Boubaker KHERFALLAH, profile picture
Téléchargé parBoubaker KHERFALLAH
8,577 vues

Projet reseau-de-kherfallah-ipm-2010-2011

Ce document présente une architecture réseau LAN/WAN proposée pour la Compagnie d'Assurance de Marseille, axée sur l'intranet, la gestion électronique de documents et l'e-learning. Les objectifs principaux incluent l'extensibilité, la disponibilité, la sécurité et la facilité de gestion, tout en utilisant une infrastructure matérielle unifiée de type Cisco. Le réseau est organisé en zones fonctionnelles, segmenté par VLAN pour assurer la sécurité et l'efficacité de la bande passante, avec un plan d'adressage et de nommage soigneusement conçu.

Intégrer la présentation

Téléchargé 594 fois
MODULE : Réseaux PROJET DE CONCEPTION DE RESEAU Cas : Assurance de Marseille Réalisé par : KHERFALLAH Boubaker Master 2 IPM Université de Lille1 Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin de la compagnie assurance de Marseille : Intranet, GED, e-Learning. 1
OBJET DU PROJET L’objet du projet est de proposer une solution d’architecture pour le réseau de la compagnie assurance de Marseille .Ce réseau doit être dimensionné en fonction des types d’utilisation, de l’entité utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles et des utilisateurs du réseaux… ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATION LORS DE LA CONCEPTION : Les bases de ma conception se résument à quatre objectifs fondamentaux : Extensibilité : Les conceptions de réseau extensibles donnent la possibilité d’accueillir de nouveaux groupes d’utilisateurs et de sites distants et peuvent prendre en charge de nouvelles applications sans affecter le niveau de service fourni aux utilisateurs déjà existants. Disponibilité : Un réseau conçu pour être disponible fournit, 24 heures sur 24 et 7 jours sur 7, des performances constantes et fiables. En outre, la défaillance d’une seule liaison ou d’une partie du matériel ne doit pas avoir d’impact important sur les performances réseau. Sécurité : La sécurité doit être prévue dès la conception du réseau et non ajoutée après sa réalisation. La planification de l’emplacement des dispositifs de sécurité, des filtres et des pare-feu est primordiale pour assurer la protection des ressources du réseau. 1
Facilité de gestion : Quelle que soit la qualité de la conception initiale du réseau, le personnel en charge du réseau doit être capable de le gérer et de le prendre en charge. Un réseau trop complexe et difficile à maintenir ne peut pas fonctionner efficacement. I- SIEGE DE MARSEILLE : ARCHITECTURE PROPOSÉE 1.1 TOPOLOGIE DE RÉSEAU: 1.1.1 ARCHITECTURE GÉNÉRALE L’architecture que je viens de proposer se base sur une conception hiérarchique divisée en trois couches : ● Cœur de réseau : assure la commutation à haut débit (optimisation du transport). ● Réseau de distribution : assure une connectivité fondée sur les stratégies. ● Accès : permet aux utilisateurs et aux groupes de travail d'accéder au réseau. NB : dans les entreprises de petite taille, il n’est pas rare d’implémenter un modèle fédérateur, où la couche de distribution et la couche coeur de réseau se trouvent au sein d’une seule et même couche.  Dans notre cas : un commutateur de couche distribution joue le rôle de fédérateur. Avantage d’un réseau hiérarchique : - évolutivité : les réseaux hiérarchiques peuvent être aisément étendus. - redondance : la redondance au niveau de la couche cœur réseau et distribution garantis la disponibilité des chemins d’accès. - performance : l’agrégation des liaisons garantis une vitesse proche de celle de câble à travers le réseau. - sécurité : sécurité des ports au niveau de la couche accès réseau et les stratégies au niveau de la couche de distribution renforcent la sécurité de réseau. -facilité de gestion : la cohérence entre les commutateurs à chaque niveau simplifie la gestion. -maintenance : via la modularité hiérarchique la maintenance devient facile. 1.1.2 LE MATÉRIEL J’ai choisi d’uniformiser le type de matériel déployé sur l'ensemble de mon architecture. Cela aura plusieurs avantages : 1
Tous les équipements sont de même marque ce qui évite tous problèmes de compatibilité entre les protocoles propriétaires. Et même plus il nous permet d’exploiter pleinement les protocoles développés par le constructeur. J’ai donc choisi de prendre du matériel Cisco puisque ce sont des équipements fiables qui ont fait leur preuve. Les équipements d’interconnexion: Equipement d’interconnexion Fonctions symbole Routeurs Cisco 2811 fonctionnalités avancées : • Large éventail d’options de réseau LAN et WAN. possible évolution pour s’adapter aux futures technologies. Routage vers la destination • Plusieurs types finale d’emplacements qui permettent d’ajouter des options de connectivité et des services à mesure que l‘entreprise se développe • avec la plate-forme logicielle Cisco IOS Security, permettent de bénéficier de la protection des liaisons de réseau WAN et des services VPN. -Prise en charge de la Switch Catalyst 3570 couche 3 - débit de transfert élevé. (Pour la couche distribution) -Ethernet gigabits/ Ethernet 10 gigabits - composants redondants -stratégies de sécurité/liste de contrôle d’accès -agrégation des liaisons -qualité de service -sécurité des ports Switch Catalyst 2960 -réseau locaux virtuel -Fast Ethernet /gigabit Ethernet (pour la couche accès réseau) Fonctionnalité d’un commutateur de couche 3 : 1
Les commutateurs de couche 3 peuvent exécuter des fonctions de routage de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de couche 3 disposent d’un matériel de commutation spécialisé, l’acheminement des données est généralement aussi rapide que la commutation. Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manière similaire à un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, à défaut d’exploiter les informations d’adresses MAC de couche 2 pour toute décision en matière de transmission, un commutateur de couche 3 peut également exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces. Il peut alors orienter le trafic sur le réseau sur la base des informations recueillies sur les adresses IP. Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites) - Switch catalyst Cisco 3750 - 4 Switch catalyst 2960 de 24 ports 1.1.3 SCHÉMA DE CÂBLAGE Sur le deuxième étage, un local de répartiteur principal constituera le point central de raccordement du câblage LAN ainsi que le point de présence de la connexion WAN. Les principaux composants électroniques du réseau, notamment les routeurs et les commutateurs LAN, seront hébergés à cet emplacement. - Le câblage horizontal comprendra des câbles à paires torsadées non blindées de catégorie 5 et devra accepter un débit de 100 Mbits/s de norme TIA/IEA-568-B. - Le câblage vertical (backbone) comprendra des câbles à fibre optique multi- mode. 1
