HM
Téléchargé parHicham Moujahid
14,161 vues

Rapport projet pfe

Ce document présente un guide pour la conception de réseaux locaux, en soulignant l'importance de définir des objectifs spécifiques à chaque organisation. Il aborde également les étapes clés, telles que la planification des topologies, la mise en œuvre de solutions sans fil, l'optimisation des performances, et l'établissement de politiques de sécurité. En outre, il traite des améliorations nécessaires pour gérer la qualité de service et l'architecture MPLS.

Intégrer la présentation

1 / 116
2 / 116
3 / 116
Plus lue
4 / 116
5 / 116
6 / 116
Plus lue
7 / 116
8 / 116
9 / 116
10 / 116
11 / 116
12 / 116
13 / 116
14 / 116
Plus lue
15 / 116
16 / 116
17 / 116
18 / 116
19 / 116
20 / 116
21 / 116
22 / 116
23 / 116
24 / 116
25 / 116
26 / 116
27 / 116
28 / 116
29 / 116
30 / 116
31 / 116
32 / 116
33 / 116
34 / 116
35 / 116
36 / 116
37 / 116
38 / 116
39 / 116
40 / 116
41 / 116
42 / 116
43 / 116
44 / 116
45 / 116
46 / 116
47 / 116
48 / 116
49 / 116
50 / 116
51 / 116
52 / 116
53 / 116
54 / 116
55 / 116
56 / 116
57 / 116
58 / 116
59 / 116
60 / 116
61 / 116
62 / 116
63 / 116
64 / 116
65 / 116
66 / 116
67 / 116
68 / 116
69 / 116
70 / 116
71 / 116
72 / 116
73 / 116
74 / 116
75 / 116
76 / 116
77 / 116
78 / 116
79 / 116
80 / 116
81 / 116
82 / 116
83 / 116
84 / 116
85 / 116
86 / 116
87 / 116
88 / 116
89 / 116
90 / 116
91 / 116
92 / 116
93 / 116
94 / 116
95 / 116
96 / 116
97 / 116
98 / 116
99 / 116
100 / 116
101 / 116
102 / 116
103 / 116
104 / 116
105 / 116
106 / 116
107 / 116
108 / 116
109 / 116
110 / 116
111 / 116
112 / 116
113 / 116
114 / 116
115 / 116
116 / 116
1 Dédicace A nos très chers parents, A nos très chers frères et sœurs A toute la famille A tous nos amis A notre cher ami ELKHALIFA Mohammed A notre cher ami SAS Youssef A tous ceux qui nous aiment A tous ceux qui nous ont soutenus de près ou de loin, On dédie ce travail BOUCHAL Med Amine MOUJAHID Hicham
2 Remerciements Au nom d’ALLAH le tout miséricordieux, le très miséricordieux. Ce travail, ainsi accompli, n’aurait point pu arriver à terme, sans l’aide et le soutien et tout le guidage d’ALLAH, louange au tout puissant ; le seigneur de l’univers. En second lieu, nous tenons à remercier nos parents ainsi que toute personne ayant aidé, de près ou de loin à l’achèvement de notre Projet de Fin d’Etudes. Nous remercions particulièrement :  Nos parrains du stage : o M.HOUARI Mohammed; Chef de projet en réseaux et câblage à la société HNP. o M.FATHALLAH Saïd ; Directeur de la société HNP. o M.SHIRAISHI ALEMAN ; Enseignant chercheur à L’Ecole Nationale des Sciences Appliquées de Marrakech. o M.NAIMI HICHAM ; Manager du projet CARRE EDEN.  Tous les agents de la société HNP.  Tout le corps professoral de l’Ecole Nationale des Sciences Appliquées de Marrakech et particulièrement ceux du département Génie Réseau et Telecom.  Tous les élèves ingénieurs de l’Ecole Nationale des Sciences Appliquées de Marrakech. Enfin, nous voudrions remercier tous les membres de nos familles et nos amis de nous avoir toujours soutenus. Merci à toutes et à tous.
3 Résumé En dépit des améliorations réalisées au niveau des performances des équipements et des capacités des médias, la conception d’un réseau local est devenue une tâche exigeante. Il est important de garder à l'esprit tous les différents facteurs, parce qu'un réseau local bien conçu peut réduire les difficultés inhérentes à la croissance de son environnement. La première étape dans notre conception du réseau local consiste à définir et à documenter les objectifs de la conception qui sont propres à chaque organisation ou situation. Cette première étape sert à définir une topologie LAN de couche 1 qui consiste à déterminer le type de câble ainsi que la topologie physique et logique à utiliser, et de définir la structure de la couche 2. La deuxième étape consiste à planifier un réseau sans fils WLAN permettant aux utilisateurs une mobilité restreinte en fonction des zones de couverture, il est donc nécessaire de bien déployer notre réseau sans fils de manière a couvrir l’ensemble du site partant des zones d’hébergement aux zones communes. La troisième étape consiste à optimiser et à améliorer les performances du réseau mis en place, nous devons donc choisir parmi les solutions disponibles la solution la plus adéquate au réseau mis en place tout en restant dans le cadre des exigences citées dans le cahier de charges. La quatrième étape consiste à présenter et étudier les politiques de sécurité à mettre en place qui vont permettre la confidentialité l'intégrité des données privées ou sensibles ainsi que l'authentification des données et des utilisateurs, Il est donc indispensable de sécuriser les réseaux LAN et WLAN dès leur installation. Ce document présente un aperçu du processus de conception d'un réseau local. Il traite également des objectifs de conception d'un réseau local, des questions relatives aux méthodologies de conception ainsi que de l'élaboration des topologies de réseaux locaux. Le besoin d’amélioration des performances du réseau local s’exprimera par le besoin de mettre en œuvre les mécanismes de qualité de service pour la gestion des priorités des flux ou la mise en place d’une architecture MPLS. Mots clés : topologie LAN, WLAN, politiques de sécurité, optimiser, réseau local.
