SlideShare une entreprise Scribd logo

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil. Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises pendant les trois années de formation. Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to - Site) au sein d’une entreprise ".

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

1  sur  62
Télécharger pour lire hors ligne
MISE EN PLACE D’UN VPN
(SITE-TO-SITE) AU SEIN D’UNE
ENTREPRISE : CAS DE LA SOROUBAT
(SOCIETE DE ROUTES ET BATIMENTS)
Présenté par :
DENAGNON Franck
ECOLE SUPERIEURE DE GENIE INFORMATIQUEUNIVERSITE FRANCAISE D’ABIDJAN
MEMOIRE
Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS)
Discipline : Systèmes, Réseaux et Cloud Computing
Année académique 2017 - 2018
Encadreur :
M. AGBISSI Jean- Paul
MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 2
SOMMAIRE ………………………………………………………………………………………… 02
AVANT-PROPOS………………………………………………………………………………...……. 03
REMERCIEMENTS…………………………………………………………………………………… 04
LISTE DES ABREVIATIONS ET ACRONYMES ………………………………………………. 05
INTRODUCTION GENERALE ……………………………………………………………………… 07
INTRODUCTION ……………………………………………………………………………………… 08
PREMIERE PARTIE : APPROCHE METHODOLOGIQUE ……………………………………... 10
INTRODUCTION DE LA PREMIERE PARTIE ……………………………………………………. 11
CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET……………………………. 12
CHAPITRE 2 : ETUDE ET CRITIQUE DE L’EXISTANT………………………………………. 15
CONCLUSION DE LA PREMIERE PARTIE …………………………………………………. 19
DEUXIEME PARTIE : ETUDE TECHNIQUE ET CONDITIONS DE REALISATION…………. 20
INTRODUCTION DE LA DEUXIEME PARTIE…………………………………………………. 21
CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES …………………. 22
CHAPITRE 2 : LES RESEAUX PRIVES VIRTUELS ……………………………………………… 33
CHAPITRE 3 : ADMINISTRATION ET SECURITE………………………………………………… 40
TROISIEME PARTIE : MISE EN OEUVRE DE L’INTERCONNEXION ………………………… 43
CHAPITRE 1 : PLAN D’ACTION DU DEPLOIEMENT……………………………………………45
CHAPITRE 2 : CONFIGURATION DES EQUIPEMENTS ET SERVICES …………………. 47
CHAPITRE 3 : ESTIMATION FINANCIERE DU PROJET ………………………………………... 60
CONCLUSION GENERALE ………………………………………………………………………. 61
BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE ………………………………………… 62
SOMMAIRE
MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 3
Avant-propos
L’Université Française d’Abidjan (UFRA) réunit sept établissements supérieurs (Groupe
ESG) dans les domaines du Management, Comptabilité, Finances, Ressources Humaines,
Commerce International, Marketing, Publicité et de l’Informatique. Le groupe compte un
établissement de formation continue.
La naissance de l’UFRA ou en d’autres termes la délocalisation en Côte d’Ivoire des
Diplômes Techniques Français, répond aux vœux formulés par de nombreux cadres et étudiants,
désirant se spécialiser dans les différentes filières de très haut niveau relevant du domaine du
management, de l'informatique et de la gestion des entreprises. Le but secondaire étant bien sûr
de décrocher un Diplôme Supérieur Français tout en restant à Abidjan.
La filière qui nous concerne, est la filière informatique de l’Ecole Supérieure de Génie
Informatique - PARIS (ESGI - PARIS)
Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus
académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des
travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil.
Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises
pendant les trois années de formation.
Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to -
Site) au sein d’une entreprise ".
Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a
pour but de présenter le résultat du travail effectué sur ledit thème.
Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en
place d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions
idoines aux problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre
formation académique et de nos réflexions empiriques.
MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 4
Remerciements
Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de
parvenir à ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il
convient de remercier. Il aurait été certainement plus juste de remercier nommément chacune
d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour
leur contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu
figurer ici.
Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs
sans qui ce travail n'aurait pas pu aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu
tout le long de mon parcours.
J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette
formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice
de l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA)
J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir
fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean-
Paul, pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire.
Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience
dans le domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout
en respectant les architectures en place.
Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné
ma chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet
de Bachelor dont mes collègues et camarades de classe.
MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 5
Listes des abréviations et acronymes
AES : Advanced Encryption Standard
ARP : Adress Resolution Protocol
ANSI : American National Standard Institute
ADSL : Asymmetrical bit rate Digital Subscriber Line
AES : Application Environment Service
ASCII : American Standard Code for Information Interchange
CDMA : Code Division Multiple Access
CSMA/CD : Carrier Sense Multiple Access / Collision Detection.
DHCP : Dynamic Host Configuration Protocol
DNS : Domain Name System/Service
DMZ : DeMilitarized Zone
DES : Data Encryption Standard
EAP : Extensible Authentication Protocol
ERP : Enterprise Resource Planning
FAI : Fournisseur d'Accès Internet
FDDI : Fiber Distributed Data Interface
FTP : File Transfer Protocol
HTTP : Hyper Text Transfer Protocol
HTML : Hyper Text Markup Language
IKE : Internet Key Exchange
ISO : International Standards Organisation.
ISP : Internet Service Provider
IEEE : Institute of Electrical and Electronics Engineers
ICMP : Internet Control Message Protocol
IPSEC : Internet Protocol Security
ISAKMP : Internet Security Association and Key Management Protocol
L2F : Layer Two Forwarding
MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS)
ESGI / UFRA DENAGNON FRANCK Page 6
L2TP : Layer Two Tunneling Protocol
MAC : Message Authentification Code
MAU : Multisession Access Unit.
NAT : Network Adress Traduction
NAS : Network Attached Storage
NTIC : Nouvelles Technologies de l'Information et de la Communication
OSI : Open Systems Interconnection
PPP : Point To Point Protocol
PoE : Power over Ethernet
PKI : Public Key Infrastructure
PING : Packet Internet Groper.
PPTP : Point To Point Tunneling Protocol
QoS : Quality Of Service
RA : Registration Authority
RFC : Request For Comments
RIP : Routing Information Protocol
RNIS : Réseau Numérique à Intégration de Services
SHA : Secure Hash Algorithm
SSL : Secure Socket Layer
STP : Shielded Twisted Pair
SA : Security Association
SNMP : Simple Network Management Protocol.
SARL : Société par Actions à la Responsabilité Limité
SOROUBAT : Société Route et Bâtiments
TCP/IP : Transmission Control Protocol/Internet Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VSAT : Very Small Aperture Terminal
WAN : Wide Area Network ou réseau Etendu
WIFI : Wireless Fidelity
Publicité

Recommandé

Rapport mise en place d'un sevrer VPN .
   Rapport mise en place d'un sevrer VPN .   Rapport mise en place d'un sevrer VPN .
Rapport mise en place d'un sevrer VPN .Mouad Lousimi
 
VPN site-to-site.pdf
VPN site-to-site.pdfVPN site-to-site.pdf
VPN site-to-site.pdfgorguindiaye
 
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )
Rapport PFE ingénieur réseaux marwen SAADAOUI ( Juin 2018 )Saadaoui Marwen
 
Etude et mise en place d’un VPN
Etude et mise en place d’un VPNEtude et mise en place d’un VPN
Etude et mise en place d’un VPNCharif Khrichfa
 
Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Pfe master fst_final_decembre2015
Pfe master fst_final_decembre2015Ghali Rahma
 

Contenu connexe

Tendances

Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Mohammed LAAZIZLI
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...Borel NZOGANG
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagioschristedy keihouad
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseauxRabeb Boumaiza
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud ComputingTsubichi
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études MortadhaBouallagui
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de PfsenseIsmail Rachdaoui
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sakka Mustapha
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Yaya N'Tyeni Sanogo
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...ismailbou
 
Projet stage : Mise en place d'un système générique de sauvegarde et de rest...
Projet stage : Mise en place d'un système générique  de sauvegarde et de rest...Projet stage : Mise en place d'un système générique  de sauvegarde et de rest...
Projet stage : Mise en place d'un système générique de sauvegarde et de rest...Gedeon AGOTSI
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléCharif Khrichfa
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !Massimo Russo
 
Système de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans filSystème de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans filSamia HJ
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauGeorges Amichia
 
Rapport PFE-Implémentation de la solution Dual-Homing
Rapport PFE-Implémentation de la solution Dual-Homing Rapport PFE-Implémentation de la solution Dual-Homing
Rapport PFE-Implémentation de la solution Dual-Homing Hassane Sennouni
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Salmen HITANA
 

Tendances (20)

Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...Etude et mise en place d’une solution open source de gestion de la sécurité d...
Etude et mise en place d’une solution open source de gestion de la sécurité d...
 
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING  PRIVÉ BASÉE SUR UN ...
ETUDE ET MISE EN PLACE D'UNE SOLUTION DE CLOUD COMPUTING PRIVÉ BASÉE SUR UN ...
 
Supervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec NagiosSupervision d'un réseau informatique avec Nagios
Supervision d'un réseau informatique avec Nagios
 
projet fin d'étude IWAN
projet fin d'étude IWANprojet fin d'étude IWAN
projet fin d'étude IWAN
 
Mise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSenseMise en place d’un OpenVPN sous PfSense
Mise en place d’un OpenVPN sous PfSense
 
Projet administration-sécurité-réseaux
Projet administration-sécurité-réseauxProjet administration-sécurité-réseaux
Projet administration-sécurité-réseaux
 
Projet sur le Cloud Computing
Projet sur le Cloud ComputingProjet sur le Cloud Computing
Projet sur le Cloud Computing
 
mémoire de projet de fin d'études
mémoire de projet de fin d'études mémoire de projet de fin d'études
mémoire de projet de fin d'études
 
Installation et Configuration de Pfsense
Installation et Configuration de PfsenseInstallation et Configuration de Pfsense
Installation et Configuration de Pfsense
 
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
Sécurité Réseau à Base d'un Firewall Matériel (fortigate)
 
Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau Mise En Place d'une Solution de Supervision Réseau
Mise En Place d'une Solution de Supervision Réseau
 
conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...conception et réalisation d'une application de gestion des rapports téléphoni...
conception et réalisation d'une application de gestion des rapports téléphoni...
 