1.2 SERVEURS ET FONCTIONS 1.2.1- Emplacement des serveurs : (batterie des serveurs) Il est très difficile d’administrer et de sécuriser un grand nombre de serveurs lorsqu’ils sont distribués sur plusieurs sites d’un même réseau. C’est pourquoi ils sont fréquemment centralisés sous forme de batteries de serveurs (terme utilisé par Cisco). Ces batteries de serveurs sont généralement regroupées dans un local central. Cisco donne à ce stade des recommandations concernant la séparation des modules fonctionnelles dans un réseau de la façon suivantes : Campus d’entreprise : cette zone contient les éléments de réseau nécessaires à une exploitation indépendante, au sein d’un réseau local. Batterie de serveurs : composant de campus d’entreprise ; la batterie de serveurs protège les ressources de serveur et fournit une connectivité haut débit fiable et redondante. (Généralement constituée des serveurs principaux et des serveurs de sauvegarde pour l’équilibrage de charge, la redondance et la tolérance de panne). Périphérie du réseau d’entreprise : lorsque le trafic de données arrive au réseau de l’entreprise, cette zone le filtre et le sépare des ressources extérieures, pour l’acheminer vers le réseau 1
d’entreprise. Elle contient tous les composants nécessaires à une communication efficace et sécurisée entre le campus d’entreprise et les sites distants, les utilisateurs distants et Internet. Avantage d’une telle conception du réseau : La structure modulaire des architectures d’entreprise (inspiré de l’architecture des entreprises chez Cisco) offre les avantages suivants en termes de conception : - Elle crée un réseau déterministe doté de frontières clairement définies entre les modules. Ces points de démarcation clairs permettent au concepteur du réseau de savoir exactement d’où vient le trafic et où il va. - Elle facilite le travail de conception en rendant chaque module indépendant. Le concepteur peut alors se concentrer sur les besoins de chaque zone, de manière individuelle. - Elle améliore l’extensibilité du système en permettant à l’entreprise de rajouter facilement de nouveaux modules. Lorsque la complexité du réseau augmente, il suffit au concepteur d’ajouter de nouveaux modules fonctionnels. - Elle permet au concepteur d’ajouter des services et des solutions sans avoir à modifier la structure sous-jacente du réseau. Donc au sein de notre réseau est segmenté en deux zones, la zone serveurs et la zone utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi segmentée de telle sorte à avoir un service par vlan. Chaque services ainsi que leurs serveurs (Ressources humaines, comptabilité, finances ...) se trouvera sur un vlan différent afin de segmenter au mieux notre réseau, d'en faciliter l’administration, gérer la bande passante et d'augmenter la sécurité. 1
Fig. : Schéma logique de l’architecture de réseau de siège de Marseille.  Dans ce schéma : le nombre des ordinateurs et serveurs n’est pas exhaustif, c’est juste schématisation des frontières de chaque zone. 1.2.2- Fonctions : Tous les serveurs seront classés en tant que services de type Entreprise ou Groupe de travail et seront placés dans la topologie du réseau selon leur fonction et le trafic utilisateur prévu. 1- LES SERVEURS D’ENTREPRISE : (QUI COMPOSENT L’INTRANET) Services de Noms de Domaine (DNS) : Service de résolution de nom dynamique. Ce serveur est chargé de traduire un nom en adresse IP. il permet d'accéder simplement aux ressources du Web sans avoir à noter des adresses IP difficile à retenir, il fera la même chose soit à a l'intérieur de d’un réseau soit sur internet. 1
Serveur active directory (AD) : Sert pour l’authentification des utilisateurs de la compagnie lors de l’exploitation des ressources de réseau et gère les droits d’accès au système d'information de l’entreprise. Ce serveur est le contrôleur de domaine de la compagnie d’assurance (service active directory) sous Windows 2003 server. Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris et dunkerque Serveur Web (HTTP) : nécessaire pour l’accès aux ressources web de la compagnie. Serveur E-Learning : qui héberge la plateforme e-Learning de la compagne, elle est accessible aussi par les employés des succursales Paris et Dunkerque. Serveur GED : outils de gestion de documents et échanges et partages de fichiers entre collaborateur de la compagnie. Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue automatiquement une adresse IP et toutes les données de configuration nécessaires a un bon fonctionnement a chaque machine au moment de sa mise en service sur le réseau. Plus de liste de paramètres à configurer sur les postes clients. 2- LES SERVEURS DE GROUPE DE TRAVAIL : SERVEUR D'APPLICATIONS propres a chaque service d’entreprise (finance, comptabilité, contrats d’assurance ….) Toutes les applications informatiques seront hébergées par un serveur propre à chaque service (par la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications telles que gestion des contrats d’assurances, finance,…etc. 1
1.3 LES DEBITS A partir de l’hypothèse que les applications utilisées par la compagnie assurance de Marseille sont gourmandes et consommatrice de la bande passante, j’ai opté pour des liens de en fibre optique pour les liaisons verticales et restent évolutifs en fonction du nombre de Switch empilés.  Politique des VLANs Un réseau local est défini par un domaine de diffusion. Tous les hôtes d'un réseau local reçoivent les messages de diffusion émis par n'importe quel autre hôte de ce réseau. Par définition, un réseau local est délimité par des équipements fonctionnant au niveau 3 (couche réseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau 2(notamment de réduire le domaine de collision) et de sécuriser le réseau. L’objectif principal étant de segmenter ce domaine de diffusion pour utiliser efficacement la bande passante et d’assurer la sécurité des données transitant sur le réseau de la société, de ce fait chacun des services de la société sera cloisonnés sur un vlan. 2 ADRESSAGE ET NOMMAGE 2.1 ADRESSAGE : Le plan d'adressage est la stratégie que l'on va appliquer afin de relier les différentes entités de notre réseau de la manière la plus optimale. C'est-à-dire afin que le réseau soit le plus rapide possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne). Pour ce faire, je suis partis du principe que pour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast à l'aide de VLANs. De plus, on doit prendre en compte certains éléments primordiaux pour la réalisation du plan d'adressage. Tout d'abord, il me faut un plan d'adressage évolutif. En effet, on doit pouvoir s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra être capable d'accueillir des nouvelles entités sans subir aucun changement particulier.  A l'intérieur de notre réseau, on ne définira pas de sous réseaux pour les différents services mais on utilisera plutôt une solution à base de VLAN afin de réduire le nombre de routeur. 1