4 ‫ٍيخص‬ ‫ٍَٖت‬ ‫داخيٞت‬ ‫شبنت‬ ٌَٞ‫تص‬ ‫اىْقو،أصبح‬ ‫ٗسبئظ‬ ٗ ‫اىَؼذاث‬ ‫فؼبىٞت‬ ٙ٘‫ٍست‬ ٚ‫ػي‬ ‫إدخبىٖب‬ ٌ‫ت‬ ٜ‫اىت‬ ‫اىتحسْٞبث‬ ٍِ ٌ‫اىشغ‬ ٚ‫ػي‬ ‫دقت‬ ‫تغيب‬.ٌٍَِٖ‫اى‬‫اىصؼ٘بت‬ ٍِ ‫تقيو‬ ُ‫أ‬ ِ‫َٝن‬ ٌَٞ‫اىتص‬ ‫دقٞقت‬ ‫داخيٞت‬ ‫شبنت‬ ُ‫أل‬ ‫اىؼ٘اٍو‬ ‫ٍختيف‬ ‫االػتببس‬ ِٞ‫بؼ‬ ‫ّأخز‬ ُ‫أ‬ ‫بٞئتٖب‬ َّ٘ ٜ‫ف‬ ‫اىنبٍْت‬. ٗ‫أ‬ ٌٞ‫تْظ‬ ‫بنو‬ ‫خبصت‬ ‫األٕذاف‬ ٓ‫ٕز‬ ،ٌَٞ‫اىتص‬ ‫إٔذاف‬ ‫ت٘ثٞق‬ ٗ ‫تحذٝذ‬ ٜ‫ف‬ ‫تتجسذ‬ ‫اىذاخيٞت‬ ‫ىيشبنت‬ ‫إػذادّب‬ ٜ‫ف‬ ٚ‫األٗى‬ ‫اىَشحيت‬ ‫ٍْظَت‬. ‫تحذٝذ‬ ٜٕ ‫اىَشحيت‬ ٓ‫ٕز‬ٜ‫ع٘ب٘ى٘ج‬‫اىَْغقٞت‬ ٗ ‫اىَبدٝت‬ ‫اىغب٘ى٘جٞب‬ ِ‫ػ‬ ‫فضال‬ ‫األسالك‬ ‫ّ٘ع‬ ‫تحذٝذ‬ ٗ ٚ‫األٗى‬ ‫ىغبقت‬ ‫ا‬ ٍِ ‫ا‬ ‫استخذاٍٖب‬ ‫ٝجب‬ ٜ‫اىت‬،‫ٗتحذٝذ‬‫بْٞت‬‫اىغبقت‬‫اىثبّٞت‬. ٗ،‫اىتغغٞت‬ ‫ىَْبعق‬ ‫ٗفقب‬ ‫ٍحذٗدة‬ ‫حشمٞت‬ ٍِ ٍِٞ‫اىَستخذ‬ ِ‫تَن‬ ‫سينٞت‬ ‫ال‬ ‫شبنت‬ ‫ى٘ضغ‬ ‫اىتخغٞظ‬ ٜ‫ف‬ ٚ‫تتجي‬ ‫اىثبّٞت‬ ‫اىَشحيت‬ ٗ‫أ‬ ‫اىَشتشمت‬ ‫اىَْبعق‬ ٘‫ّح‬ ‫اإلقبٍت‬ ‫ٍْغقت‬ ٍِ ‫اّغالقب‬ ‫رىل‬ ٗ ٔ‫بأجَي‬ ‫اىَ٘قغ‬ ‫ىتغغٞت‬ ‫اىشبنت‬ ٔ‫ٕبت‬ ‫ّشش‬ ٛ‫اىضشٗس‬ َِ‫ف‬ ‫ىزىل‬ ‫اىجَبػٞت‬. ‫إػذادٕب‬ ٌ‫ت‬ ٜ‫اىت‬ ‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬ ٜ‫ف‬ ‫تتَثو‬ ‫اىثبىثت‬ ‫اىَشحيت‬‫إر‬‫اىحو‬ ‫اىَتبحت‬ ‫اىحي٘ه‬ ِٞ‫ب‬ ‫االختٞبس‬ ‫إرا‬ ‫ػيْٞب‬ ‫ٝجب‬‫األّسب‬ ٓ‫ىٖز‬‫اىشبنت‬‫رىل‬ ٗ‫ٗفقب‬‫اىتحَالث‬ ‫دفتش‬ ٜ‫ف‬ ‫اىَزم٘سة‬ ‫ىيششٗط‬. ‫اىسٞبسبث‬ ‫دساست‬ ٜٕ ُ‫إر‬ ‫اىشابؼت‬ ‫اىَشحيت‬‫األٍْٞت‬‫ٍجَو‬ ‫سشٝت‬ ٚ‫ػي‬ ‫اىحفبػ‬ ٍٜ ِ‫تَن‬ ‫س٘ف‬ ٜ‫اىت‬ ٗ ‫بٖب‬ ‫اىؼَو‬ ‫ٝجب‬ ٜ‫اىت‬ ‫اىبٞبّبث‬ ‫ٍصبدقت‬ ‫مزىل‬ ٗ ‫اىحسبست‬ ٗ‫أ‬ ‫اىخبصت‬ ‫اىبٞبّبث‬.‫إػذادٕب‬ ‫بؼذ‬ ‫اىشبنبث‬ ٍِٞ‫تأ‬ ٛ‫اىضشٗس‬ َِ‫ف‬ ٜ‫ٗببىتبى‬. ‫بَْٖجٞبث‬ ‫اىَتصيت‬ ‫اىقضبٝب‬ ٗ ٌَٞ‫اىتص‬ ‫ٕزا‬ ‫إٔذاف‬ ‫ْٝبقش‬ ‫داخيٞت،مَب‬ ‫شبنت‬ ٌَٞ‫تص‬ ‫مٞفٞت‬ ِ‫ػ‬ ‫ىَحت‬ ‫اىتقشٝش‬ ‫ٕزا‬ ً‫ٝقذ‬ ‫ع٘ب٘ى٘جٞبتٖب‬ ‫مزىل‬ ٗ ‫اىشبنت‬ ٓ‫ٕز‬ ٌَٞ‫تص‬. ٗ‫ا‬ ‫اىتزفقبث‬ ‫أٗى٘ٝبث‬ ‫تفؼٞو‬ ‫اجو‬ ٍِ ‫اىخذٍت‬ ‫ج٘دة‬ ‫آىٞبث‬ ‫إػذاد‬ ‫ضشٗسة‬ ٜ‫ف‬ ‫اىَحيٞت‬ ‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬ ٜ‫ف‬ ‫اىحبجت‬ ٚ‫تتجي‬ ‫بْٞت‬ ‫إّشبء‬MPLS. ‫اىشئٞسٞت‬ ‫اىنيَبث‬:ٜ‫ع٘ب٘ى٘ج‬‫ا‬،‫سينٞت‬ ‫ال‬ ‫شبنت‬،‫اىسٞبسبث‬‫األٍْٞت‬،‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬،‫داخيٞت‬ ‫شبنت‬.