Projet stage : Mise en place d'un système générique de sauvegarde et de rest...
Projet stage : Mise en place d'un système générique  de sauvegarde et de rest...Projet stage : Mise en place d'un système générique  de sauvegarde et de rest...
Projet stage : Mise en place d'un système générique de sauvegarde et de rest...
 
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câbléMise en place de la solution d’authentification Radius sous réseau LAN câblé
Mise en place de la solution d’authentification Radius sous réseau LAN câblé
 
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
La VoIP, une solution d'avenir pour les entreprises... mais pas seulement !
 
Système de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans filSystème de supervision des réseaux de capteurs sans fil
Système de supervision des réseaux de capteurs sans fil
 
Rapport de fin d'etude
Rapport  de fin d'etudeRapport  de fin d'etude
Rapport de fin d'etude
 
Mise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseauMise en place de vlan au sein d'un réseau
Mise en place de vlan au sein d'un réseau
 
Rapport PFE-Implémentation de la solution Dual-Homing
Rapport PFE-Implémentation de la solution Dual-Homing Rapport PFE-Implémentation de la solution Dual-Homing
Rapport PFE-Implémentation de la solution Dual-Homing
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...Mise en place d’une solution de tests de sécurité pour les passerelles réside...
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
 

Similaire à MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

rapport final djoukwe kepngue donald
rapport final djoukwe kepngue donaldrapport final djoukwe kepngue donald
rapport final djoukwe kepngue donalddonald djoukwe
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfEmeric Kamleu Noumi
 
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...Borel NZOGANG
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...GeorgeMillan2
 
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Emeric Kamleu Noumi
 
Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis abouaalexis
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Abdallah YACOUBA
 
VPN & QOS dans LES Réseaux Informatiques.pdf
VPN & QOS dans LES Réseaux Informatiques.pdfVPN & QOS dans LES Réseaux Informatiques.pdf
VPN & QOS dans LES Réseaux Informatiques.pdfClement BAVOUA TEKEU
 
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...mouliom matapit hermann cedric
 
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IEntrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IYann Dieulangard
 
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...ZackMukenge
 
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskEmeric Kamleu Noumi
 
Mise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMSMise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMSKokou Gaglo
 
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presse
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presseChaire NewNet@Paris Cisco Télécom ParisTech : dossier de presse
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presseTélécom Paris
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux josephMBOUA
 

Similaire à MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS) (20)

rapport final djoukwe kepngue donald
rapport final djoukwe kepngue donaldrapport final djoukwe kepngue donald
rapport final djoukwe kepngue donald
 
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdfRapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
Rapport de stage FRANK FAPONG Encadreur - Kamleu Noumi Emeric.pdf
 
Visite des lycées
Visite des lycéesVisite des lycées
Visite des lycées
 
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...
SITE WEB DE E-COMMERCE AVEC HAUTE DISPONIBILITÉ ET PAIEMENT EN LIGNE AVEC EXP...
 
présentation licence lycée
présentation licence lycéeprésentation licence lycée
présentation licence lycée
 
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
Mémoire analyse fonctionnelle et rédimensinnement d'une infrastructure réseau...
 
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
 
Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis Rapport version finale kouakou aboua pokou alexis
Rapport version finale kouakou aboua pokou alexis
 
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
Mémoire de fin de cycle présenté en vue de L’Obtention du Diplôme de Master P...
 
VPN & QOS dans LES Réseaux Informatiques.pdf
VPN & QOS dans LES Réseaux Informatiques.pdfVPN & QOS dans LES Réseaux Informatiques.pdf
VPN & QOS dans LES Réseaux Informatiques.pdf
 
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...
MISE EN PLACE D’UNE ZONE WIFI PAYANT AVEC AUTOMATISATION DE LA PRISE EN FACTU...
 
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.IEntrepreneurs & Solutions Cloud : réussir la mutation du S.I
Entrepreneurs & Solutions Cloud : réussir la mutation du S.I
 
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...MUKENGE KANKONDE  Zack mise en place d'un système de stockage et sauvegarde d...
MUKENGE KANKONDE Zack mise en place d'un système de stockage et sauvegarde d...
 
Droit Internet
Droit Internet Droit Internet
Droit Internet
 
Cebit
CebitCebit
Cebit
 
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asteriskDocument sur l'Auto provisioning, contacts, presence et streaming sur asterisk
Document sur l'Auto provisioning, contacts, presence et streaming sur asterisk
 
Mise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMSMise en place d’une plateforme de formation IMS
Mise en place d’une plateforme de formation IMS
 
Administrateur Réseaux.pdf
Administrateur Réseaux.pdfAdministrateur Réseaux.pdf
Administrateur Réseaux.pdf
 
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presse
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presseChaire NewNet@Paris Cisco Télécom ParisTech : dossier de presse
Chaire NewNet@Paris Cisco Télécom ParisTech : dossier de presse
 
Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux Ingénieur de conception télécommunications et réseaux
Ingénieur de conception télécommunications et réseaux
 

MISE EN PLACE D’ UN VPN (SITE-TO-SITE) AU SEIN D’ UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIÉTÉ DE ROUTES ET BÂTIMENTS)