2.1.1 Adressage des serveurs et des postes de travail. Le nombre de postes dans la compagnie Marseille assurance ne dépasse pas les 50 postes donc, j’ai opté pour l’adressage en classe C. Nous avons fait le choix d’adresser les actifs (routeurs, commutateurs) et les serveurs avec les adresses d’hôtes les plus faibles : ce sont des adresses IP fixes. Les postes de travail seront adressés avec les adresses restantes et se les verront attribuer Dynamiquement. Le siège de Marseille dispose d’un serveur DHCP configuré pour distribuer les adresses aux clients. Tous les ordinateurs des serveurs seront dotés d'adresses statiques et les ordinateurs réservés aux employés via le protocole DHCP. Donc les machines peuvent êtres adressées de 192.168.1.50 à 192.168.1.100 (mon hypothèse est basée sur un nombre de 50 postes dans le siège de Marseille). 2.1.2 Plan d’adressage : Il était possible de découper notre réseau en sous réseaux, mais je suis parti du principe que pour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast à l'aide de VLANs. Il ya une possibilité de regrouper plusieurs service sur le même serveur matériel, comme on peut ces services dans des serveurs indépendants (selon l’aspect cout). Elément Adresse IP masque de sous réseaux Interface interne du routeur 192.168.1.1 255.255.255.0 (passerelle) Serveur DNS + Serveur active 192.168.1.2 255.255.255.0 directory (AD) (sur la même machine) Serveur web 192.168.1.3 255.255.255.0 Serveur de messagerie 192.168.1.4 Serveur DHCP 192.168.1.5 255.255.255.0 Serveur GED 192.168.1.6 Serveur hébergeant la plate forme e- 192.168.1.7 255.255.255.0 Learning Les postes utilisateurs Adresse attribuée par le serveur 255.255.255.0 DHCP : Plage : 192.168.1.50 à 1
192.168.1.100 Les serveurs de groupe de travail qui Adresses fixes à partir de 255.255.255.0 hébergent les applications de : 192.168.1.200 (finance, comptabilité, contrats d’assurance) -  Les serveurs propres à chaque service se situent dans leur propre VLAN. 2.1.3 Plan de nommage : Nom de domaine : marsassurance.fr Serveur web : www.marsassurance.fr Serveur messagerie : mail.marsassurance.fr 1
Serveur e-Learning : learn. marsassurance.fr  Le nom de domaine et les FQDN de chaque serveur sont à configurer sur le serveur DNS de la compagne. 3 –Sécurité : Mise en œuvre d’un pare-feu afin de sécuriser toutes les applications exposées à Internet sur le routeur Cisco 2811 via ses fonctionnalités intégrées : - Détection des intrusions (IDS). - Filtrage des URL - Les listes de contrôle d’acées (ACL). II- Connectivité des sites distants (Paris et Dunkerque) Les deux sites distants existants, un à Paris et l’autre située à dunkerque.. Doivent pouvoir accéder à la plateforme e-Learning situées sur un serveur à l’assurance Marseille. L’un des objectifs prioritaires du nouveau réseau consiste à étendre. Voici les deux connexions distantes supplémentaires prévues : 1
1- L’adressage dans le réseau WAN : - Système NAT L’adressage privé (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse considérable dans la conception de leur réseau. Des schémas d’adressage pratiques aux niveaux du fonctionnement et de l’administration peuvent ainsi être utilisés, et la croissance est plus simple à gérer. Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et qu’il n’existe pas suffisamment d’adresses publiques pour nous permettre d’en fournir une à chacun de nos hôtes, les réseaux ont besoin d’un mécanisme pour traduire les adresses privées en adresses publiques à la périphérie du réseau ; ce mécanisme doit pouvoir fonctionner dans les deux sens. Sans système de traduction, Les hôtes privés derrière un routeur dans le réseau de Paris ne peuvent pas se connecter aux hôtes privés derrière un routeur dans le réseau de Marseille via Internet. Donc on doit configurer un mécanisme de traduction d’adresses de réseau qui s’appel (NAT) sur les trois routeurs (Marseille, paris et dunkerque) pour procurer un accès à Internet. Adresses IP de l’Interface WAN de routeur masque de sous réseaux 1
Marseille : 209.165.201.1 255.255.255.224 Paris : 209.165.200.225 255.255.255.224 Dunkerque : 209.165.202.129 255.255.255.224 Puisque la compagnie possède 3 adresses publiques pour gérer des dizaines de machines dans chaque réseau, le type de NAT à configurer sur les 3 les routeurs et le NATING par port, 2- Comment sécuriser l’accès distant ? Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au réseau de Marseille pour la plateforme e-Learning. Et ils ont besoin dans certains cas d’accéder ressources réseau sur le réseau de Marseille. Cette connexion concerne des informations d’un aspect privé, elle doit être impérativement sécurisée. Donc dans ce cas, Il faut déployer un système de sécurité pour : – Protéger les communications inter -sites (Marseille, Paris, Dunkerque) – Autoriser les accès licites distants à la plateforme e-Learning et aux services intranet de Marseille : À partir de Paris et Dunkerque. Il s’agit ici d’une connexion site-à-site entre (Marseille-paris) et (Marseille-Dunkerque), la technologie la plus adapté à cette situation VPN site-à-site est la technologie IPSEC basée sur le tunneling. Dans ce cas on va créer un réseau privé (celui de la compagnie d’assurance) via un réseau public (internet) . 1
La configuration de VPN IPSec va se faire sur les trois routeurs des sites (Marseille, dunkerque et Paris). 3- Des services supplémentaires sur les sites distants : Afin de faciliter l’accès aux serveurs de site distant de Marseille, j’ai opté d’installé dans chacun des sites paris et dunkerque un serveur de noms local peut faire office de cache et répondre plus rapidement que l'interrogation du serveur de noms faisant autorité situé sur le site de Marseille. III- Schéma général du réseau. 1
 Configuration sur le routeur Cisco 2811 (Marseille, Dunkerque, Paris) : - Protocole de routage OSPF - Translation d’adresses NAT - Liste de contrôle d’accès - VPN - firewall IDS 1