5 Glossaire A ATM AP AES ACD Asynchronous Transfer Mode Access Point Advanced Encryption Standard Additionnel contrôleur de domaine B BNC Bayonet Neill–Concelman C CSMA CD CD CPU CCMP CCM CRC Carrier Sense Multiple Access Contrôleur de domaine Collision Detection Central Processing Unit Counter Mode with CBC MAC Protocol Counter with CBC-MAC Code de redondance cyclique D Dos DMZ DHCP Deni of Service Demilitarized Zone Dynamic Host Configuration Protocol
6 E ETR EAP EAP-TLS Early Token Release Extensible Authentication Protocol EAP - Transport Layer Security F FDDI FTP Fiber Distributed Data Interface Foiled Twisted Pair H HSTR High Speed Token Ring I IP IIS IDP Internet Protocol Internet Information Services Intrusion Detection Prevention L LEAP LAN Lightweight EAP Local Area Network M MAU MRT MIMO MAN Multiple Access Unit Multiplexage à répartition dans le temps Multiple-input and Multiple-output Metropolitan Area Network
7 N NLOS NIC Non-line-of-sight Network Interface Card O OCB Offset Codebook P POE PDA Power over Ethernet Personal Digital Assistant S SFTP SSTP STP SDH SSID Shielded and foiled twisted pair Shielded and Shielded Twisted Pair Shielded Twisted Pair Synchronous Digital Hierarchy Service Set Identifier T ToIP TKIP TDM TPDDI Text over IP Temporal Key Integrity Protocol Time-division Multiplexing Twisted Pair Distributed Data Interface U UTP Unshielded Twisted Pair
8 V VLAN VDI Virtual LAN Voice Data Image W WLAN WRAP WPA WEP Wireless Local Area Network Wireless Robust Authenticated Protocol Wireless Protected Access Wired Equivalent Privacy
9 Liste des figures Figure 1 : Schéma d’infrastructure de communication Figure I.4.1 : Emplacement de l’hôtel Carré Eden Figure I.4.2 : Diagramme de la conduite du travail Figure II .2.1.1 : Ethernet version 10Base5 Figure II.2.2.2 : Ethernet version 10Base2 Figure II.2.1.3 : Ethernet version 10BaseT Figure II.2.2.1(a) : Réseau en boucle Figure II.2.2.1(b) : Implémentation d’IBM Figure II.2.3.1 : Evolutions du débit en fonction de la charge Figure II.3.1 : Topologie BUS Figure II.3.2 : Topologie en Anneau Figure II.3.3 : Topologie Etoile Figure II.4.1 : Paire torsadée Figure II.4.1 : Types de paires torsadées Figure II.5.2.2 : Synoptique de câblage des locauxtechniques Figure III.2.2 (a) : couches physiques du 802.11 Figure III.2.2(b) : débits et portées du 802.11 Figure III .3.3.1(a) : Répartition des canauxautour de 5GHz Figure III.3.3.1(b) : Répartition des canauxautour de 2.4GHz Figure III.4.3 : Phénomène de trajets multiples Figure III.5.2 : Maillages à 5GHz Figure III.6.2 (a) : Déploiement de points d’accès en 3D Figure III.6.4(a) : Chargement de nouveau projet Figure III.6.4(b) : Spécification des informations du site Figure III.6.4(c) : Spécification des informations de l’environnement Figure III.6.4(d) : Chargement du plan du site Figure III.6.4(e) : Spécifications des canauxet période de scan Figure III.6.4(f) : Balayage du site Figure III.6.4(g) : Fonctionnement du logiciel Surveyor Figure III.6.5 : Positions des points d’accès Figure III.6.6(a) : Distribution du signal Figure III.6.6(c) : Distribution du rapport signal sur bruit Figure IV.2.2.2 : Réseau segmenté par routeur Figure IV.2.2.3 : Réseau segmenté par commutateur Figure IV.2.3.1(a) : Vlan par port Figure IV.2.3.1(b) : Vlan par adresse MAC Figure IV.3.5.1 : architecture basique et identification des flux Figure IV.3.5.2 : architecture « accès DMZ via le parefeu »
10 Liste des tableaux Tableau I.3(a) : Liste de services Tableau I.3(b) : Caractéristique du matériel de câblage Tableau I.3(c) : Caractéristique du matériel de distribution Tableau II.2.1(a) : Versions d’Ethernet à câble coaxial Tableau II.2.1(b) : Versions d’Ethernet à paire torsadée Tableau II.2.1(c) : Versions d’Ethernet à fibre optique Tableau II.2.3 : Comparaison Ethernet et Token Ring Tableau II.4.2 : Catégories et caractéristiques des câbles Tableau II.4.3(a) : Classes et caractéristiques des câbles Tableau II.4.3(b) : Distances opérationnelles des medias Tableau II.5.1 : Avantages et inconvénients de la topologie étoile Tableau II.5.1.2(b) : performances des fibres optique Tableau II.5.1.2(a) : Type de fibre et distance opérationnelle selon le débit Tableau II.5.2.3 (a) : Caractéristiques des commutateurs Cisco Tableau II.5.2.3 (b) : Caractéristiques des commutateurs HP Tableau II.5.2.3 (c) : Caractéristiques des commutateurs Avaya Tableau II. 5.2.4(a) : Désignation du niveau R-2 et RDC Tableau II. 5.2.4(b) : Désignation du niveau R+2 Tableau II. 5.2.4(c) : Désignation du niveau R+3 Tableau II. 5.2.4(d) : Désignation du niveau R+4 Tableau II. 5.2.4(e) : Désignation du niveau R+5 Tableau II. 5.2.4(h) : Nombre de ports et de commutateurs par local technique Tableau II. 5.2.4(g) : Nombre de ports par zone de niveau Tableau II. 5.2.4(h) : Caractéristiques et utilisation des câbles Tableau II. 5.2.4(i) : Caractéristiques et utilisation des commutateurs Tableau II. 5.2.5(a) : Quantité et coût d’achat des prises et des connecteurs Tableau II. 5.2.5(b) : Quantité et coût d’achat des câbles Tableau II.5.2.5 (c) : Quantité et coût d’achat des commutateurs Tableau II.5.2.5(d) : Evaluations financière Tableau III.2.1.4 : Récapitulatifs des caractéristiques des normes Tableau IV.2.3.1 : type de Vlans
11 Table des matières Dédicace.......................................................................................................................................1 Remerciements.............................................................................................................................2 Résumé.........................................................................................................................................3 ‫4.............................................................................................................................................ملخص‬ Glossaire.......................................................................................................................................5 Liste des figures.............................................................................................................................9 Liste des tableaux........................................................................................................................10 Table des matières......................................................................................................................11 INTRODUCTION GENERALE..........................................................................................................13 CHAPITRE I : CONTEXTE GENERAL DU PROJET...............................................................................16 1. Introduction.........................................................................................................................17 2. Présentation de la société d’accueil.......................................................................................17 3. Présentation du cahier de charges.........................................................................................21 4. Contexte du projet ...............................................................................................................24 5. Conclusion...........................................................................................................................27 CHAPITRE II : Etude et conception du réseau LAN.........................................................................28 1. Introduction.........................................................................................................................29 2. Topologies logiques de réseau...............................................................................................29 3. Topologies physiques de réseau ...........................................................................................37 4. Types et caractéristique de