  • 1. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) Présenté par : DENAGNON Franck ECOLE SUPERIEURE DE GENIE INFORMATIQUEUNIVERSITE FRANCAISE D’ABIDJAN MEMOIRE Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS) Discipline : Systèmes, Réseaux et Cloud Computing Année académique 2017 - 2018 Encadreur : M. AGBISSI Jean- Paul
  • 2. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 2 SOMMAIRE ………………………………………………………………………………………… 02 AVANT-PROPOS………………………………………………………………………………...……. 03 REMERCIEMENTS…………………………………………………………………………………… 04 LISTE DES ABREVIATIONS ET ACRONYMES ………………………………………………. 05 INTRODUCTION GENERALE ……………………………………………………………………… 07 INTRODUCTION ……………………………………………………………………………………… 08 PREMIERE PARTIE : APPROCHE METHODOLOGIQUE ……………………………………... 10 INTRODUCTION DE LA PREMIERE PARTIE ……………………………………………………. 11 CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET……………………………. 12 CHAPITRE 2 : ETUDE ET CRITIQUE DE L’EXISTANT………………………………………. 15 CONCLUSION DE LA PREMIERE PARTIE …………………………………………………. 19 DEUXIEME PARTIE : ETUDE TECHNIQUE ET CONDITIONS DE REALISATION…………. 20 INTRODUCTION DE LA DEUXIEME PARTIE…………………………………………………. 21 CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES …………………. 22 CHAPITRE 2 : LES RESEAUX PRIVES VIRTUELS ……………………………………………… 33 CHAPITRE 3 : ADMINISTRATION ET SECURITE………………………………………………… 40 TROISIEME PARTIE : MISE EN OEUVRE DE L’INTERCONNEXION ………………………… 43 CHAPITRE 1 : PLAN D’ACTION DU DEPLOIEMENT……………………………………………45 CHAPITRE 2 : CONFIGURATION DES EQUIPEMENTS ET SERVICES …………………. 47 CHAPITRE 3 : ESTIMATION FINANCIERE DU PROJET ………………………………………... 60 CONCLUSION GENERALE ………………………………………………………………………. 61 BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE ………………………………………… 62 SOMMAIRE
  • 3. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 3 Avant-propos L’Université Française d’Abidjan (UFRA) réunit sept établissements supérieurs (Groupe ESG) dans les domaines du Management, Comptabilité, Finances, Ressources Humaines, Commerce International, Marketing, Publicité et de l’Informatique. Le groupe compte un établissement de formation continue. La naissance de l’UFRA ou en d’autres termes la délocalisation en Côte d’Ivoire des Diplômes Techniques Français, répond aux vœux formulés par de nombreux cadres et étudiants, désirant se spécialiser dans les différentes filières de très haut niveau relevant du domaine du management, de l'informatique et de la gestion des entreprises. Le but secondaire étant bien sûr de décrocher un Diplôme Supérieur Français tout en restant à Abidjan. La filière qui nous concerne, est la filière informatique de l’Ecole Supérieure de Génie Informatique - PARIS (ESGI - PARIS) Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des travaux de recherche sur un thème d'actualité proposé par leurs structures d'accueil. Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises pendant les trois années de formation. Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to - Site) au sein d’une entreprise ". Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a pour but de présenter le résultat du travail effectué sur ledit thème. Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en place d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions idoines aux problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre formation académique et de nos réflexions empiriques.
  • 4. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 4 Remerciements Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de parvenir à ce niveau de formation. Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il convient de remercier. Il aurait été certainement plus juste de remercier nommément chacune d’elles. Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour leur contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu figurer ici. Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs sans qui ce travail n'aurait pas pu aboutir. Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu tout le long de mon parcours. J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice de l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA) J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean- Paul, pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire. Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience dans le domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout en respectant les architectures en place. Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné ma chance au sein de sa structure. Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet de Bachelor dont mes collègues et camarades de classe.
  • 5. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 5 Listes des abréviations et acronymes AES : Advanced Encryption Standard ARP : Adress Resolution Protocol ANSI : American National Standard Institute ADSL : Asymmetrical bit rate Digital Subscriber Line AES : Application Environment Service ASCII : American Standard Code for Information Interchange CDMA : Code Division Multiple Access CSMA/CD : Carrier Sense Multiple Access / Collision Detection. DHCP : Dynamic Host Configuration Protocol DNS : Domain Name System/Service DMZ : DeMilitarized Zone DES : Data Encryption Standard EAP : Extensible Authentication Protocol ERP : Enterprise Resource Planning FAI : Fournisseur d'Accès Internet FDDI : Fiber Distributed Data Interface FTP : File Transfer Protocol HTTP : Hyper Text Transfer Protocol HTML : Hyper Text Markup Language IKE : Internet Key Exchange ISO : International Standards Organisation. ISP : Internet Service Provider IEEE : Institute of Electrical and Electronics Engineers ICMP : Internet Control Message Protocol IPSEC : Internet Protocol Security ISAKMP : Internet Security Association and Key Management Protocol L2F : Layer Two Forwarding
  • 6. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 6 L2TP : Layer Two Tunneling Protocol MAC : Message Authentification Code MAU : Multisession Access Unit. NAT : Network Adress Traduction NAS : Network Attached Storage NTIC : Nouvelles Technologies de l'Information et de la Communication OSI : Open Systems Interconnection PPP : Point To Point Protocol PoE : Power over Ethernet PKI : Public Key Infrastructure PING : Packet Internet Groper. PPTP : Point To Point Tunneling Protocol QoS : Quality Of Service RA : Registration Authority RFC : Request For Comments RIP : Routing Information Protocol RNIS : Réseau Numérique à Intégration de Services SHA : Secure Hash Algorithm SSL : Secure Socket Layer STP : Shielded Twisted Pair SA : Security Association SNMP : Simple Network Management Protocol. SARL : Société par Actions à la Responsabilité Limité SOROUBAT : Société Route et Bâtiments TCP/IP : Transmission Control Protocol/Internet Protocol UDP : User Datagram Protocol UTP : Unshielded Twisted Pair VSAT : Very Small Aperture Terminal WAN : Wide Area Network ou réseau Etendu WIFI : Wireless Fidelity
  • 7. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 7 Introduction générale
  • 8. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 8 Introduction Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi indispensable que l’eau et l’électricité, aucun développement ne saurait se faire sans elles. La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions, administrations, etc…). C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a entrepris des réformes dans le domaine de la télécommunication visant à informatiser les différents secteurs d’activité. Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les entités informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la naissance du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel). C’est dans cette même veine de besoin à satisfaire que la SOROUBAT a initié ce projet ayant pour thème « Mise en place d’un VPN (Site–to-Site) au sein d’une entreprise ». I. Problématique Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé graduellement comme un instrument primordial dans le monde professionnel, devenant l'outil incontournable pour la gestion de l'information allant jusqu’ à la prise de décision d’une importance capitale pour les entreprises En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché en 2007. Ce projet de 75,8 Km, entrant dans le cadre du prolongement de l’autoroute du Nord reliant ABIDJAN à YAMOUSSOUKRO, est composé de 3 lots comportant 11 échangeurs et 9 passages inférieurs : - Lot 1 (14,5 Km) de SINGROBO à TAABO - Lot 2 (29,5 Km) de TAABO à TOUMODI - Lot 3 (31,8 Km) de TOUMODI à YAMOUSSOUKRO. Suite à la réalisation de ce projet depuis fin 2012, la société SOROUBAT a axé sa stratégie de développement sur son service informatique notamment en mettant en place une interconnexion entre ses différents chantiers à l’intérieur du pays et son siège social sis à Abidjan. Cependant, dans sa gestion quotidienne, la SOROUBAT éprouve plusieurs difficultés concernant la gestion centralisée de ses données et informations ainsi que dans l’interactions avec ses sociétés du groupe.
  • 9. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 9 Par exemple, vu la demande étendue à différents chantiers repartis sur le territoire ivoirien elle a du mal à fédérer le suivi de ses stocks et demande en approvisionnement. Pourtant, une rupture de stock ou un retard de livraison est susceptible d’immobiliser plusieurs engins qui peuvent conduire à l’arrêt des travaux sur le chantier. La nécessité pour la Direction Générale de disposer d’un moyen de transmission et de réception (interconnexion) des flux de donnés regroupant, mobilité, itinérance et fidélité s’impose. Cette interconnexion devrait constituer la boussole des services de transmissions à distance de l’entreprise, il devient évident que la mise en place d’un tel système serait très judicieuse pour la pérennité du système d’information du groupe SOROUBAT. Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau Privé Virtuel (VPN) au sein d’une entreprise ». Cependant, cette situation suscite un certain nombre d’interrogations : - Comment la SOROUBAT est-elle organisée dans son système d’information actuel ? - Comment accéder à distance de n’importe où aux ressources de données du siège ? - Quelles dispositions prendre pour assurer une interconnexion optimale des différents sites distants au sein de la SOROUBAT ? II. Méthode et stratégie de recherche Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans les centres de documentations et bibliothèques universitaires il s’agit de : - La bibliothèque de l’Université Française d’Abidjan (UFRA) sis au plateau ; - Au centre culturel Français d’Abidjan au plateau ; - Les sites Internet de technologies Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des ouvrages généraux, des ouvrages spécialisés, des revues, des rapports d’études, des mémoires. Ces ouvrages et sites web donnerons une connaissance générale sur le thème et nous permettrons d’élaborer un plan de travail beaucoup plus scientifique. L'architecture de l’étude s'articule autour de trois grands mouvements désignés sous le vocable de « parties ». Nous avons adopté pour une approche volontairement pédagogique et opératoire :  La première partie sera une réflexion théorique et globale qui aborde de façon analytique le thème. Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.  La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche du projet. Un accent particulier sera mis sur une étude technique suivit de la présentation d’une solution architecturale ainsi que sur l’administration et la sécurité du réseau.  La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième partie sera consacrée à la mise en service du VPN et des services associés de façon pratique suivi d’une évaluation financière du projet. Nous terminerons ce mémoire par une conclusion générale et des perspectives.
  • 10. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 10 Première partie : Approche méthodologique
  • 11. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 11 Introduction de la première partie Cette première partie de l'étude consiste en une réflexion purement théorique sur le sujet et expose la démarche méthodologique adoptée pour le traiter. Elle s'attache ainsi, exclusivement, à montrer l'intérêt scientifique du sujet, à poser le problème, à dégager les hypothèses de recherche, à élaborer la méthodologie sur laquelle s'appuie la recherche, et enfin à indiquer les modes de mobilisation et de production de l'information. Cette partie comporte deux chapitres : - Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux scientifiques et pose le problème. Il s'agit aussi, par une analyse de présenter « l 'état des lieux » d'un tel sujet. - Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant sur lequel s'appuie la recherche. Une deuxième phase de ce chapitre indique les besoins qui ressortent de cette analyse, constituant la substance de l'étude.