Contenu connexe

PPTX
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
PDF
rapportfinal
parHamza Ben Marzouk
 
PDF
Le Pare-feu: Limites, Performances et Meilleures Pratiques
parMohamed Sabra
 
PDF
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
parKarima Torkhani
 
PPTX
RADIUS ET TACACS+.pptx
parZokomElie
 
PDF
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
PPTX
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
parRihab Chebbah
 
PDF
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
parSalmen HITANA
 
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
rapportfinal
parHamza Ben Marzouk
 
Le Pare-feu: Limites, Performances et Meilleures Pratiques
parMohamed Sabra
 
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
parKarima Torkhani
 
RADIUS ET TACACS+.pptx
parZokomElie
 
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
Implémentation de la QoS au sein d'un IP/MPLS - Présentation
parRihab Chebbah
 
Mise en place d’une solution de tests de sécurité pour les passerelles réside...
parSalmen HITANA
 

Tendances

PDF
Mise En Place d'une Solution de Supervision Réseau
parYaya N'Tyeni Sanogo
 
PDF
Rapport projet fin d'étude
parHibaFarhat3
 
PDF
Rapport projet pfe
parHicham Moujahid
 
PDF
projet fin d'étude IWAN
parMed Amine El Abed
 
PDF
Connexion point à point (ppp, hdlc)
parEL AMRI El Hassan
 
PDF
Rapport de stage bts
parLOUKOU JOEL ANGA
 
PDF
sécurité informatique
parMohammed Zaoui
 
PDF
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
PDF
Rapport finiale
parmarwenbencheikhali
 
PDF
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
PDF
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
DOC
Rapport de stage nagios
parhindif
 
PDF
Rapport de Stage -Finale.pdf
parWaelTOUMI2
 
PDF
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
parbamaemmanuel
 
PDF
Introduction aux réseaux locaux
parInes Kechiche
 
PPT
Etude et mise en place d’un VPN
parCharif Khrichfa
 
PDF
RAPPORT DE STAGE SSI - Copie.pdf
parJoelChouamou
 
PDF
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
PDF
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
parEmeric Kamleu Noumi
 
PPTX
Mise en place d’un réseau sécurisé d’entreprise.pptx
parIyedJNIyedjn
 
Mise En Place d'une Solution de Supervision Réseau
parYaya N'Tyeni Sanogo
 
Rapport projet fin d'étude
parHibaFarhat3
 
Rapport projet pfe
parHicham Moujahid
 
projet fin d'étude IWAN
parMed Amine El Abed
 
Connexion point à point (ppp, hdlc)
parEL AMRI El Hassan
 
Rapport de stage bts
parLOUKOU JOEL ANGA
 
sécurité informatique
parMohammed Zaoui
 
Etude et mise en place d’une solution open source de gestion de la sécurité d...
parMohammed LAAZIZLI
 
Rapport finiale
parmarwenbencheikhali
 
Mise en place d'une Plateforme de Supervision et de Détection d'Intrusion Sys...
parAlaaeddine Tlich
 
Principes fondamentaux de la sécurité du réseau.
parDjibyMbaye1
 
Rapport de stage nagios
parhindif
 
Rapport de Stage -Finale.pdf
parWaelTOUMI2
 
ETUDES ET DÉPLOIEMENT DUNE SOLUTION VOIP BASÉE SUR ASTERISK
parbamaemmanuel
 
Introduction aux réseaux locaux
parInes Kechiche
 
Etude et mise en place d’un VPN
parCharif Khrichfa
 
RAPPORT DE STAGE SSI - Copie.pdf
parJoelChouamou
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
Rapport de stage telecom de Dika Etame Guy Landry. Encadreur: Kamleu Noumi Em...
parEmeric Kamleu Noumi
 