câbles.........................................................................................40 5. Conception du réseau du Carré Eden.....................................................................................45 6. Conclusion...........................................................................................................................56 CHAPITRE III : Etude et planification du réseau WLAN ..................................................................57 1. Introduction.........................................................................................................................58 2. Standard IEEE 802.11............................................................................................................58 3. Réseau sans fil et perturbation d’environnement...................................................................63 4. Perturbation radio................................................................................................................65 5. Les axes d’amélioration.........................................................................................................66 6. Audit de site et résultats de planification ..............................................................................69 7. Conclusion...........................................................................................................................82 CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité.......................................83 1. Introduction.........................................................................................................................84
12 2. Optimisation et gestion de trafic...........................................................................................84 3. Solutions de sécurité informatique........................................................................................92 4. Sécurité du réseau sans fil.....................................................................................................99 5. Conclusion :.......................................................................................................................106 Conclusion Générale..................................................................................................................107 BIBLIOGRAPHIE.........................................................................................................................110 ANNEXE A : Normes de câblage .................................................................................................112 ANNEXE B : Bande de fréquences...............................................................................................113 ANNEXE C : Protocole LWAPP....................................................................................................114
13 INTRODUCTION GENERALE La conception d'un réseau peut constituer un défi de taille de performance et de sécurité, en effet, cette tâche dépasse largement le simple branchement d'ordinateurs entre eux. Un réseau doit comporter de nombreuses caractéristiques pour être évolutif, sécurisé et facile à gérer. Pour que le réseau soit fiable et évolutif, nous devons être conscients que chacun de ses composants comporte des exigences particulières en termes de performance et de sécurité. Le réseau doit présenter une capacité d'extension. Cela signifie que la conception initiale doit pouvoir croître sans qu'il soit nécessaire d'apporter des modifications importantes à la conception globale. Le réseau doit être conçu en fonction des technologies futures et ne doit pas comporter d'éléments susceptibles d'entraver la mise en œuvre de nouvelles technologies, à mesure qu'elles deviennent disponibles. La conception d'un réseau doit en favoriser la surveillance et la gestion afin d'assurer la stabilité de gestion de ce réseau. L’objectif du câblage, à terme, est d’offrir à tout occupant d’un établissement un accès aux ressources de communications V.D.I. et cela en tout point du bâtiment. Ce câblage pourra notamment :  supporter simultanément les applications V.D.I. actuelles et futures utilisant une bande passante utile de 0 à 250 MHz minimum,  permettre les réaffectations aisées des postes de travail, les modifications de topologie, les changements d’applications ou de type de réseau, rapidement et sans adjonction de câbles supplémentaires.  Le dimensionnement du câblage est adapté aux besoins initiaux ainsi qu’aux extensions à court et moyen terme. La figure ci-dessous décrit de manière générale l’architecture d’une infrastructure de communication :
14 Les technologies sans-fil se différencient par la nature de leur canal de communication qui n’est plus comparable à un guide d’onde borné limitant les pertes, mais constitué d’un fluide illimité, l’air. Le comportement de ce médium de transmission dépend de la nature et des propriétés de réflexion de l’environnement dans lequel il se trouve. En effet, les ondes radio se propagent dans un environnement ouvert où des phénomènes de réflexion, de réfraction, de diffraction et d’interférences surviennent localement. Ce comportement aléatoire limite les performances des technologies de transmission sans-fil en termes de portée de communication et de qualité de transmission. On pourrait essayer de modéliser quelle serait la couverture radio d’un site en fonction du plan des locaux, de la nature des murs, et ainsi de suite, afin de savoir où positionner un AP, mais la complexité des calculs est telle qu’il est préférable de simplement faire un test en conditions réelles à l’aide d’outils de mesure. On peut ainsi connaître précisément la puissance du signal qui parvient à atteindre le récepteur et l’on peut également voir si le RSB est suffisant pour établir une connexion satisfaisante. Il existe toutefois des logiciels de modélisation qui simulent le rayonnement électromagnétique dans un modèle de la zone étudiée en deux ou trois dimensions. Figure 1 : Schéma d’infrastructure de communication [1]
15 On peut aussi visualiser la couverture radio de plusieurs façons différentes : d’abord en se focalisant uniquement sur le niveau de réception en chaque point pour visualiser les zones d’ombres, la quantité de débordement vers l’extérieur du bâtiment, ou encore les zones où la réception est insuffisante pour atteindre le débit minimal souhaité. Une autre vue permet de distinguer la zone de couverture de chaque AP, afin de mieux voir les zones de recouvrement et d’interférences entre AP utilisant le même canal. À l'heure du "tout disponible partout tout de suite", le transport des données en dehors du domicile d'un particulier ou d'une entreprise est une réalité qui mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre un système d'information. Que ce soit à l'échelle d'une entreprise, d'une multinationale ou à plus petite échelle, la sécurité d'un système d'information prend plus ou moins d'importance selon la valeur que l'on confère à ces données. Avec le développement d'Internet, chacun a accès au réseau où de plus en plus d'informations circulent. De plus en plus, les entreprises communiquent et diffusent via ce media, que ce soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre les employés eux-mêmes. Ainsi pour vous présenter notre travail effectué, nous avons donc suivi les étapes suivantes : Le premier chapitre présente la société d’accueil ainsi que le contexte général et les différents objectifs du projet. Le second chapitre quant à lui, est dédié a la conception du réseau local du Carré Eden. Le troisième chapitre concerne la mise en place d’un réseau local sans fil et le déploiement des points d’accès au niveau de l’hôtel Carré Eden. La mise en place d’une solution de sécurité pour le réseau local et le réseau local sans fil ainsi que l’optimisation et l’amélioration des ses performance feront donc l’objet de la dernière partie de notre rapport.
