerne tous les dispositifs déjà mis en place pour assurer le bon fonctionnement et la
protection des équipements.
- Protection électrique des équipements
Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de
protéger des matériels électroniques contre les aléas électriques. Il s’agit ainsi d’un boîtier placé
en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger afin
d’éviter des pertes de données et des interruptions de service, voire des dégâts matériels.
- Protection Mécanique des équipements
Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets sécurisés
(panneaux de brassage) pour éviter tout désagrément. Les équipements du réseau cœur seront
par ailleurs centralisés dans la salle serveur qui est mieux protégée par une porte à accès
biométrique si possible.
- Système de refroidissement
Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés d’un split
fonctionnant à une température abordable afin de protéger les composants électroniques.
Conclusion de la deuxième partie
Cette partie de nos recherches, est une partie charnière qui a eu pour effet de mieux
appréhender la teneur de notre projet tout en cernant mieux les contours.
Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en place des
VPN intersite et qu’une technologie, l’IPSec semblent s’imposer aujourd’hui pour la construction
des VPN site-to-site. Nous avons appris plusieurs points clés tel que :
- La technologie IPSec permet d’offrir des services de sécurité classiques (authentification,
confidentialité, intégrité, etc.) pour chaque datagramme transitant par un réseau de
transport (par exemple, Internet).
- Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un
fournisseur de service dans le cadre d’infogérance. Deux limitations essentielles sont à
retenir pour cette technologie : (1) elle ne permet pas de gérer la qualité de service en
cœur du réseau ; (2) elle ne transporte que les datagrammes IP.

Troisième partie :
Mise en œuvre de l’interconnexion

Introduction de la troisième partie
Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment
mettre en place un système VPN.
Les chapitres de cette partie présentent donc de façon analytique cette étude de cas :
- Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de mettre en exergue
les besoins en moyen tant logistiques que matériels pour la bonne exécution du projet aussi il
sera fait mention du planning.
- Le chapitre 2 traite la configuration des équipements VPN, partie essentielle de notre
mémoire, ce chapitre sera notre champ d’étude approfondi.
- Le chapitre 3 aborde la question de l’estimation financière du projet.

CHAPITRE I : Plan d’action de déploiement
Les tunnels VPN IPsec de site à site sont utilisés pour permettre la transmission sécurisée
de données, de voix et de vidéo entre deux ou plusieurs sites (Dans notre cas entre notre siège
et nos succursales). Le tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un
certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité des données
transmises entre les deux sites.
Aussi, il a été défini un programme d’exécution des tâches en vue de la réalisation du
projet. Celui-ci met en synergie plusieurs moyens qui seront défini ci-après.
I. Les moyens
I.1 - Moyens humains
Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et peut en être
l'architecte.
Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron,
le maître d'œuvre est responsable du bon déroulement des travaux et joue un rôle de conseil
dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies dans le
cahier des clauses administratives particulières. Dans notre cas, à la SOROUBAT, le
département informatique tient ce rôle pour ce qui est du projet réel de conception d'un réseau
VPN site-à site. Le maître d'ouvrage, qui se comporte dans ce cas comme le commanditaire du
projet reviendra à la direction de la SOROUBAT.
En principe, une fois le projet réalisé et livré, il est important de déléguer d’ordinaire la
responsabilité du suivi du système mis en place à un personnel spécial du Département
Informatique.
I.2 - Moyens matériels
Les équipements définis dans le tableau ci-après ont été choisi selon les principes de :
- Performances, haute sécurité et fiabilité haut de gamme ;
- Configuration rapide et facile ;
- Prise en charge d’un éventail extrêmement large d’applications sur une même plateforme
avec, notamment, l’intégration des données, de la voix, de la vidéo ;
Equipements Quantité
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U
(Pour les 05 sites distants)
05
Switch CISCO Small Business SG 350X -48 – Rackable 48 X
1000Base-T
05
Onduleur UPS 2000 VA (Pour armoire informatique) 05
Tableau n° 11 : Equipements à Installer