Mise en place d’un réseau sécurisé d’entreprise.pptx
parIyedJNIyedjn
 

Similaire à Projet reseau-de-kherfallah-ipm-2010-2011

PPTX
Groupe De Kamleu, Youssouf, Bertrang, Thiam, Adram+¬ Etude De Cas Cisco
parEmeric Kamleu Noumi
 
PDF
Conception_de_Réseau _ presentation _ des principes _ fondmamentaux.pdf
parArsNoubissi
 
PPT
Présentation général 400 vdi expose*****
paryves766510
 
PPT
chapitre1.ppt
parbochramiinfo
 
PPTX
CN_Chapitre1_Conception hiérarchique de réseau.pptx
parFerielBio1
 
PPTX
Professionnalisation 1A RESEAUX .pptx
parFofFofana
 
PPTX
Etude de cas cisco
parأبوبكر الصديق
 
PDF
Lexique de-commandes-cisco
parTouré Kunda
 
PPTX
Sca n instructorppt_chapter1_finalfr
parYamadou BATHILY
 
PDF
COURS NOTIONS DE RESEAU INFORMATION ISSNT.pdf
parAlbertSmithTambwe
 
PDF
Conception et Développement d'un Network Management System ATM Nortel
parTidiane Sylla
 
PDF
ITN_instructorPPT_Chapter11111111111.pdf
parRakiaMansour1
 
PDF
Chapter1.pdf
parC00LiMoUn1
 
PPTX
chapitre 1 les reseaux informatiques .pptx
parBOULANORICHRAF
 
PDF
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
PPTX
ADMINISTRATION RESEAU NIVEAU 1 : terminologie.pptx
parBergelin
 
PPTX
Les-reseaux-HF (2).pptx
parAzizAziz183529
 
PDF
Catalogue produits Westermo 2016
parFabian Vandendyck
 
PPTX
cours réseaux - niveau 1 - Introduction ccna 1.pptx
parsourourmhenni
 
PDF
7177_reseaux-CH-11.pdf
parSouadZid
 
Groupe De Kamleu, Youssouf, Bertrang, Thiam, Adram+¬ Etude De Cas Cisco
parEmeric Kamleu Noumi
 
Conception_de_Réseau _ presentation _ des principes _ fondmamentaux.pdf
parArsNoubissi
 
Présentation général 400 vdi expose*****
paryves766510
 
chapitre1.ppt
parbochramiinfo
 
CN_Chapitre1_Conception hiérarchique de réseau.pptx
parFerielBio1
 
Professionnalisation 1A RESEAUX .pptx
parFofFofana
 
Etude de cas cisco
parأبوبكر الصديق
 
Lexique de-commandes-cisco
parTouré Kunda
 
Sca n instructorppt_chapter1_finalfr
parYamadou BATHILY
 
COURS NOTIONS DE RESEAU INFORMATION ISSNT.pdf
parAlbertSmithTambwe
 
Conception et Développement d'un Network Management System ATM Nortel
parTidiane Sylla
 
ITN_instructorPPT_Chapter11111111111.pdf
parRakiaMansour1
 
Chapter1.pdf
parC00LiMoUn1
 
chapitre 1 les reseaux informatiques .pptx
parBOULANORICHRAF
 
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
ADMINISTRATION RESEAU NIVEAU 1 : terminologie.pptx
parBergelin
 