16 CHAPITRE I : CONTEXTE GENERAL DU PROJET
CHAPITRE I : CONTEXTE GENERAL DU PROJET 17 1. Introduction La conception d’un réseau local pour un hôtel devra permettre à toute personne dans l’hôtel d’avoir accès à un ensemble de services comme la voix sur IP la vidéosurveillance et d’autres tel qu’ils sont mentionnés dans la cahier de charges . Nous allons voir durant ce premier chapitre quel est le cadre général d’un tel projet à partir du quel on développera le contexte général du projet, de son positionnement technologique et de sa conduite technique. 2. Présentation de la société d’accueil 2.1. Historique HNP est un intégrateur global d'infrastructures et systèmes et apporte une gamme complète de solutions et de services à haute valeur ajoutée. HNP a été fondée sous la dénomination "Hospitality Network Professional" par un groupe d'ingénieurs spécialisés dans le domaine des technologies de l'information pour répondre aux besoins les plus complexes du segment hôtelier. Grâce à son engagement, son savoir faire, son esprit d’innovation et de veille technologique HNP a été d'un apport considérable en matière de développement des technologies avancées pour l’hôtellerie. L’engagement, l'investissement pour le développement de compétences reconnues ainsi que le retour sur expérience de réalisation de grande envergure, font d'HNP un partenaire distinctif et apprécié par une clientèle de plus en plus exigeante et souhaitant un accompagnement, alliant les capacités de conception, de mise en œuvre et de maintien de solutions pérennes. Le partenariat privilégie avec HNP est d’autant plus apprécié lorsque les enjeux pour les clients sont importants et conditionnent l’avenir de leur business. 2.2. Moyens Pour tenir ses engagements, HNP se base sur les moyens suivants : ● Des ingénieurs spécialisés dans le design, l’intégration et le maintien des solutions globales. Ses ressources humaines certifiées sont dotées de compétences techniques éprouvées. ● De fortes relations de partenariat avec des constructeurs et équipementiers reconnus sur le plan international. ● Un service de HotLine/Helpdesk pour l’assistance et le support technique.
CHAPITRE I : CONTEXTE GENERAL DU PROJET 18 ● Un accès privilégié au support des constructeurs. ● Des outils performants d’intégration et de diagnostique (matériel, logiciel, Tests & Mesures, Outillage,…). HNP est équipée avec tous les outils de test, de tirage, d’installation électrique, de la fibre, du câblage informatique, outils de validation des performances systèmes, outil de validation et d’audit de la sécurité (avec tests de pénétration) ● Une présence de proximité (présence régionale à Marrakech avec des effectifs techniques, chef de projet, ingénieurs d’affaire,…). Nous tenons à préciser que les locaux d’HNP se situent à proximité du site Carré Eden, ce qui conférera une haute réactivité et proximité durant toutes les phases du projet. ● Une logistique de déploiement et de maintenance éprouvée pour intervenir sur les différents sites avec une couverture large et dense dans le territoire. Les collaborateurs d’HNP incarnent la culture et le savoir faire de la société. Le succès de notre entreprise repose sur leurs prestations et capacité à délivrer. Nous nous efforçons ainsi de : ●Développer leur potentiel à travers des formations et de l’accompagnement ● Inciter les collaborateurs à concilier entre des dimensions de performances multiples à savoir : Compétence, Innovation, adaptation au changement, orientation client, haute Qualité… ● Créer un environnement dans lequel le savoir et les expériences sont partagés. HNP compte un effectif de personnes distribuées selon les catégories suivantes :  Directeurs Senior de Projets et Programmes  Agents Back Office et Assurance Qualité  Ingénieurs d’affaire  Ingénieurs avant-vente  Ingénieurs Chef de projet  Ingénieurs Réseaux et Systèmes  Chefs de chantier et Pilote de livraison  Techniciens Spécialisés.  Techniciens de câblage. 2.3. Produits et Solutions
CHAPITRE I : CONTEXTE GENERAL DU PROJET 19 HNP compte dans son portefeuille un certain nombre de produits et solutions qui se veulent globales, "clés en mains" et couvrant tous les domaines des courants faibles dont nous pouvons citer à titre d’exemple les catégories suivantes : ● Infrastructures RESEAUX ● Systèmes de Téléphonie ● Systèmes AV et Télédistribution ● Systèmes de SECURITE ● Systèmes GTB et Domotique Notre expérience dans ces domaines est pour nos clients une garantie de réussite de leurs projets, de pérennité des solutions mises en place, et d'un retour sur investissement certain. Notre intervention pour l’implémentation d’une solution globale peut couvrir une ou plusieurs activités dont les principales sont :  Etude préalable de l’existant et des besoins,  Spécification détaillée des besoins fonctionnels et techniques,  Conception des Architectures et solutions Gestion de la communication,  Mesure et suivi de la fiabilité et la gestion des risques,  Choix des protocoles, des standards, des techniques et des composants,  Choix des caractéristiques des logiciels et des mises à jour,  Rollout et déploiement selon les échéanciers du plan projet Ingénierie,  Planification des temps de réalisation et ordonnancement des priorités,  Formation et transfert de compétences,  Assistance au démarrage et lancement des activités Stabilisation, HNP intervient aussi bien pendant la conception et la réalisation mais également pendant les phases d'exploitation et de production. 2.3.1. Infrastructures Réseaux L’activité de cette entité est centrée sur le conseil, l'ingénierie, la conception, le déploiement et l’exploitation des réseaux et comprend l’intégration de solutions et d’applications permettant la convergence voix, données, Internet, IPTV, vidéosurveillance,… Les infrastructures réseaux mise en œuvre par HNP comprennent les réseaux convergents, les réseaux locaux « LAN », les réseaux sans fils « WLAN », les réseaux optiques de nouvelle génération. Au-delà de la distribution des services Internet, les infrastructures réseaux constituent une dorsale pour l’acheminement et le transport de toute typologie de