  • 12. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 12 Chapitre 1 : Présentation et contexte du projet I. Présentation de SOROUBAT Dans cette partie de notre mémoire, nous parlerons des points tels que : la situation géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la structure organique de l'entreprise SOROUBAT-CI. I.1 - Situation géographique et juridique La « Société des Routes et Bâtiment » en abrégé SOROUBAT, est une entreprise de droit tunisien ayant pour cœur d’activité principale les BTP (bâtiment et travaux publics), elle a une représentation en Côte d’Ivoire. En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché en 2007. La SOROUBAT-CI est une société à caractère privé, à responsabilité limitée (Sarl) au capital de 4. 000. 000.000 FCFA (Quatre milliards de Francs CFA). Au départ succursale, elle est devenue une SARL. Elle se développe en groupe à ce jours plusieurs sociétés émanent de SOROUBAT-CI (SAME BUSINESS, SOGECAR, MADALY SANTE, MADALY TOUR, SIAG, SADEP, C2SR, SDIA, FC SAN PEDRO). I.2 - Objectif et mission SOROUBAT-CI, intervient dans le domaine des travaux publics tels que les routes, l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais elle s’est plus particulièrement spécialisée dans la construction des routes, autoroutes et ouvrages d’arts. Par son bon fonctionnement et son activité, la SOROUBAT contribue à soutenir l'économie et la politique nationale car pour la construction des infrastructures, la SOROUBAT utilise la main d'œuvre locale, et paie les impôts à l'Etat Ivoirien. I.3 - Activités La SOROUBAT-CI a pour principale activité la construction des routes et des bâtiments. Elle a actuellement le projet de la voie Odienné - Madinani -Boundiali et la voirie de la nouvelle zone industrielle de Yopougon au PK24. Aujourd’hui, la SOROUBAT a diversifié ses activités et est devenu un groupe avec différentes filiales dont : - SOGECAR (Société de Gestion de Carrière). - SAME BUSINESS. (Vente d’engin) - FONCIERE IVOIRIENNE. (Société de gestion foncière et immobilière) - MADALY TOURS. (Agence de tourisme IATA) - MADALY SANTE. (Vente d’équipement médicaux et paramédicaux)
  • 13. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 13 Ses caractéristiques principales sont les suivants : - Raison sociale : Société de Routes et de Bâtiments en Côte d’Ivoire (SOROUBAT- CI) - Localisation : II Plateaux Vallon, non loin de la SGBCI Vallon route d’Attoban. - Statut juridique : Société à Responsabilité Limitée (SARL) - Capital social : 4 000 000 000 FCFA - Téléphone : 22 41 35 10 - Compte contribuable : 0717959 M - Email : soroubatci@yahoo.fr I.4 - Organisation Structure organique de l'Entreprise : L’organisation de la SOROUBAT-CI s’articule autour de plusieurs directions et services. Pour mener à bien ses activités de construction de l’autoroute du nord, la SOROUBAT s’est subdivisée en six (05) grandes directions : - La Direction Générale ; - La Direction Administrative et Comptable ; - La Direction Financière ; - La Direction des Projets ; - La Direction du matériel. II. Présentation du thème II.1 - Intérêt de l’étude Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses ressources. Vu l’ambition de la SOROUBAT d’être leader des BTP sur l’échiquier international, et dans le but de lui permettre d’être interconnecté entre ses différents sites nationaux et même internationaux, il a été jugé bon de nous pencher sur la question de la : « Mise en place de Réseau Privé Virtuel (VPN) au sein d’une entreprise » et d’en faire une référence. II.2 - Objectifs de l'étude II.2.1 Objectifs principaux Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place d'une interconnexion entre plusieurs site distant à travers un VPN afin de faciliter les échanges distants de données au sein de la société SOROUBAT et de ce fait de mieux gérer le système d’information de l’entreprise.
  • 14. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 14 II.2.2 Objectifs spécifiques Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place un réseau virtuel privé stable et opérationnel. Ceci nous amènera donc à étudier différents aspects : - Nous évaluerons le type de VPN le mieux adapté aux besoins de l’entreprise. - Nous définirons la sécurité des données. - Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon fonctionnement. II.3 - Cahier de charge Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi riche et prometteur que le thème. En effet les contraintes globales que nous devons respecter sont les suivantes : - Identifier les différents services de SOROUBAT ; - Proposer un plan d’adressage par SUBNETTING ; - Configurer les routeur VPN ; - Assurer la confidentialité des connexions ;
  • 15. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 15 Chapitre 2 : Etude et critique de l’existant Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l’existant quel qu’il soit. La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou indirectement une relation avec le service informatique de SOROUBAT Il s’agit principalement du Directeur Financier M. CHADI Issam, de M. SABER Drira, Directeur Administratif, de M. Riadh AYACHI Responsable Achat. Après quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette méthodologie de travail nous a permis d’avoir une connaissance large de l’existant. I. Etude de l’existant Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que possible, l'analyse qualitative et quantitative du système d’information actuel de la SOROUBAT. Une analyse de l'existant comprend trois parties distinctes : - La première consiste à recueillir les informations ; elle est réalisée à partir d'entretiens ou de questionnaires, tableaux de bords, catalogues, études, données statistiques etc. - La seconde consiste à analyser, classer et donner une vue synthétique de l'ensemble des informations collectées par domaine fonctionnel, en tenant compte des ressources humaines (nombre et profil des personnes assignées aux diverses tâches). - La troisième consiste à esquisser une modélisation à grosses mailles des données et des traitements. En effet, pour faire le déploiement de solution d’interconnexion, il est essentiel de disposer d’informations précises sur l’infrastructure réseau physique et les problèmes qui ont une incidence sur le fonctionnement du réseau. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le déploiement du VPN. Il s’agira donc pour nous de rassembler les informations relatives à l’organisation de l’existant. Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de Télécommunication et des services qui feront l’objet d’interconnexion.
  • 16. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 16 I.1 - Matériels et logiciels utilisés Le recensement des outils informatiques associés aux départements, et services de la SOROUBAT nous a donné pour le siège (Nb : Tout les PC fonctionnent sous Windows 10) SIEGE Direction Nbre des Pcs Marques Types HDD Mémoires RAM Dir. Générale 04 Dell Core I7 1Terra 8 Go Dir. RH 04 HP Core I5 500 Go 4 Go Dir. Technique 04 Dell Core I5 500 Go 4 Go Services Achat 06 Dell Core I5 500 Go 4 Go Dir. Financier 07 HP Core I5 500 Go 4 Go Dir. Comptable 03 Dell Core I5 500 Go 4 Go Dir Audit 02 HP Core I5 500 Go 4 Go Dir Informatique 04 Dell Core I7 2 Terra 8 Go Dir Transit 03 Dell Core I5 500 Go 4 Go Service Juridique 01 Dell Core I5 500 Go 4 Go Service Contrôle de gestion 06 HP Core I5 500 Go 4 Go Secrétariat 04 HP Core I5 1Terra 4 Go TOTAL 48 - LES SERVEURS Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents clients. Les serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous dans une salle machine et présentent différentes caractéristiques énumérées comme suit : Tableau n° 02 : Les serveurs de SOROUBAT Nombres Rôle des serveurs Type de serveur O. S 01 Serveur de Domaine (AD) Serveur Dell Windows 2012 R2 01 Hyperviseur Navision Serveur Dell Windows 2012 R2 01 Hyperviseur Citrix Serveur Dell Windows 2008 R2 01 Serveur de redondance (AD) Serveur HP ProLiant Windows 2012 R2 10 Serveur de Vidéosurveillance Serveur HP Windows 10 Pro 14 Total Source : Nos réalisations Source : Nos réalisations Tableau n° 01 : PC SIEGE
  • 17. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 17 - LES EQUIPEMENTS TERMINAUX Types de terminaux Modèles Nombres Téléphone IP Alcatel 50 Imprimantes Laserjet Canon & HP 12 Copieur IP Canon 04 Pointeuse Biométrique (IP) Zkteco 02 Camera IP HD HikVision 40 AUTOCOM (Passerelle VoIP) Vidéoconférence au Format H264 avec protocole SIP ALCATEL OXO Large 01 TOTAL 109 Source : Nos réalisations - LES EQUIPEMENTS D’INTERCONNEXION Types de terminaux Modèles Nombres Routeur fibre optique (Orange) Huawei 02 Routeurs Cisco 02 Switches (48 ports) Cisco 04 Switches (48ports) Alcatel 01 Point d’accès Wifi D-Link 06 Firewall FORTIGATE 60D Plus 01 Firewall SOPHOS XG 210 Entreprise 01 TOTAL 17 Source : Nos réalisations I.2 - Topologie et type de média De façon plus précise, le réseau LAN de SOROUBAT, est un réseau FAST ETHERNET commuté à 10/100Mbps, essentiellement basé sur une topologie en étoile. Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant des paires torsadées FTP catégorie 6. I.3 - Les applications utilisées Les applications de SOROUBAT sont diverses et installées sur les serveurs contenus en salle machine en mode client-serveur sur les autres machines. Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis les chantiers de SOROUBAT à l’intérieur du pays et en dehors. Tableau n° 03 : EQUIPEMENTS TERMINAUX Tableau n° 04 : EQUIPEMENTS D’INTERCONNEXION
  • 18. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 18 Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci- après. Applications Rôles Bénéficiaire MICROSOFT DYNAMICS NAVISION Progiciel de gestion intégré (Achats, production, gestion de projets, RH, gestion financière, etc.…) Utilisateur de logiciel métier IVMS-4500 HD (HikVision IP CAM) Monitoring et gestion de camera IP Utilisateur des services de surveillance Source : Nos réalisations II. Critique de l’existant La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de l'entreprise qui vient d'être présenté. Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les serveurs être mis en DMZ. La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou de publier les services sur internet sur le contrôle de Pare-feu externe. Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur d'impression, un serveur d'antivirus, un serveur de Navision, un serveur de messagerie (Exchange) ils assurent tous l'échange des informations entre les employés de l'entreprise, etc. Les informations de l'entreprise arrivent par le routeur du FAI, elles sont directement envoyées au pare-feu qui lui, les envoient au travers d’un switch fédérateur à un serveur en fonction bien entendu de la nature de l'information (données, etc.) à son tour le serveur concerné route l'information au terminal du destinataire. Les informations provenant du réseau externe (internet) sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout simplement rejetée. Les points à déplorer sont : - Un plan d’adressage réseau peu optimal et évolutif en l’absence de Vlan. - Il existe trop de nœud d’interconnexion, ce qui accroit la perte de connectivité. - Il n’existe pas de serveur d’antivirus, ni de serveur de messagerie (Exchange) pour assurer les échanges ; Tableau n° 05 : Applications métier du SIEGE
  • 19. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 19 III. Spécifications des besoins Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier aux contraintes précédemment mentionnées. Ce sont les besoins exprimés par les différents services de la SOROUBAT pour mener à bien ce projet. III.1 - Les besoins fonctionnels Dans ce cadre, nous allons : - Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les domaines de diffusion (VLAN) ; - Proposer une architecture physique d’interconnexion VPN avec débits adaptés. - La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux, filtrage) ; III.2 - Les besoins non-fonctionnels Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit répondre. Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères suivants : - La simplicité d’utilisation des services implémentés. - La centralisation de l’administration et de la gestion des utilisateurs. - La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de rétablissement). - La gestion de sauvegarde des fichiers. - La documentation du réseau. Conclusion de la première partie Le but de cet exercice de réflexion théorique à la fois délicat et intellectuellement passionnant sur l’articulation entre la présentation du projet et la critique de l’existant était de fournir une indication suffisamment élaborée et claire des objectifs et enjeux sur le sujet, ses objectifs et enjeux ainsi que sur la façon dont il serait conduit. Nous espérons, avoir faire ressortir ce lien dialectique au terme de cette partie. Nous nous attèlerons maintenant à faire ressortir les démonstrations empiriques auxquelles confronter la réflexion théorique qui a été faite. C’est ce à quoi la deuxième partie et notamment la troisième partie (à travers une étude de cas) vont s’attacher.
  • 20. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 20 Deuxième partie : Etude technique et conditions de réalisation