Les-reseaux-HF (2).pptx
parAzizAziz183529
 
Catalogue produits Westermo 2016
parFabian Vandendyck
 
cours réseaux - niveau 1 - Introduction ccna 1.pptx
parsourourmhenni
 
7177_reseaux-CH-11.pdf
parSouadZid
 

Projet reseau-de-kherfallah-ipm-2010-2011

  • 1.
    MODULE : Réseaux PROJET DE CONCEPTION DE RESEAU Cas : Assurance de Marseille Réalisé par : KHERFALLAH Boubaker Master 2 IPM Université de Lille1 Ce document présent l’étude d’une architecture réseau LAN/WAN en réponse a un besoin de la compagnie assurance de Marseille : Intranet, GED, e-Learning. 1
  • 2.
    OBJET DU PROJET L’objet du projet est de proposer une solution d’architecture pour le réseau de la compagnie assurance de Marseille .Ce réseau doit être dimensionné en fonction des types d’utilisation, de l’entité utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles et des utilisateurs du réseaux… ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATION LORS DE LA CONCEPTION : Les bases de ma conception se résument à quatre objectifs fondamentaux : Extensibilité : Les conceptions de réseau extensibles donnent la possibilité d’accueillir de nouveaux groupes d’utilisateurs et de sites distants et peuvent prendre en charge de nouvelles applications sans affecter le niveau de service fourni aux utilisateurs déjà existants. Disponibilité : Un réseau conçu pour être disponible fournit, 24 heures sur 24 et 7 jours sur 7, des performances constantes et fiables. En outre, la défaillance d’une seule liaison ou d’une partie du matériel ne doit pas avoir d’impact important sur les performances réseau. Sécurité : La sécurité doit être prévue dès la conception du réseau et non ajoutée après sa réalisation. La planification de l’emplacement des dispositifs de sécurité, des filtres et des pare-feu est primordiale pour assurer la protection des ressources du réseau. 1
  • 3.
    Facilité de gestion: Quelle que soit la qualité de la conception initiale du réseau, le personnel en charge du réseau doit être capable de le gérer et de le prendre en charge. Un réseau trop complexe et difficile à maintenir ne peut pas fonctionner efficacement. I- SIEGE DE MARSEILLE : ARCHITECTURE PROPOSÉE 1.1 TOPOLOGIE DE RÉSEAU: 1.1.1 ARCHITECTURE GÉNÉRALE L’architecture que je viens de proposer se base sur une conception hiérarchique divisée en trois couches : ● Cœur de réseau : assure la commutation à haut débit (optimisation du transport). ● Réseau de distribution : assure une connectivité fondée sur les stratégies. ● Accès : permet aux utilisateurs et aux groupes de travail d'accéder au réseau. NB : dans les entreprises de petite taille, il n’est pas rare d’implémenter un modèle fédérateur, où la couche de distribution et la couche coeur de réseau se trouvent au sein d’une seule et même couche.  Dans notre cas : un commutateur de couche distribution joue le rôle de fédérateur. Avantage d’un réseau hiérarchique : - évolutivité : les réseaux hiérarchiques peuvent être aisément étendus. - redondance : la redondance au niveau de la couche cœur réseau et distribution garantis la disponibilité des chemins d’accès. - performance : l’agrégation des liaisons garantis une vitesse proche de celle de câble à travers le réseau. - sécurité : sécurité des ports au niveau de la couche accès réseau et les stratégies au niveau de la couche de distribution renforcent la sécurité de réseau. -facilité de gestion : la cohérence entre les commutateurs à chaque niveau simplifie la gestion. -maintenance : via la modularité hiérarchique la maintenance devient facile. 1.1.2 LE MATÉRIEL J’ai choisi d’uniformiser le type de matériel déployé sur l'ensemble de mon architecture. Cela aura plusieurs avantages : 1
  • 4.
    Tous les équipementssont de même marque ce qui évite tous problèmes de compatibilité entre les protocoles propriétaires. Et même plus il nous permet d’exploiter pleinement les protocoles développés par le constructeur. J’ai donc choisi de prendre du matériel Cisco puisque ce sont des équipements fiables qui ont fait leur preuve. Les équipements d’interconnexion: Equipement d’interconnexion Fonctions symbole Routeurs Cisco 2811 fonctionnalités avancées : • Large éventail d’options de réseau LAN et WAN. possible évolution pour s’adapter aux futures technologies. Routage vers la destination • Plusieurs types finale d’emplacements qui permettent d’ajouter des options de connectivité et des services à mesure que l‘entreprise se développe • avec la plate-forme logicielle Cisco IOS Security, permettent de bénéficier de la protection des liaisons de réseau WAN et des services VPN. -Prise en charge de la Switch Catalyst 3570 couche 3 - débit de transfert élevé. (Pour la couche distribution) -Ethernet gigabits/ Ethernet 10 gigabits - composants redondants -stratégies de sécurité/liste de contrôle d’accès -agrégation des liaisons -qualité de service -sécurité des ports Switch Catalyst 2960 -réseau locaux virtuel -Fast Ethernet /gigabit Ethernet (pour la couche accès réseau) Fonctionnalité d’un commutateur de couche 3 : 1
  • 5.
    Les commutateurs decouche 3 peuvent exécuter des fonctions de routage de la couche 3, ce qui réduit le besoin de routeurs dédiés sur un réseau local. Parce que les commutateurs de couche 3 disposent d’un matériel de commutation spécialisé, l’acheminement des données est généralement aussi rapide que la commutation. Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manière similaire à un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, à défaut d’exploiter les informations d’adresses MAC de couche 2 pour toute décision en matière de transmission, un commutateur de couche 3 peut également exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement à savoir quelles adresses MAC sont associées à chacun des ports ; il peut également identifier les adresses IP associées à ses interfaces. Il peut alors orienter le trafic sur le réseau sur la base des informations recueillies sur les adresses IP. Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites) - Switch catalyst Cisco 3750 - 4 Switch catalyst 2960 de 24 ports 1.1.3 SCHÉMA DE CÂBLAGE Sur le deuxième étage, un local de répartiteur principal constituera le point central de raccordement du câblage LAN ainsi que le point de présence de la connexion WAN. Les principaux composants électroniques du réseau, notamment les routeurs et les commutateurs LAN, seront hébergés à cet emplacement. - Le câblage horizontal comprendra des câbles à paires torsadées non blindées de catégorie 5 et devra accepter un débit de 100 Mbits/s de norme TIA/IEA-568-B. - Le câblage vertical (backbone) comprendra des câbles à fibre optique multi- mode. 1