CHAPITRE I : CONTEXTE GENERAL DU PROJET 20 flux en tenant compte des spécificités de chaque application (voix sur IP, IPTV, VOD, HSIA, Réseau Guest, Vidéo surveillance, …) HNP compte des déploiements issus de différents constructeurs leaders (Cisco, HP Procurve, Planet, 3com,…). Les ingénieurs d’HNP ont une maitrise totale et reconnue de ses infrastructures. 2.3.2. Systèmes Téléphoniques HNP intervient dans les systèmes de téléphonie sous leur différent concept technologique (analogique, numérique, téléphonie sur IP). Les réalisations pilotées par HNP dans les systèmes de téléphonie débordent également sur des fonctions avancées et spécifiques au segment hôtelier tel que l’intégration avec les PMS, Messagerie vocale, ACD,… HNP compte des déploiements de systèmes téléphoniques issus de différents constructeurs qui sont référencés dans le chapitre partenaire. 2.3.3. Systèmes AV et Télédistribution HNP repose dans ses déploiements des systèmes de sonorisation et audiovisuel sur une vaste gamme de produits de sonorisation répondant aux applications les plus variées dans plusieurs secteurs d'activité : ● Sites touristiques ● Hôtels ● Stades de sport ● Gares ● Shopping centres ● Mall Que ce soit la télédistribution sur des réseaux classiques ou sur des réseaux IP, HNP a une totale maitrise des technologies liées à la TV et à la diffusion des contenus de type temps réel dans des environnements hôtelier nécessitant des personnalisations adaptées. HNP a recours à des technologies éprouvées et issues de partenaires de renommées et qui sont référencées dans le chapitre partenaire. HNP compte également dans la gamme de produits Vidéo, une offre d’affichage dynamique (Digital signage) à coût très compétitif. 2.3.4. Systèmes de sécurité HNP dispose d’un patchwork de produits servant le portefeuille des systèmes de sécurité et le scope de ce dernier inclut : ● Systèmes de contrôle d’accès
CHAPITRE I : CONTEXTE GENERAL DU PROJET 21 ● Système Anti intrusion ● Système de vidéosurveillance ● Système de sécurité incendie Les ingénieurs d’HNP ont intégrés avec succès des implémentations faisant inter opérer ses différents systèmes (Intégration CCTV Contrôle d’accès). HNP a procédé aussi à des aménagements clés en main de salle de contrôle incluant les différentes briques de sécurité. 2.3.5. Systèmes GTB et Domotique HNP compte aussi dans son portefeuille de produits, des systèmes de gestion des équipements techniques du bâtiment (plus communément référencés par la GTB, GTC, Domotique) tels que chauffage, climatisation, ventilation, électricité, mais également tous les équipements tels que les ascenseurs, les alarmes, …. Ses automates, et autres concentrateurs numériques embarquent des fonctions tels que régulations de températures, gestions des périodes d’inoccupation, renvois d’alarmes où de scénarios prévus, … La supervision des dispositifs s’effectue de manière centralisée au niveau d’un poste de contrôle ou à distance. 3. Présentation du cahier de charges L’objet du cahier de charges consiste à définir et à décrire l’ensemble des dispositions concernant les installations de pré-câblage nécessaires à la construction d’un hôtel. Le présent cahier de charges décrit un pré-câblage en topologie étoile avec comme prise murale, une prise RJ45 et comme raccordement au local de répartition ou de sous répartition des Armoires Voix-Donnée-Image (VDI) et Coffrets Voix-Donnée-Image (VDI) munis de panneaux 19’’ avec des identifiants pour faciliter le repérage. Le câblage proposé doit prendre en compte:  un brassage banalisé  l'arrivée des postes de travail intégrant de plus en plus les fonctions VDI.  l'accroissement du nombre de stations et de micro-ordinateurs  la mise à disposition de prises informatiques (avec accès Internet) dans les chambres  l'équipement informatique et téléphonique des bureaux  la Télédistribution et la vidéosurveillance sur IP  l'équipement informatique, téléphonique et terminal de paiement électronique des points de vente  la numérisation et l'augmentation des débits  la diversité des offres réseaux
CHAPITRE I : CONTEXTE GENERAL DU PROJET 22  l'hétérogénéité des matériaux.  Le câblage doit notamment supporter un ensemble de services qui sont représentés dans le tableau ci-dessous : Services Description Les services TELECOM  Téléphonie analogique ou numérique directe,  NUMERIS accès de base S0 et accès primaire S2,  Liaisons spécialisées analogiques et numériques. Les services de télécommunication derrière PABX  ADSLx,  Téléphonie IP,  Transmission de données,  Couverture DECT dans tout l'hôtel (espaces communs et hébergement). Les services informatiques  Couverture WIFI dans tout l'hôtel (espaces communs et hébergement), Les services de la vidéocommunication sur paires torsadées  Distribution d'images animées (Télévision, Système Interactif, signalétique dynamique…),  Vidéosurveillance. Le cahier de charges détaillé concernant la conception du réseau du Carré Eden (matériels d’interconnexion) qui nous a été livré par le bureau d’étude OGER INTERNATIONAL est représenté par le tableau suivant : Tableau I.3 (a) : Liste de services