  • 21. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 21 Introduction de la deuxième partie La mise en place optimale d’une solution VPN, exige une connaissance suffisante en matière d’architecture informatique et de liaison d’interconnexion, tant au plan général des infrastructures réseaux qu'au niveau spécifique des télécommunications. La présente partie de l'étude s'efforce d'apporter cette indispensable connaissance. Cette deuxième partie comporte trois chapitres : - Le chapitre 1 offre un aperçu général sur les différents types de réseaux et topologies informatiques, ainsi que sur les équipements d’interconnexion des réseaux qui sont des prérequis indispensables à assimiler pour notre étude technique. Il en relève par ailleurs les contraintes infrastructurelles. - Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des différents types de VPN afin de savoir quand implémenter chaque type. - Le chapitre 3 donne une indication sur l’administration et la sécurité adéquate à mettre en place afin de sécuriser le réseau. Cette réflexion constitue en quelque sorte une transition pour entamer la troisième partie de la recherche qui instruit réellement sur la mise en œuvre de l’interconnexion et des services VPN.
  • 22. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 22 Chapitre 1 : Généralités sur les réseaux informatiques Nous allons aborder dans ce premier chapitre, quelques notions sur les réseaux. I. Les réseaux informatiques I.1. - Définition d’un réseau Un réseau informatique est un ensemble de moyens matériels et logiciels mis en œuvre pour assurer les communications (échange de messages entre utilisateurs, l’accès à distance à des bases de données ou encore le partage de fichiers) de données, et le partage de services entre ordinateurs, terminaux informatiques. Ces communications étaient, bien avant, destinées aux transports de données informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui intègrent, à la fois, des données, la voix, et la vidéo. Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à comprendre pourquoi certaines topologies existent. I.1.1 Les types de réseaux Les réseaux en fonction de la localisation, la distance et le débit, sont classés en trois types : Tableau n° 6 : Classification d'un réseau Distance entre Processus Localisation Type des réseaux 10 m Salle Réseau local (LAN) 100 m Bâtiment 1000 m = 1 Km Campus Réseau Métropolitain (MAN) 100.000 m = 100 Km Pays Réseau longue distance (WAN)1.000.000 m = 1000 Km Continent 10.000.000 m = 10.000 Km Planète Internet 100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel Source : Mémoire « Mise en place d'un réseau VPN. Cas de la BRALIMA Sarl en RDC » • LAN (Local Area Network ou réseau local en français) : Il s’´étend sur quelques dizaines à quelques centaines de mètres. C’est un réseau local, il correspond par sa taille aux réseaux intra- entreprises et permet l’échange de données et le partage de ressources. • MAN (Metropolitan Area Network ou réseau métropolitain en français) : Réseau métropolitain qui également nommé réseau fédérateur assure les communications de plusieurs sites à l’échelle d’une ville (quelques dizaines de kilomètres). • WAN (Wide Area Network ou réseau étendu au public en français) : Réseau typiquement à l'échelle d'un pays, d'un continent, ou de la planète entière, généralement celui des opérateurs. Le plus connu des WAN est Internet. Un WAN est en fait une succession de plusieurs LAN Dans ce document.
  • 23. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 23 I.1.2 Les types de topologies Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et logique. - La topologie physique : L'agencement physique, c'est-à-dire la configuration spatiale des éléments constitutifs d’un réseau est appelée topologie physique. C'est donc en d’autres termes la forme, l’architecture physique, l'apparence du réseau. Il en existe plusieurs dont la : • Topologie en bus Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus (pensez, que chaque passager peut y accéder et se trouver une place pour poursuivre le trajet). Dans cette topologie, tous les ordinateurs sont connectés entre eux par le biais d'un seul câble réseau débuté et terminé par des terminateurs. Ce qui n'est pas du tout pratique, et ceux pour 2 raisons majeures. La première est que, parce que toutes les machines utilisent le même câble, le réseau n'existe plus si le câble vient à être défectueux. Alors, il n'y aura plus de communication possible étant donné que tous les hôtes partagent un câble commun. La seconde est que, puisque le câble est commun, la vitesse de transmission est très faible. Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée. Dans cette topologie, étant donné que le câble de transmission est commun, il ne faut pas que 2 machines communiquent simultanément, sinon cela créé des collisions ! Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas assurée à 100% car tous Les hôtes peuvent voir les données destinées à un hôte du réseau, heureusement que d'autres topologies plus simples et plus pratiques existent. • Topologie en étoile (la plus utilisée) Dans un réseau en étoile, la forme physique du réseau ressemble à une étoile. Pour parler à une autre entité on passe par le matériel central (qui peut être le routeur, switch, etc.). En pratique, dans un réseau d'entreprise en étoile, au centre on trouve un switch. Le principal défaut de cette topologie, c'est que si l'élément central ne fonctionne plus, plus rien ne fonctionne : toute communication est impossible. Cependant, cette topologie est plus avantageuse que celle vue précédemment, car il n'y a pas de risque de collision de données. Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette topologie réside dans la longueur des câbles utilisés. Schéma d'un réseau en bus Schéma d'un réseau en étoile
  • 24. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 24 • Topologie en anneau Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau. Cependant, la topologie physique d'un réseau en anneau est similaire à celui du bus. En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en boucle, mais sont reliés à un répartiteur (appelé MAU, Multi-station Access Unit) qui va gérer la communication entre les ordinateurs qui lui sont reliés en impartissant à chacun d'entre-deux un temps de parole système de jeton (token) Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur une boucle et communiquent chacun à leur tour. Les deux principales topologies logiques utilisant cette topologie physique sont Token ring (anneau à jeton) et FDDI. • Topologie maillée Une topologie maillée, est une évolution de la topologie en étoile, elle correspond à plusieurs liaisons point à point (peer to peer). Concrètement, le principe de la topologie maillée est de relier tous les ordinateurs entre eux (aucun risque de voir une isolation du réseau si un des points névralgiques tombent en panne générale, l'inconvénient est le nombre de liaisons nécessaires qui devient vite très élevé. On implémente une topologie maillée afin de garantir une protection maximale contre l'interruption de service La formule pour connaitre le nombre de câbles est n(n-1) / 2, avec n le nombre d'ordinateurs. Donc rien qu'avec 20 ordinateurs par exemple, ça nous donnera 20 (20-1) / 2, soit 190 câbles ! Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle infrastructure. Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple : Internet, systèmes de contrôle en réseau d'une centrale nucléaire, armée). L'information peut parcourir le réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de routage réparties. L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien, l'information peut quand même être acheminée. Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de topologie mesh mais ne concerne que les routeurs WiFi. Schéma d'un réseau en anneau Schéma d'un réseau en maille
  • 25. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 25 - La topologie logique : La topologie logique est la structure logique d'une topologie physique, c’est-à-dire qu’elle représente la façon dont les données transitent dans les lignes de communication. Les topologies logiques les plus courantes sont Ethernet, Token Ring et FDDI. Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence physique, la forme) de votre réseau, l'autre (topologie logique) définit comment la communication se déroule dans cette forme physique. II. Les systèmes d’interconnexion Dans ce chapitre, selon le modèle OSI ou TCP/IP, nous étudierons les composants réseaux, sans oublier les supports de transmission qui nous permettent de les relier aux ordinateurs. Il sera aussi question de normalisation. II.1 - Nécessité de l’interconnexion « L’interconnexion des réseaux est la possibilité de faire dialoguer plusieurs sous réseaux initialement isolés, par l’intermédiaire de périphériques spécifiques (récepteur, concentrateur, pont, routeur, modem), dans ce cas, des équipements spécifiques sont nécessaires » Wikipédia En d’autres termes un réseau local a pour but d’interconnecter les périphériques informatiques d'une organisation, il s’avère dans la pratique que plusieurs réseaux locaux peuvent se trouver au sein d’une même organisation (université par exemple), les relier entre eux devient indispensable. Dans ce cas, des équipements spécifiques sont nécessaires. Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames de l'un sur l'autre. Dans le cas contraire, c'est-à-dire lorsque les deux réseaux utilisent des protocoles différents, il est indispensable de procéder à une conversion de protocole avant de transférer les trames. Ainsi, les équipements à mettre en œuvre sont différents selon la configuration face à laquelle on se trouve. II.2 - Normalisation II.2.1 Modèle OSI L’organisme ISO (International Organization for Standardization) en français (Organisation Internationale de Normalisation) a défini en 1984 un modèle de référence, nommé modèle OSI (de l'anglais Open Systems Interconnection) destiné à normaliser les échanges entre deux machines dans les systèmes informatiques. La normalisation émane de la volonté des gouvernements d'harmoniser les technologies afin d'assurer la compatibilité des équipements. Le modèle OSI décrit la manière dont deux éléments d’un réseau (station de travail, serveur...etc) communiquent, en décomposant les différentes opérations à effectuer en sept étapes successives, qui sont nommées.
  • 26. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 26 • Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur un canal de communication. Cette couche doit garantir la parfaite transmission des données. L’unité d’information typique de cette couche est le bit, représenté par une certaine différence de potentiel. • Couche2 : (Liaison de données) Elle va transformer la couche physique en une liaison a priori exempte d’erreurs de transmission pour la couche réseau. Elle fractionne les données d’entrée de l’émetteur en trames, transmet ces trames en séquence et gère les trames d’acquittement renvoyées par le récepteur. L’unité d’information de la couche liaison de données est la trame. • Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à parcourir à partir des adresses), des blocs de données entre les deux systèmes d’extrémités, ainsi elle contrôle également l’engorgement du sous-réseau. • Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des informations entre les deux extrémités, afin de rendre le transport transparent pour les couches supérieures, elle assure le découpage des messages en paquets pour le compte de la couche réseau et les constitue pour les couches supérieures. Un des tous derniers rôles à évoquer est le contrôle de flux. C’est l’une des couches les plus importantes, car c’est elle qui fournit le service de base à l’utilisateur, et c’est par ailleurs elle qui gère l’ensemble du processus de connexion, avec toutes les contraintes qui y sont liées. • Couche 5 : (Session) Elle assure l’échange de données, entre deux applications distantes. Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches réparties. Elle assure surtout la synchronisation de l’échange (qui doit parler, qui parle…) entre deux programmes d’application devant coopérer. Dans ce dernier cas, ce service d’organisation s’appelle la gestion du jeton. Elle assure aussi la reprise de l’échange en cas d’erreurs. • Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la sémantique des données transmises : c’est elle qui traite l’information de manière à la rendre compatible entre tâches communicantes. Elle va assurer l’indépendance entre l’utilisateur et le transport de l’information. Typiquement, cette couche peut faire la mise en forme des données, la conversion des codes (ASCII), pour délivrer à la couche application un message compréhensible. Elle peut aussi assurer le décryptage et la compression de données. • Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur et le réseau. C’est donc elle qui va apporter à l’utilisateur les services de base offerts par le réseau, comme par exemple le transfert de fichier, la messagerie. Tableau n° 7 : Diagramme du modèle OSI. Source : Wikipédia