  • 6.
    1.2 SERVEURS ETFONCTIONS 1.2.1- Emplacement des serveurs : (batterie des serveurs) Il est très difficile d’administrer et de sécuriser un grand nombre de serveurs lorsqu’ils sont distribués sur plusieurs sites d’un même réseau. C’est pourquoi ils sont fréquemment centralisés sous forme de batteries de serveurs (terme utilisé par Cisco). Ces batteries de serveurs sont généralement regroupées dans un local central. Cisco donne à ce stade des recommandations concernant la séparation des modules fonctionnelles dans un réseau de la façon suivantes : Campus d’entreprise : cette zone contient les éléments de réseau nécessaires à une exploitation indépendante, au sein d’un réseau local. Batterie de serveurs : composant de campus d’entreprise ; la batterie de serveurs protège les ressources de serveur et fournit une connectivité haut débit fiable et redondante. (Généralement constituée des serveurs principaux et des serveurs de sauvegarde pour l’équilibrage de charge, la redondance et la tolérance de panne). Périphérie du réseau d’entreprise : lorsque le trafic de données arrive au réseau de l’entreprise, cette zone le filtre et le sépare des ressources extérieures, pour l’acheminer vers le réseau 1
  • 7.
    d’entreprise. Elle contienttous les composants nécessaires à une communication efficace et sécurisée entre le campus d’entreprise et les sites distants, les utilisateurs distants et Internet. Avantage d’une telle conception du réseau : La structure modulaire des architectures d’entreprise (inspiré de l’architecture des entreprises chez Cisco) offre les avantages suivants en termes de conception : - Elle crée un réseau déterministe doté de frontières clairement définies entre les modules. Ces points de démarcation clairs permettent au concepteur du réseau de savoir exactement d’où vient le trafic et où il va. - Elle facilite le travail de conception en rendant chaque module indépendant. Le concepteur peut alors se concentrer sur les besoins de chaque zone, de manière individuelle. - Elle améliore l’extensibilité du système en permettant à l’entreprise de rajouter facilement de nouveaux modules. Lorsque la complexité du réseau augmente, il suffit au concepteur d’ajouter de nouveaux modules fonctionnels. - Elle permet au concepteur d’ajouter des services et des solutions sans avoir à modifier la structure sous-jacente du réseau. Donc au sein de notre réseau est segmenté en deux zones, la zone serveurs et la zone utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi segmentée de telle sorte à avoir un service par vlan. Chaque services ainsi que leurs serveurs (Ressources humaines, comptabilité, finances ...) se trouvera sur un vlan différent afin de segmenter au mieux notre réseau, d'en faciliter l’administration, gérer la bande passante et d'augmenter la sécurité. 1
  • 8.
    Fig. : Schémalogique de l’architecture de réseau de siège de Marseille.  Dans ce schéma : le nombre des ordinateurs et serveurs n’est pas exhaustif, c’est juste schématisation des frontières de chaque zone. 1.2.2- Fonctions : Tous les serveurs seront classés en tant que services de type Entreprise ou Groupe de travail et seront placés dans la topologie du réseau selon leur fonction et le trafic utilisateur prévu. 1- LES SERVEURS D’ENTREPRISE : (QUI COMPOSENT L’INTRANET) Services de Noms de Domaine (DNS) : Service de résolution de nom dynamique. Ce serveur est chargé de traduire un nom en adresse IP. il permet d'accéder simplement aux ressources du Web sans avoir à noter des adresses IP difficile à retenir, il fera la même chose soit à a l'intérieur de d’un réseau soit sur internet. 1
  • 9.
    Serveur active directory(AD) : Sert pour l’authentification des utilisateurs de la compagnie lors de l’exploitation des ressources de réseau et gère les droits d’accès au système d'information de l’entreprise. Ce serveur est le contrôleur de domaine de la compagnie d’assurance (service active directory) sous Windows 2003 server. Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris et dunkerque Serveur Web (HTTP) : nécessaire pour l’accès aux ressources web de la compagnie. Serveur E-Learning : qui héberge la plateforme e-Learning de la compagne, elle est accessible aussi par les employés des succursales Paris et Dunkerque. Serveur GED : outils de gestion de documents et échanges et partages de fichiers entre collaborateur de la compagnie. Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue automatiquement une adresse IP et toutes les données de configuration nécessaires a un bon fonctionnement a chaque machine au moment de sa mise en service sur le réseau. Plus de liste de paramètres à configurer sur les postes clients. 2- LES SERVEURS DE GROUPE DE TRAVAIL : SERVEUR D'APPLICATIONS propres a chaque service d’entreprise (finance, comptabilité, contrats d’assurance ….) Toutes les applications informatiques seront hébergées par un serveur propre à chaque service (par la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications telles que gestion des contrats d’assurances, finance,…etc. 1
  • 10.
    1.3 LES DEBITS Apartir de l’hypothèse que les applications utilisées par la compagnie assurance de Marseille sont gourmandes et consommatrice de la bande passante, j’ai opté pour des liens de en fibre optique pour les liaisons verticales et restent évolutifs en fonction du nombre de Switch empilés.  Politique des VLANs Un réseau local est défini par un domaine de diffusion. Tous les hôtes d'un réseau local reçoivent les messages de diffusion émis par n'importe quel autre hôte de ce réseau. Par définition, un réseau local est délimité par des équipements fonctionnant au niveau 3 (couche réseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau 2(notamment de réduire le domaine de collision) et de sécuriser le réseau. L’objectif principal étant de segmenter ce domaine de diffusion pour utiliser efficacement la bande passante et d’assurer la sécurité des données transitant sur le réseau de la société, de ce fait chacun des services de la société sera cloisonnés sur un vlan. 2 ADRESSAGE ET NOMMAGE 2.1 ADRESSAGE : Le plan d'adressage est la stratégie que l'on va appliquer afin de relier les différentes entités de notre réseau de la manière la plus optimale. C'est-à-dire afin que le réseau soit le plus rapide possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne). Pour ce faire, je suis partis du principe que pour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast à l'aide de VLANs. De plus, on doit prendre en compte certains éléments primordiaux pour la réalisation du plan d'adressage. Tout d'abord, il me faut un plan d'adressage évolutif. En effet, on doit pouvoir s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra être capable d'accueillir des nouvelles entités sans subir aucun changement particulier.  A l'intérieur de notre réseau, on ne définira pas de sous réseaux pour les différents services mais on utilisera plutôt une solution à base de VLAN afin de réduire le nombre de routeur. 1