CHAPITRE I : CONTEXTE GENERAL DU PROJET 23 Titre Description Cahierdecharges Lot : Câblage CABLE FIBRE OPTIQUE  Type multi-mode à gradient d’indice,  Atténuation pour 850/1300nm < 3,75/1,5 dB / km,  Nombre de brins : 12 brins /24 brins pour les baies d’étage,  Dimension des fibres : 50/125μm,  Compatible avec la norme ANSI- FDDI et protocole ATM,  Brins équipés de connecteurs LC- LC, CABLE MULTI- PAIRES 25 PAIRES  100 Ohms, 100 MHz, AWG 24  25 paires sous écran général global  Drain de continuité  Gaine extérieure bleue zéro halogène conforme à la norme IEC 60754-2 et à faible émission de fumée IEC 61034. CABLE 4 PAIRES TORSADEES F/UTP CATEGORIE 6a  Câbles 4 Paires torsadées F/UTP catégorie 6a,  100Ohms, 300MHz , AWG 24,  Compatibles avec la norme PoE qui permet de télé-alimenter des équipements (Téléphone IP, Bornes WIFI, Camera IP,..,etc). Tableau I.3(b) : Caractéristique du matériel de câblage
CHAPITRE I : CONTEXTE GENERAL DU PROJET 24 Titre Description Cahierdecharges Lot : Switch Distribution SWITCH DE DISTRIBUTION POE 48/24 PORTS  48/24 ports Ethernet 10/100BASE- TX pour stations de travail,  2 ports 1000BASE-T permettant des connexions fibre optique,  Administrable de niveau 2  supportant la norme IEEE 802.3af : Conforme au standard IEEE 802.3af Supporte les équipements « Power over Ethernet » ou les équipements standards  Administration Dynamique de l’alimentation Consommation configurable par port Monitoring de la consommation  Interface de management Web simplifiée pour la téléphonie IP et les configurations des équipements alimentés  Files d'attente hiérarchisées 802.1p, qualité de service par port  VLAN 802.1Q pour améliorer la sécurité et les performances du réseau avec gestion de QoS 4. Contexte du projet 4.1. Présentation du Carré Eden Tableau I.3(c) : Caractéristique du matériel de distribution
CHAPITRE I : CONTEXTE GENERAL DU PROJET 25 Carré Eden est un hôtel de 200 Chambres faisant partie d’un centre multifonctionnel. L’hébergement occupe les étages R+3 à R+5, alors que les parties communes occupent le R+2 et des parties du RDC et 2ème Sous sol. Notre travail consiste à concevoir optimiser et sécuriser le réseau Lan et WLan de l’hôtel du Carré Eden. Le travail réalisé comporte ainsi trois partie, la première partie concernant la conception du réseau Lan, dans laquelle on décrit les différentes étapes nécessaire à la conception du réseau Lan, la deuxième partie concerne le déploiement d’un réseau Wlan et finalement la troisième partie concerne l’optimisation et la présentation des politiques de sécurité Le travail réalisé est schématisé ci-dessous : Conception optimisation et sécurisation du réseau Lan et Wlan Conception du réseau Lan Planifcation du réseau WLan Optimisation et amélioration des performances Etude des politiques de sécurité du réseau Lan et WLan Conception Optimisation Sécurisation Figure I.4.1 : Emplacement de l’hôtel Carré Eden [2]
CHAPITRE I : CONTEXTE GENERAL DU PROJET 26 4.2 Conduite du projet PHASE A : Pré-étude  ETAPE 1 : Analyse du cadre général projet (7 jours)  ETAPE 2 : Planification et préparation (5 jours) PHASE B : étude  ETAPE 1 : Etude du cahier de charge et conception du réseau Lan (30 jours) o Etude de l’environnement technologique o Etude et choix des technologies o Conception du réseau Lan  ETAPE 2 : Etude et planification du réseau WLan (30 jours) o Etude de contraintes de planification o Etude du logiciel d’audite de site Airmagnet. o 1èr e application d’essai o Etudes des résultats de la 1èr e application  ETAPE 3 : Etude de la solution d’optimisation et de sécurisation (20 jours) o Récolte d’informations et diagnostique des besoins de sécurité o Présentation des politiques de sécurité o Présentation de la méthode d’optimisation o Etudes de la nouvelle configuration des systèmes Notons que :
CHAPITRE I : CONTEXTE GENERAL DU PROJET 27  les jours comptés sont des jours calendaires (samedi et dimanche inclus), et cela de la date du 1/03/2013 au 31/05/2013.  Les jours d’exercices pratiques auxiliaires : de visites de chantier ou de travaux de chantier, sont comptés inclus aux différentes phases. Cette planification peut être détaillée par un diagramme de Gantt : 5. Conclusion Nous connaissons maintenant le contexte général du projet, de son cadre technologique, et de son lieu d’application. L’analyse du cahier de charges nous a permis donc de dégager les informations nécessaires à la conception et à l’étude de notre projet. Nous connaissons aussi la conduite du projet qui a mené à la rédaction de ce document. Dans le chapitre suivant nous exploiterons toutes ses informations pour concevoir et dimensionner le réseau Lan du Carré Eden. Figure I.4.2 : Diagramme de la conduite du travail
28 CHAPITRE II : Etude et conception du réseau LAN
CHAPITRE II : Etude et conception du réseau LAN 29 1. Introduction La conception du réseau que nous avons choisi de mettre en œuvre devrait convenir aux problèmes de communication que nous essaierons de résoudre et aux exigences du client citées précédemment dans le cahier de charges. Pour cela nous devons commencer par choisir une topologie logique et physique présentes actuellement, puis nous allons choisir le type de câbles que nous utiliserons pour le câblage, selon les politiques de conception, et finalement nous allons calculer le nombre de ports nécessaire pour le câblage du réseau Carré Eden. 2. Topologies logiques de réseau 2.1. LAN Ethernet Le principe du réseau Ethernet fut apparu à la fin des années 70 aux Etats- Unis. Ethernet demeure le réseau le plus répandu dans le monde des réseaux locaux, il est né des expériences complémentaires de DEC, Intel et Xerox, bien avant les avancées de la normalisation, ce qui signifie que l'essentiel des protocoles des couches supérieures n'est pas spécifié. Dans les réseaux Ethernet la méthode utilisée est la contention, c’est-à-dire que toute machine peut prendre la parole quand il le souhaite, pour cela il faut une règle pour gérer les émissions dans le réseau, la principale méthode de contention en réseaux locaux est le CSMA/CD avec détection de collision. Cette méthode consiste pour une station donnée, au moment de l’émission à écouter si une autre station n'est pas aussi en train d'émettre. Si c'est le cas, la station cesse d'émettre et réémet son message au bout d'un délai fixe. Cette méthode est aléatoire, en le sens qu'on ne peut prévoir le temps nécessaire à un message pour être émis, transmis et reçu. 2.1.1. Ethernet, IEEE 803.3 10 Base 5 La version 10Base5 est la version d’origine d’Ethernet elle offre un débit de 10Mb/s sur câble coaxial d’une distance maximale de 500m par segment, cette version est représentée dans la figure ci-dessous :