  • 27. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 27 II.2.2 Classe d’adresse Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d’adresses IP. Ces classes correspondent à des regroupements en réseaux de même taille. Les réseaux de la même classe ont le même nombre d’hôtes maximum. • La Classe A : Le premier octet a une valeur comprise entre 1 et 126, soit un bit de poids fort égal à 0. • La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2 bits de poids fort égaux à 10. • La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3 bits de poids fort égaux à 110. • La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3 bits de poids fort égaux à 111, il s’agit d’une zone d’adresses dédiées aux services de multidiffusion vers des groupes d’hôtes (host groups). • La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit d’une zone d’adresses réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour adresser des hôtes ou des groupes d’hôtes. Tableau n° 8 : Classes des adresses IP Classe Valeur 1er Octet binaire Nbr de réseaux / Nbr d’hôtes Notation CIDR A 1.0.0.0 à 126.255.255.255 0xxx xxxx 128 réseaux (2^7) / 16 777 214 hôtes (2^24-2) /8 B 128.0.0.0 à 191.255.255.255 10xx xxxx 16384 réseaux (2^14) / 65 534 hôtes (2^16- 2) /16 C 192.0.0.0 à 223.255.255.255 110x xxxx 2 097 152 réseaux (2^21) / 254 hôtes (2^8-2) /24 D 224.0.0.0 à 239.255.255.255 1110 xxxx Multicast - Diffusion partielle - E 240.0.0.0 à 247.255.255.255 1111 xxxx Expérimentale (Réservée) - Source : https://www.inetdoc.net/articles/adressage.ipv4/adressage.ipv4.class.html Tableau n° 09 : Cas particuliers (Source : Nos réalisations) Plage IP Utilité 0.0.0.0 Utilisé pour définir une route par défaut sur un routeur 127.0.0.0 – 127.255.255.255 Localhost Loopback Address (boucle locale) 169.254.0.0 - 169.254.255.255 APIPA Automatic Private IP Addressing (65 534 hôtes)
  • 28. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 28 II.3 - Equipements d’Interconnexion des réseaux Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à mettre en relation, indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines appartenant à des réseaux physiquement distincts. Dans les sections suivantes, nous présenterons les principaux équipements matériels mis en place dans les réseaux locaux que sont : Les répéteurs, permettant de régénérer un signal Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes Les ponts (bridges), permettant de relier des réseaux locaux de même type Les commutateurs (switches) permettant de relier divers éléments tout en segmentant le réseau Les passerelles (Gateway), permettant de relier des réseaux locaux de types différents Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à permettre la circulation de données d'un réseau à un autre de la façon optimale Les B-routeurs, associant les fonctionnalités d'un routeur et d'un pont. II.3.1 Repeater (Répéteur) Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du signal, le répéteur permet d’amplifier ce signal et d’augmenter la taille d’un réseau, afin d’étendre la distance du câblage. C'est un équipement simple qui opère au niveau 1 du modèle OSI (couche physique), et qui ne nécessite aucune administration. Le répéteur génère de nouveau un signal à partir du signal reçu. On distingue deux catégories du répéteur : • StandAlone : Les débits sur les deux câbles doivent être les mêmes. • Store and Forward : Avec mémoire, il support les vitesses différents sur les différents tronçons. II.3.2 Hub (Concentrateur) Le concentrateur est un périphérique qui opère au niveau 1 du modèle OSI (couche physique), il permet de connecter plusieurs machines entre elles ; il a pour but de concentrer le trafic réseau qui provient de plusieurs hôtes, et aussi de régénérer le signal. Il réduit le trafic (segmentation). Son unique but est de récupérer les données binaires provenant d'un port et de les diffuser sur l'ensemble des ports. Ils servent à raccorder deux segments de câbles ou deux réseaux identiques (Ethernet) qui constituent alors un seul réseau logique. Ils sont en général dotés d'un port spécial appelé "Up Link". Repeater (Répéteur) Hub (Concentrateur)
  • 29. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 29 On distingue deux catégories du concentrateur : • Concentrateur Actif : Ils sont alimentés électriquement, permettant de régénérer le signal sur les différents ports. • Concentrateur Passif : Diffuser le signal à tous les hôtes sans amplification. Ne nécessitent pas une quelconque alimentation II.3.3 Bridge (Pont) Un pont est un équipement informatique d'infrastructure de réseaux de type passerelle, il opère au niveau logique c'est-à-dire au niveau de la couche 2 du modèle OSI (couche liaison de données), il permet de relier deux réseaux identiques ou deux parties de même réseau. Le pont travail comme un relais qui transmet d'un réseau à l'autre les trames dont l'adresse ne figure pas dans le premier réseau et permet donc aux deux éléments qu'il relie de fonctionner indépendamment. Son usage le rapproche fortement de celui d'un commutateur (switch), à l'unique différence que le commutateur ne convertit pas les formats de transmissions de données. Le pont ne doit pas être confondu avec le routeur. II.3.4 Les commutateurs (switches) C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les trames arrivant sur les ports d’entrées et les filtre pour aiguiller sur les ports adéquats. Il dispose d'une table d'adresses MAC des machines connectés, et qui opère au niveau 2 du modèle OSI (couche liaison de données). « Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer des circuits virtuels. La commutation est un des deux modes de transport de trame au sein des réseaux informatiques et de communication, l'autre étant le routage. Dans les réseaux locaux (LAN), il s'agit le plus souvent d'un boîtier disposant de plusieurs ports RJ45 (entre 4 et plusieurs centaines), il a donc la même apparence qu'un concentrateur (hub). Il existe aussi des commutateurs pour tous les types de réseau en mode point à point comme pour les réseaux ATM, relais de trames, etc. Il est fréquent qu'un commutateur intègre, par exemple, le Spanning Tree Protocol que l'on rencontre dans les ponts. Le commutateur est d'ailleurs souvent vu d'une manière réductrice comme un pont multiport. » Wikipédia Sa présence permet d'optimiser les performances des réseaux et d'autoriser les utilisateurs d'un réseau à accéder à toutes les ressources disponibles sur le réseau. Bridge (Pont) Les commutateurs (switches))
  • 30. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 30 II.3.5 Router (Routeur) C'est un élément intermédiaire dans un réseau informatique, assurant le routage des paquets en choisissant le chemin selon un ensemble de règles formant la table de routage. Il opère au niveau 3 du modèle OSI (couche réseau). « C’est un dispositif d’interconnexion de réseaux informatiques permettant d’assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le chemin qu’un paquet de données va emprunter. Ils sont plus puissants : ils sont capables d'interconnecter plusieurs réseaux utilisant le même protocole. » Wikipédia Il permet d'interconnecter deux entités de la couche Réseau i.e. deux réseaux proprement dits. Le routeur assure les fonctions de routage et d'aiguillage comme son nom l'indique. Le routeur sélectionne un parcours approprié pour diriger les messages vers leurs destinations. La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie par le masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée. Ces protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de communication inter sites et inter réseaux. Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de relier des réseaux locaux de types différents. II.4 - Les protocoles de routage Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système autonome. On retient les protocoles suivants : • États de lien, ils s'appuient sur la qualité et les performances du média de communication qui les séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau pour utiliser la meilleure route : OSPF • Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP • Hybride des deux premiers, comme EIGRP Les protocoles couramment utilisés sont : • Routing Information Protocol (RIP) • Open Shortest Path First (OSPF) • Enhanced Interior Gateway Routing Protocol (EIGRP) Les routeurs (routers)
  • 31. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 31 III. Les réseaux locaux virtuels (Vlan) Avant d’arriver à la conception technique globale de la solution retenue, nous ferons une étude brève sur les fonctionnalités des VLANs. Celle-ci nous permettra de définir à travers ces fonctionnalités, une meilleure planification du déploiement future. III.1 - Généralités Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel (logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs, câblage informatique inapproprié, etc.). III.2 - Avantages offerts par les Vlan Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi de nombreux avantages et permet de nombreuses applications intéressantes. Parmi les avantages liés à la mise en œuvre d’un VLAN, on retiendra notamment : • La flexibilité de segmentation du réseau : Les utilisateurs et les ressources entre lesquels les communications sont fréquentes peuvent être regroupés sans devoir prendre en considération leur localisation physique. • La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement d’éléments existants peut être réalisé rapidement. • L’augmentation considérable des performances du réseau (réduction du domaine de collision) : Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein du VLAN qui lui est associé, de la bande passante est libérée, ce qui augmente les performances du réseau. • Une meilleure utilisation des serveurs réseaux. • Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par les VLANs ne pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des communications est renforcée. III.3- Technique et méthodes d’implantation des Vlan Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de niveau 2 du modèle OSI qui supportent le VLAN. On distingue généralement trois techniques pour construire des VLANs. Nous pouvons les associer à une couche particulière du modèle OSI : • VLAN de niveau 1 ou VLAN par ports : On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte réseau à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc affectés statiquement à un VLAN.
  • 32. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 32 • VLAN de niveau 2 ou VLAN MAC : On affecte chaque adresse MAC à un VLAN. L’appartenance d’une carte réseau à un VLAN est déterminé par son adresse MAC. En fait, il s’agit à partir de l’association MAC/VLAN d’affecter dynamiquement les ports des commutateurs à chacun des VLAN. • VLAN de niveau 3 ou VLAN d’adresses réseaux : On affecte un protocole de niveau 3 ou de niveau supérieur à un VLAN. L’appartenance d’une carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu’elle utilise. III.3 - Principe du routage INTER-VLAN Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur est nécessaire ou un commutateur de couche 3. La connectivité entre les VLANs peut être établie par le biais d’une connectivité physique ou logique. Une connectivité logique implique une connexion unique, ou agrégation, du commutateur au routeur. Cette agrégation peut accepter plusieurs VLAN. Cette topologie est appelée « router-on-a-stick » car il n’existe qu’une seule connexion physique avec le routeur. En revanche, il existe plusieurs connexions logiques entre le routeur et le commutateur. Une connectivité physique implique une connexion physique séparée pour chaque VLAN. Cela signifie une interface physique distincte pour chaque VLAN. Les premières configurations de VLAN reposaient sur des routeurs externes connectés à des commutateurs compatibles VLAN. Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un routeur ou commutateur de couche 3. Le terme commutateur de couche 3 désigne un commutateur capable d’assurer une fonction de routage en plus de ses fonctions habituelles. Ainsi, au lieu d’un routeur externe, on aura un routeur interne au commutateur.
  • 33. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 33 Chapitre 2 : Les réseaux privés virtuels (VPN) Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées sur le serveur d’un siège depuis une succursale distante de plusieurs milliers de kilomètres se fait-il par exemple ? La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel). Avant l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC, ou bien des lignes louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le terme VPN sera notamment utilisé pour l’accès à des structures de type cloud computing. I. Concept de VPN En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus quand une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des succursales, des filiales, ou même donner accès à ses ressources à son personnel géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de kilomètres ? L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois son coût très élevé rend difficile son implémentation dans la plupart des entreprises, « Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme "tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi artificiellement créé. Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent "voir" les données. » Source : Commeçamarche. II. Fonctionnement d’un VPN Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling), l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe très simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes de cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se connecter directement sur le réseau de leur entreprise. Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour toutes personnes en dehors de ce tunnel en cas d’interception (écoute). Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l’entreprise.