  • 11.
    2.1.1 Adressage desserveurs et des postes de travail. Le nombre de postes dans la compagnie Marseille assurance ne dépasse pas les 50 postes donc, j’ai opté pour l’adressage en classe C. Nous avons fait le choix d’adresser les actifs (routeurs, commutateurs) et les serveurs avec les adresses d’hôtes les plus faibles : ce sont des adresses IP fixes. Les postes de travail seront adressés avec les adresses restantes et se les verront attribuer Dynamiquement. Le siège de Marseille dispose d’un serveur DHCP configuré pour distribuer les adresses aux clients. Tous les ordinateurs des serveurs seront dotés d'adresses statiques et les ordinateurs réservés aux employés via le protocole DHCP. Donc les machines peuvent êtres adressées de 192.168.1.50 à 192.168.1.100 (mon hypothèse est basée sur un nombre de 50 postes dans le siège de Marseille). 2.1.2 Plan d’adressage : Il était possible de découper notre réseau en sous réseaux, mais je suis parti du principe que pour optimiser au maximum les différents flux réseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilégier la limitation des domaines de broadcast à l'aide de VLANs. Il ya une possibilité de regrouper plusieurs service sur le même serveur matériel, comme on peut ces services dans des serveurs indépendants (selon l’aspect cout). Elément Adresse IP masque de sous réseaux Interface interne du routeur 192.168.1.1 255.255.255.0 (passerelle) Serveur DNS + Serveur active 192.168.1.2 255.255.255.0 directory (AD) (sur la même machine) Serveur web 192.168.1.3 255.255.255.0 Serveur de messagerie 192.168.1.4 Serveur DHCP 192.168.1.5 255.255.255.0 Serveur GED 192.168.1.6 Serveur hébergeant la plate forme e- 192.168.1.7 255.255.255.0 Learning Les postes utilisateurs Adresse attribuée par le serveur 255.255.255.0 DHCP : Plage : 192.168.1.50 à 1
  • 12.
    192.168.1.100 Les serveurs degroupe de travail qui Adresses fixes à partir de 255.255.255.0 hébergent les applications de : 192.168.1.200 (finance, comptabilité, contrats d’assurance) -  Les serveurs propres à chaque service se situent dans leur propre VLAN. 2.1.3 Plan de nommage : Nom de domaine : marsassurance.fr Serveur web : www.marsassurance.fr Serveur messagerie : mail.marsassurance.fr 1
  • 13.
    Serveur e-Learning : learn. marsassurance.fr  Le nom de domaine et les FQDN de chaque serveur sont à configurer sur le serveur DNS de la compagne. 3 –Sécurité : Mise en œuvre d’un pare-feu afin de sécuriser toutes les applications exposées à Internet sur le routeur Cisco 2811 via ses fonctionnalités intégrées : - Détection des intrusions (IDS). - Filtrage des URL - Les listes de contrôle d’acées (ACL). II- Connectivité des sites distants (Paris et Dunkerque) Les deux sites distants existants, un à Paris et l’autre située à dunkerque.. Doivent pouvoir accéder à la plateforme e-Learning situées sur un serveur à l’assurance Marseille. L’un des objectifs prioritaires du nouveau réseau consiste à étendre. Voici les deux connexions distantes supplémentaires prévues : 1
  • 14.
    1- L’adressage dansle réseau WAN : - Système NAT L’adressage privé (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse considérable dans la conception de leur réseau. Des schémas d’adressage pratiques aux niveaux du fonctionnement et de l’administration peuvent ainsi être utilisés, et la croissance est plus simple à gérer. Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et qu’il n’existe pas suffisamment d’adresses publiques pour nous permettre d’en fournir une à chacun de nos hôtes, les réseaux ont besoin d’un mécanisme pour traduire les adresses privées en adresses publiques à la périphérie du réseau ; ce mécanisme doit pouvoir fonctionner dans les deux sens. Sans système de traduction, Les hôtes privés derrière un routeur dans le réseau de Paris ne peuvent pas se connecter aux hôtes privés derrière un routeur dans le réseau de Marseille via Internet. Donc on doit configurer un mécanisme de traduction d’adresses de réseau qui s’appel (NAT) sur les trois routeurs (Marseille, paris et dunkerque) pour procurer un accès à Internet. Adresses IP de l’Interface WAN de routeur masque de sous réseaux 1
  • 15.
    Marseille : 209.165.201.1 255.255.255.224 Paris : 209.165.200.225 255.255.255.224 Dunkerque : 209.165.202.129 255.255.255.224 Puisque la compagnie possède 3 adresses publiques pour gérer des dizaines de machines dans chaque réseau, le type de NAT à configurer sur les 3 les routeurs et le NATING par port, 2- Comment sécuriser l’accès distant ? Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au réseau de Marseille pour la plateforme e-Learning. Et ils ont besoin dans certains cas d’accéder ressources réseau sur le réseau de Marseille. Cette connexion concerne des informations d’un aspect privé, elle doit être impérativement sécurisée. Donc dans ce cas, Il faut déployer un système de sécurité pour : – Protéger les communications inter -sites (Marseille, Paris, Dunkerque) – Autoriser les accès licites distants à la plateforme e-Learning et aux services intranet de Marseille : À partir de Paris et Dunkerque. Il s’agit ici d’une connexion site-à-site entre (Marseille-paris) et (Marseille-Dunkerque), la technologie la plus adapté à cette situation VPN site-à-site est la technologie IPSEC basée sur le tunneling. Dans ce cas on va créer un réseau privé (celui de la compagnie d’assurance) via un réseau public (internet) . 1
  • 16.
    La configuration deVPN IPSec va se faire sur les trois routeurs des sites (Marseille, dunkerque et Paris). 3- Des services supplémentaires sur les sites distants : Afin de faciliter l’accès aux serveurs de site distant de Marseille, j’ai opté d’installé dans chacun des sites paris et dunkerque un serveur de noms local peut faire office de cache et répondre plus rapidement que l'interrogation du serveur de noms faisant autorité situé sur le site de Marseille. III- Schéma général du réseau. 1
  • 17.
     Configuration sur le routeur Cisco 2811 (Marseille, Dunkerque, Paris) : - Protocole de routage OSPF - Translation d’adresses NAT - Liste de contrôle d’accès - VPN - firewall IDS 1