Les équipements sont fournis par la SOROUBAT et installés par nos services.
I.3 - Moyens logistiques
Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les différents
sites durant tout le déploiement.
Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer sur un avion de
la compagnie AIR IVOIRE, le coût du transport étant à la charge de la SOROUBAT.
Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi instantanée.
II. Nombre de sites à installer
Nous aurons à installer trois (3) sites selon les coordonnées suivantes :
Tableau n° 12 : Coordonnées Géographiques des sites à installer
III. Le planning
- Une moyenne de 1 jour par site est prévue
- Une marge de manœuvre de 3 jours pour les déplacements et divers (Voir tableau ci-dessous)
Tableau n° 13 : Planning des installations
Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril 2017.
Après dépôt préalable du projet le 03 Avril 2017 auprès du service Financier de SOROUBAT pour
validation du budget. Le chronogramme détaillé de ce planning donne le programme qui suit :
• Jusqu’ au Mercredi 03 Mai 2017 : Configuration des équipements ;
• Lundi 08 Mai 2017 : Effectuer des tests de latence du réseau et de l’accessibilité aux services
VPN sur tous les sites distants ;
SITES Longitude Latitude Distance
Taabo 6.256893 -5.138010 161,72 Km
Bassam 5.213186 -3.749728 32.6 Km
Odienné 9.672539 -6.945121 559,57 Km
Daloa 6.895249 -6.466118 319.92 Km
PK 22 5.409668 -4.156859 18.97 Km
SITE DATE
Taabo 03 Jours
Bassam 02 Jours
Odienné 05 Jours
Daloa 03 Jours
PK 22 01 Jours
TOTAL 14 Jours

Chapitre 2 : Configuration des équipements et services.
L’installation, la configuration des serveurs et des équipements d’interconnexion (routeurs
et switch) se feront de façon identique sur les cinq sites distants. Pour éviter la redondance nous
vous présenterons les configurations sur un routeur à titre de référant pour les autres switch et
routeurs configurés.
On dispose d’un Switch de niveau 3 (48ports FastEthernet, 2 ports Gigabits) et d’un routeur (1
port Gigabit, 1 port série). On souhaite diviser le switch en 6 VLANS disposant chacun de 6
Interfaces Fa.
I. Configuration Vlan du switch CISCO
Switch CISCO Small Business SG 350X (48 Ports)
1. VLAN1 : 192.168.1.0 / 255.255.255.0 Fa0/1-Fa0/8 (vlan10 routeur)
2. VLAN2 : 192.168.2.0 / 255.255.255.0 Fa0/9-Fa0/16 (vlan20 PC)
3. VLAN3 : 192.168.3.0 / 255.255.255.0 Fa0/17-Fa0/24 (vlan30 imprimante)
4. VLAN4 : 192.168.4.0 / 255.255.255.0 Fa0/25-Fa0/32 (vlan40 VoIP)
5. VLAN5 : 192.168.5.0 / 255.255.255.0 Fa0/33-Fa0/40 (vlan50 pointeuse)
6. VLAN6 : 192.168.6.0 / 255.255.255.0 Fa0/41-Fa0/48 (vlan60 camera)
Etape 1 :
Configuration du nom et mot de passe du switch
Switch>en
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)#hostname SRBCI
SRBCI (config) #enable secret admin@sorou
Création des Vlan et des SVI (IP de gestion aux commutateurs)
« On crée et on configure les VLAN 1, 2, 3, 4, 5 et 6 avec respectivement les adresses 192.168.1.254,
192.168.2.254, 192.168.3.254, 192.168.4.254, 192.168.5.254, 192.168.6.254 et un masque de
255.255.255.0.
NB : Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP à chaque VLAN
créer sur un switch, sauf dans le cas d’un switch niveau 3.
Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée pour chaque VLAN.
Cependant, cela permet dans une certaine mesure de tester le routage inter-vlan sans avoir besoin
de connecter de machine sur le switch. »
SRBCI (config)#vlan 1
SRBCI (config-vlan)#name routeur
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 1
%LINK-5-CHANGED: Interface Vlan1, changed state to up
SRBCI(config-if)#ip address 192.168.1.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 20
SRBCI(config-vlan)#name PC
SRBCI(config-vlan)#name Imprimante
SRBCI(config-vlan)#name VoIP
SRBCI (config)#vlan 50
SRBCI(config-vlan)#name Pointeuse
SRBCI(config-vlan)#name Camera
Activation du routage sur le switch
SRBCI(config)#ip routing
Attributions des interfaces
Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs ports à partir des
commandes suivantes :
SRBCI (config)#interface nom_interface
SRBCI (config-if)#switchport mode access

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (20)

Similaire à MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

Similaire à MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS) (20)

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)