  • 34. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 34 « De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé virtuel, sa requête va être transmise en clair au système passerelle, qui va se connecter au réseau distant par l'intermédiaire d’une infrastructure de réseau public, puis va transmettre la requête de façon chiffrée. L'ordinateur distant va alors fournir les données au serveur VPN de son réseau local qui va transmettre la réponse de façon chiffrée. A la réception sur le client VPN de l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. » III. Les protocoles de tunnelisation Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs que dans le VPN les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par le protocole de tunneling, et décapsulé par ce même protocole à l'arrivée. Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et la désencapsulation. La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même protocole aux ordinateurs communicants (PPTP, SSL, IPsec…). Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à savoir : - Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F - Les protocoles de niveau 3 tels que IPsec et MPLS - Les protocoles de niveau 4 tels que SSL et SSH Les principaux protocoles permettant de créer des VPN sont les suivants : GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine protocole transportant des paquets de couche 3, mais pouvant désormais aussi transporter la couche 2. PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics. L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2) développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète. L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole transportant des sessions PPP (couche 2). IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au protocole IKE pour l'échange des clés. L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows. VPN (Virtual Private Network)
  • 35. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 35 SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment utilisé par OpenVPN. SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté. MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2 (L2VPN) point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4 (VPNv4) et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS. Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point to Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole. III.1 - Le protocole PPP Le protocole PPP (Point To Point Protocol) est un ensemble de protocole standard garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs. Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP. Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres plateformes, sans avoir besoin d'installer un autre logiciel. Malheureusement, il est à oublier car il n'est pas réputé fiable. III.2 - Le protocole PPTP Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le protocole PPP et de les encapsuler dans un datagramme IP. Protocole en partie développé par Microsoft, il est le protocole standard pour VPN depuis sa création. Premier protocole VPN à être pris en charge par Windows, PPTP offre une bonne sécurité en s’appuyant sur toute une gamme de méthodes d’authentification, comme MS_CHAP v2, la plus courante du lot. Chaque appareil ou plateforme compatible avec un VPN a le mode PPTP par défaut, et puisqu’il est simple à configurer, il reste le choix le plus courant pour les fournisseurs de VPN, mais aussi les entreprises. Son installation ne nécessite pas de performance techniques avancées, le rendant l’un des protocoles VPN les plus rapides du marché. Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques vulnérabilités en matière de sécurité, la plus sérieuse étant la possibilité de faille de l’authentification MS-CHAP v2. À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été réparée par Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser SSTP ou L2TP à la place. Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans avoir besoin d’installer un autre logiciel. Inconvénient : Il est réputé pour n'être pas fiable.
  • 36. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 36 III.3 - L2TP et L2TP/IPsec * Le protocole L2TP (Layer 2 Tunnel Protocol) est un protocole standard développé par Cisco très proche du PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS). Layer 2 Tunnel Protocol, contrairement aux autres protocoles VPN, n’offre aucune confidentialité ni aucun cryptage au trafic qui y passe. Il est donc souvent accompagné d’une suite de protocoles appelée IPsec pour crypter les données avant leur transmission, offrant ainsi confidentialité et sécurité aux utilisateurs. Tous les appareils modernes compatibles avec un VPN et tous les systèmes d’exploitation possèdent L2TP/IPsec. La configuration est aussi rapide et simple qu’un PPTP, mais il peut y avoir des soucis, puisque ce protocole utilise le port 500 UDP, qui peut facilement se retrouver bloqué par des firewalls NAT. Il faudra donc peut-être rediriger le port si on l’utilise avec un firewall. Il n’y a pas de vulnérabilités majeures associées au cryptage IPsec, et il peut être fiable, s’il est installé correctement. * IPsec IPSEC est un "Framework " qui spécifie plusieurs protocoles à utiliser afin de fournir un standard de sécurité. Les protocoles spécifiés par IPSEC sont : Encapsulatlnq Securltv Payload : ESP Il est le plus utilisé par IPSEC, ESP va encrypter les données. ESP protège également contre des attaques basées sur du trafics " replayed "· Authentication Header : AH AH fournit l'authentification de la donnée. Il est peu utilisé, ESP étant plus efficace et cryptant le tout. Plus tard dans notre configuration nous utiliserons ESP puisqu'il permet de crypter les données en utilisant DES, 3DES ou AES. AH ne permet pas cela Internet Key Exchange : IKE IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d'authentification utilisée par le VPN. IKE va permettre d'établir un échange de clé de manière sécurisé sur un réseau " non sécurisé "· Les VPN IPSEC utilisent le protocole IKE afin d'établir une communication sécurisée entre deux « peers » à travers un réseau non sécurisé. IKE utilise l'algorithme de DIFFIE-HELLMAN afin d'échange des clés symétriques entre deux " peers " et de configurer les paramètres de sécurités associé au VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes. IKE : - Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque " peer "· - Permet de configurer une durée de vie pour la SA (Security association) de IPSEC. Une SA est un " ensemble de contrat de sécurité "· - Permet de changer les clés d'encryptions pendant la session IPSEC. - Permet de fournir des services « anti-replay ... » - Supporte l'architecture PKI. - Permet une authentification dynamique de chaque peer.
  • 37. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 37 De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il n’est pas aussi efficace que les solutions SSL, et légèrement plus lent que les autres protocoles VPN. Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires OS. Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes et peut poser problème si on l’utilise avec un firewall restrictif. III.4 - SSL (Secure Sockets Layer) / TLS (Transport Layer Security) Ce sont des protocoles permettant de sécuriser les échanges sur internet. Développé à l'origine sous le nom SSL par Netspace, l'IETF en reprend le développement en le rebaptisant TLS. Ce sont des protocoles très largement utilisé car les protocoles de la couche application comme HTTP n'ont pas besoin d'être profondément modifiés pour utiliser une connexion sécurisée. Ils sont seulement implémentés au-dessus de ces protocoles, ce qui donne pour le HTTP : le HTTPS. Avantages : Il permet l'utilisation d'un navigateur Web comme client VPN. III.5 - OpenVPN « Technologie open source relativement récente, OpenVPN utilise les protocoles SSLv3/TLSv1 et la bibliothèque OpenSSL, avec une combinaison d’autres technologies, pour offrir à ses utilisateurs une solution VPN fiable et solide. Le protocole est facilement configurable et fonctionne le mieux avec un port UDP, mais il peut être configuré pour fonctionner sur n’importe quel port, rendant difficile pour Google et d’autres services similaires de le bloquer. Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL prend en charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES, Camellia, Blowfish, CAST-128 et bien plus encore, même si Blowfish et AES sont presque exclusivement utilisé par les fournisseurs de VPN. Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le considère comme la référence absolue. C’est tout simplement parce qu’il n’a pas de faille connue, et il a été adopté par le gouvernement américain et ses agences pour protéger des données sécurisées. Tout d’abord, la vitesse de performance de protocole OpenVPN dépend du niveau de cryptage utilisé, mais c’est en principe plus rapide que IPsec. Au niveau de la configuration, c’est un peu plus ardu quand on compare avec L2TP/IPsec et PPTP, particulièrement quand on utilise le OpenVPN classique. Non seulement il vous faudra télécharger et installer le client, mais aussi des fichiers de configuration additionnels, peu évidents. De nombreux fournisseurs de VPN vivent ce problème de configuration dû au nombre de clients VPN customisés. Les preuves mathématiques indiquent qu’OpenVPN, quand il est combiné à un cryptage solide, est le seul protocole VPN qui peut être considéré comme sûr. » Source : https://fr.vpnmentor.com Avantage : Hautement sécurisé et configurable. Il peut contourner facilement les pares-feux et étant open source, on peut facilement vérifier la présence de backdoors. Inconvénients : Nécessite des logiciels tiers.
  • 38. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 38 IV. Différentes catégories de VPN Il existe 02 grandes catégories d’utilisation des VPN. En étudiant ces schémas d’illustration, il est possible d’isoler les fonctionnalités indispensables des VPN. IV.1 – VPN to site ou VPN nomade ou VPN Remote-Access Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au réseau privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans y être physiquement présent. Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se connecter au réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas : - L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès et c'est le Nas qui établit la connexion cryptée. - L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement la communication de manière cryptée vers le réseau de l'entreprise. Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients : - La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de connexion par le NAS n'est pas cryptée ce qui peut poser des problèmes de sécurité. - La deuxième méthode, ce problème disparaît puisque l’intégralité des informations sera cryptée dès l’établissement de la connexion. Par contre, cette solution nécessite que chaque client transporte avec lui le logiciel, lui permettant d’établir une communication cryptée. Pour pallier à ce genre de problème certaines entreprises mettent en place des VPN à base du protocole SSL, technologie implémentée dans la majorité des navigateurs Internet du marché.
  • 39. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 39 Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien l’importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés" (utilisation de mots de passe aléatoires) ou par certificats numériques. IV.2 - L'intranet VPN ou VPN Site-to-Site L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de données clients, informations financières...). Des techniques de cryptographie sont mises en œuvre pour vérifier que les données n'ont pas été altérées, on parle d’intégralité. Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés font appel à des signatures numériques qui sont ajoutées aux paquets. La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen voir faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour assurer une sécurité raisonnable.
  • 40. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 40 Chapitre 3 : Administration et sécurité I. GESTION DE L’ADRESSAGE Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d’adresses IP qui correspondent à des regroupements en réseaux de même taille. Les réseaux de la même classe ont le même nombre d’hôtes maximum. En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la configuration des différents nœuds (poste, routeur) du réseau. En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans adresses broadcast et réseau) et a un masque réseau qui est 255.255.255.0. Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette classe à chacun des sites. Les adresses étant différentes, les différents sites ne pourront pas communiquer sans l’implémentation d’un mécanisme de routage soit par un routeur ou un commutateur multicouche (commutateur faisant le routage IP). Nous opterons pour le commutateur multicouche, étant donné qu’il est plus rapide dans le traitement en interne. Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la segmentation et réduire le domaine de collision. Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que les communications autorisées, des VLAN et un routage Inter-VLAN sera définis. Tableaux n° 10 : Tableaux donnant une répartition des Vlans et de l’adressage Source : Nos réalisations Equipements Login par défaut IP dans le réseau Routeur & Switch 192.168.1.0/24 Vlan 1 Serveur de Domaine & Hyperviseur 192.168.2.0/24 Vlan 2 Copieurs IP & Imprimantes 192.168.3.0/24 Vlan 3 Téléphone IP + Autocom VoIP 192.168.4.0/24 Vlan 4 Pointeuse Biométrique (IP) 192.168.5.0/24 Vlan 5 Camera et Serveur de Vidéosurveillance 192.168.6.0/24 Vlan 6
  • 41. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 41 II. SECURITE DES LIAISONS ET DE L’ACCES AUX SERVICES Dès lors que le réseau privé transite par internet, le problème de la sécurité se pose : les informations qu’il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le monde, l’infrastructure réseau n’y échappent pas aussi. Il convient donc de mettre en place toute une politique de sécurité pour garantir un maximum de sécurité. II.1 - Charte de sécurité La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les utilisateurs dans le but de faciliter le déploiement de la politique sécurité. Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre accès aux ressources informatiques, électroniques et numériques dans le respect de la légalité. Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils pourraient encourir et des conséquences de tels risques. Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du réseau à déployer, en les éduquant aux bonnes conduites à tenir. II.2 – Sécurité logicielle C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger le réseau contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même de l’intérieur. - Pare-feu et Antivirus : • Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau filtrant tout ce qui entre et tout ce qui sort du réseau (services Netbios, RPC, Telnet, NFS…). • Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux données confidentielles. • Installer des programmes antivirus mis à jour régulièrement sur tous les postes. - Authentification : • Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2- PSK(AES). • Authentification avec code d’accès pour les utilisateurs Wifi. • Mise en place de mots de passe sur les nœuds les plus importants du réseau (serveur, routeur). - Autres : • Configurer des VLANs relatifs aux différents services à l’intérieur de chaque site dans le but de ne permettre que les communications autorisées entre ces services. • Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) : HTTPS, SSH, IMAPS, DNSSEC, etc.
  • 42. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 42 II.3 Sécurité physique Elle concerne tous les dispositifs déjà mis en place pour assurer le bon fonctionnement et la protection des équipements. - Protection électrique des équipements Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de protéger des matériels électroniques contre les aléas électriques. Il s’agit ainsi d’un boîtier placé en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger afin d’éviter des pertes de données et des interruptions de service, voire des dégâts matériels. - Protection Mécanique des équipements Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets sécurisés (panneaux de brassage) pour éviter tout désagrément. Les équipements du réseau cœur seront par ailleurs centralisés dans la salle serveur qui est mieux protégée par une porte à accès biométrique si possible. - Système de refroidissement Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés d’un split fonctionnant à une température abordable afin de protéger les composants électroniques. Conclusion de la deuxième partie Cette partie de nos recherches, est une partie charnière qui a eu pour effet de mieux appréhender la teneur de notre projet tout en cernant mieux les contours. Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en place des VPN intersite et qu’une technologie, l’IPSec semblent s’imposer aujourd’hui pour la construction des VPN site-to-site. Nous avons appris plusieurs points clés tel que : - La technologie IPSec permet d’offrir des services de sécurité classiques (authentification, confidentialité, intégrité, etc.) pour chaque datagramme transitant par un réseau de transport (par exemple, Internet). - Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un fournisseur de service dans le cadre d’infogérance. Deux limitations essentielles sont à retenir pour cette technologie : (1) elle ne permet pas de gérer la qualité de service en cœur du réseau ; (2) elle ne transporte que les datagrammes IP.
  • 43. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 43 Troisième partie : Mise en œuvre de l’interconnexion
  • 44. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 44 Introduction de la troisième partie Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment mettre en place un système VPN. Les chapitres de cette partie présentent donc de façon analytique cette étude de cas : - Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de mettre en exergue les besoins en moyen tant logistiques que matériels pour la bonne exécution du projet aussi il sera fait mention du planning. - Le chapitre 2 traite la configuration des équipements VPN, partie essentielle de notre mémoire, ce chapitre sera notre champ d’étude approfondi. - Le chapitre 3 aborde la question de l’estimation financière du projet.
  • 45. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 45 CHAPITRE I : Plan d’action de déploiement Les tunnels VPN IPsec de site à site sont utilisés pour permettre la transmission sécurisée de données, de voix et de vidéo entre deux ou plusieurs sites (Dans notre cas entre notre siège et nos succursales). Le tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un certain nombre d’algorithmes de cryptage avancés pour assurer la confidentialité des données transmises entre les deux sites. Aussi, il a été défini un programme d’exécution des tâches en vue de la réalisation du projet. Celui-ci met en synergie plusieurs moyens qui seront défini ci-après. I. Les moyens I.1 - Moyens humains Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et peut en être l'architecte. Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron, le maître d'œuvre est responsable du bon déroulement des travaux et joue un rôle de conseil dans le choix des entreprises qui vont les réaliser. Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier des clauses administratives particulières. Dans notre cas, à la SOROUBAT, le département informatique tient ce rôle pour ce qui est du projet réel de conception d'un réseau VPN site-à site. Le maître d'ouvrage, qui se comporte dans ce cas comme le commanditaire du projet reviendra à la direction de la SOROUBAT. En principe, une fois le projet réalisé et livré, il est important de déléguer d’ordinaire la responsabilité du suivi du système mis en place à un personnel spécial du Département Informatique. I.2 - Moyens matériels Les équipements définis dans le tableau ci-après ont été choisi selon les principes de : - Performances, haute sécurité et fiabilité haut de gamme ; - Configuration rapide et facile ; - Prise en charge d’un éventail extrêmement large d’applications sur une même plateforme avec, notamment, l’intégration des données, de la voix, de la vidéo ; Equipements Quantité Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U (Pour les 05 sites distants) 05 Switch CISCO Small Business SG 350X -48 – Rackable 48 X 1000Base-T 05 Onduleur UPS 2000 VA (Pour armoire informatique) 05 Tableau n° 11 : Equipements à Installer
  • 46. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 46 Les équipements sont fournis par la SOROUBAT et installés par nos services. I.3 - Moyens logistiques Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les différents sites durant tout le déploiement. Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer sur un avion de la compagnie AIR IVOIRE, le coût du transport étant à la charge de la SOROUBAT. Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi instantanée. II. Nombre de sites à installer Nous aurons à installer trois (3) sites selon les coordonnées suivantes : Tableau n° 12 : Coordonnées Géographiques des sites à installer Source : Nos réalisations III. Le planning - Une moyenne de 1 jour par site est prévue - Une marge de manœuvre de 3 jours pour les déplacements et divers (Voir tableau ci-dessous) Tableau n° 13 : Planning des installations Source : Nos réalisations Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril 2017. Après dépôt préalable du projet le 03 Avril 2017 auprès du service Financier de SOROUBAT pour validation du budget. Le chronogramme détaillé de ce planning donne le programme qui suit : • Jusqu’ au Mercredi 03 Mai 2017 : Configuration des équipements ; • Lundi 08 Mai 2017 : Effectuer des tests de latence du réseau et de l’accessibilité aux services VPN sur tous les sites distants ; SITES Longitude Latitude Distance Taabo 6.256893 -5.138010 161,72 Km Bassam 5.213186 -3.749728 32.6 Km Odienné 9.672539 -6.945121 559,57 Km Daloa 6.895249 -6.466118 319.92 Km PK 22 5.409668 -4.156859 18.97 Km SITE DATE Taabo 03 Jours Bassam 02 Jours Odienné 05 Jours Daloa 03 Jours PK 22 01 Jours TOTAL 14 Jours
  • 47. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 47 Chapitre 2 : Configuration des équipements et services. L’installation, la configuration des serveurs et des équipements d’interconnexion (routeurs et switch) se feront de façon identique sur les cinq sites distants. Pour éviter la redondance nous vous présenterons les configurations sur un routeur à titre de référant pour les autres switch et routeurs configurés. On dispose d’un Switch de niveau 3 (48ports FastEthernet, 2 ports Gigabits) et d’un routeur (1 port Gigabit, 1 port série). On souhaite diviser le switch en 6 VLANS disposant chacun de 6 Interfaces Fa. I. Configuration Vlan du switch CISCO Switch CISCO Small Business SG 350X (48 Ports) 1. VLAN1 : 192.168.1.0 / 255.255.255.0 Fa0/1-Fa0/8 (vlan10 routeur) 2. VLAN2 : 192.168.2.0 / 255.255.255.0 Fa0/9-Fa0/16 (vlan20 PC) 3. VLAN3 : 192.168.3.0 / 255.255.255.0 Fa0/17-Fa0/24 (vlan30 imprimante) 4. VLAN4 : 192.168.4.0 / 255.255.255.0 Fa0/25-Fa0/32 (vlan40 VoIP) 5. VLAN5 : 192.168.5.0 / 255.255.255.0 Fa0/33-Fa0/40 (vlan50 pointeuse) 6. VLAN6 : 192.168.6.0 / 255.255.255.0 Fa0/41-Fa0/48 (vlan60 camera) Etape 1 : Configuration du nom et mot de passe du switch Switch>en Switch#configure terminal Enter configuration commands, one per line. End with CNTL/Z. Switch (config)#hostname SRBCI SRBCI (config) #enable secret admin@sorou Création des Vlan et des SVI (IP de gestion aux commutateurs) « On crée et on configure les VLAN 1, 2, 3, 4, 5 et 6 avec respectivement les adresses 192.168.1.254, 192.168.2.254, 192.168.3.254, 192.168.4.254, 192.168.5.254, 192.168.6.254 et un masque de 255.255.255.0. NB : Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP à chaque VLAN créer sur un switch, sauf dans le cas d’un switch niveau 3. Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée pour chaque VLAN. Cependant, cela permet dans une certaine mesure de tester le routage inter-vlan sans avoir besoin de connecter de machine sur le switch. » SRBCI (config)#vlan 1 SRBCI (config-vlan)#name routeur SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 1 %LINK-5-CHANGED: Interface Vlan1, changed state to up SRBCI(config-if)#ip address 192.168.1.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit
  • 48. MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET BATIMENTS) ESGI / UFRA DENAGNON FRANCK Page 48 SRBCI(config)#vlan 20 SRBCI(config-vlan)#name PC SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 20 %LINK-5-CHANGED: Interface Vlan20, changed state to up SRBCI(config-if)#ip address 192.168.2.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit SRBCI(config)#vlan 30 SRBCI(config-vlan)#name Imprimante SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 30 %LINK-5-CHANGED: Interface Vlan30, changed state to up SRBCI(config-if)#ip address 192.168.3.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit SRBCI(config)#vlan 40 SRBCI(config-vlan)#name VoIP SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 40 %LINK-5-CHANGED: Interface Vlan40, changed state to up SRBCI(config-if)#ip address 192.168.4.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit SRBCI (config)#vlan 50 SRBCI(config-vlan)#name Pointeuse SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 50 %LINK-5-CHANGED: Interface Vlan50, changed state to up SRBCI(config-if)#ip address 192.168.5.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit SRBCI(config)#vlan 60 SRBCI(config-vlan)#name Camera SRBCI(config-vlan)#exit SRBCI(config)#interface vlan 60 %LINK-5-CHANGED: Interface Vlan60, changed state to up SRBCI(config-if)#ip address 192.168.6.254 255.255.255.0 SRBCI(config-if)#no shut SRBCI(config-if)#exit Activation du routage sur le switch SRBCI(config)#ip routing Attributions des interfaces Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs ports à partir des commandes suivantes : SRBCI (config)#interface nom_interface SRBCI (config-if)#switchport mode access