CHAPITRE II : Etude et conception du réseau LAN 30 Chaque station est équipée d’une carte Ethernet (NIC) dite carte transporteur qui assure l’adaptation physique et la gestion de l’algorithme CSMA/CD. Le câble de liaison est constitué de paires torsadées et peut avoir une longueur maximale de 50 mètres. Le câble coaxial est un câble épais de couleur jaune (Ethernet jaune) d'un demi-pouce de diamètre. La longueur totale du réseau peut atteindre 2,5 kilomètres. Cette version d'Ethernet n'est pratiquement plus utilisée que dans les environnements compromis (rayonnement électromagnétique) ou lorsque l'on veut garantir la confidentialité des échanges (pas de rayonnement du câble coaxial). 2.1.2. Ethernet, IEEE 802.3 10 Base 2 La version 10Base2 est la version économique d’Ethernet basé sur un câble coaxial fin, cette architecture est recommandée dans le cas d’un réseau local d’une dizaine de machines. Ce type de réseau Ethernet est représenté ci-dessous : 2.1.3. Ethernet, IEEE 802.3 10 Base T Figure II .2.1.1 : Ethernet version 10Base5 Figure II.2.2.2 : Ethernet version 10Base2
CHAPITRE II : Etude et conception du réseau LAN 31 Compte-tenu des problèmes de câblage, AT&T a imaginé de réutiliser le câblage téléphonique préexistant dans les immeubles de bureaux pour la réalisation de réseau. Cela imposait deux contraintes : l'une de débit, l'autre de distance. Le réseau ainsi réalisé fonctionnait à 1Mbps, les stations étaient connectées sur des concentrateurs répéteurs (hub) et la distance entre le hub et une station était limitée à 250 mètres. Cette architecture est (802.3 1 base 5 ou Starlan) complètement obsolète aujourd'hui a évolué vers une version 10MBps (802.3 10 base T). La figure suivante présente le réseau 10 base T : Tableaux récapitulatifs des versions d'Ethernet Signe Dénomination Câble Connecteur Débit Portée 10Base2 Ethernet mince Câble coaxial (50 Ohms) de faible diamètre BNC 10Mb/s 185m 10Base5 Ethernet épais Câble coaxial de gros diamètre BNC 10Mb/s 500m Figure II.2.1.3: Ethernet version 10BaseT Tableau II.2.1(a) : Versions d’Ethernet à câble coaxial [3]
CHAPITRE II : Etude et conception du réseau LAN 32 Signe Dénomination Câble Connecteur Débit Portée 10Base5 Ethernet standard Paire torsadée RJ-45 100Mb/s 100m 10Base-T Ethernet rapide Double paire torsadée RJ-45 100Mb/s 100m 100Base-TX Ethernet rapide paire torsadée RJ-45 100Mb/s 100m 100Base-FX Ethernet gigabit Double paire torsadée RJ-45 1000Mb/s 100m 1000Base-CX Ethernet gigabit paire torsadée (STP)RJ-45 451000Mb/s 25m 10GBase-T Ethernet 10 gigabit Double paire torsadée RJ-45 1000Mb/s 100 m 1000Base-T Ethernet gigabit Double paire torsadée RJ-45 1000Mb/s 100m 10GBase-T Ethernet 10 gigabit Double paire torsadée RJ-45 10Gb/s 100 m Signe Dénomination Câble Connecteur Débit Portée 100Base-FX Ethernet rapide Fibre optique multi-mode type (62,5/125) ST 1000Mb/s 2Km 1000Base-LX Ethernet gigabit Fibre optique multi- mode/monomode SC 1000Mb/s 550/10000m 1000Base-SX Ethernet gigabit Fibre optique multi-mode SC 1000Mb/s 550m 10GBase-SR Ethernet 10gigabit Fibre optique multi-mode LC duplex 10Gb/s 500m 10GBase-LX Ethernet 10gigabit Fibre optique multi-mode LC duplex 10Gb/s 500 1000Base-LH Ethernet gigabit Fibre optique monomode LC 1000Mb/s 10 à 70Km 1000Base-ZX Ethernet gigabit Fibre optique monomode LC 1000Mb/s 50 à 80Km 10GBase-LR Ethernet 10gigabit Fibre optique monomode LC duplex 10Gb/s 10Km 10GBase-ER Ethernet 10gigabit Fibre optique monomode LC duplex 10Gb/s 40Km 10GBase-SW Ethernet 10gigabit Fibre optique multi-mode LC 10Gb/s 300m 10GBase-LW Ethernet 10gigabit Fibre optique monomode SC duplex 10Gb/s 10Km 10GBase-EW Ethernet 10gigabit Fibre optique monomode LC 10Gb/s 40Km Tableau II.2.1(b) : Versions d’Ethernet à paire torsadée [3] Tableau II.2.1(c) : Versions d’Ethernet à fibre optique [3]
CHAPITRE II : Etude et conception du réseau LAN 33 2.2. Le Token Ring La méthode du jeton consiste a ce que chaque machine doit attendre son rôle pour émettre par le passage d’une configuration particulière de bit dit jeton .Cette méthode est dite déterministe dans le sens ou on peut estimer le temps maximal pour qu’un message puisse attendre sa destination. 2.2.1. Description générale du Token Ring La norme IEEE 802.5 spécifie un réseau local en boucle : c’est-à-dire que chaque station est reliée à sa suivante et à sa précédente par un support unidirectionnel comme le montre la figure suivante : Cette norme fut publiée en 1985 et implémentée en 1986 par IBM le principal acteur du monde du Token Ring. L'implémentation d'IBM diffère quelque peu de la norme d'origine. Notamment, la topologie physique a évolué vers une étoile pour gérer la rupture de l'anneau. Les stations sont reliées à des concentrateurs (MAU Multiple Access Unit). La figure suivante représente ce type de réseau. Figure II.2.2.1(a) : Réseau en boucle Figure II.2.2.1(b) : Implémentation d’IBM
CHAPITRE II : Etude et conception du réseau LAN 34 Les spécifications du Token Ring sont contraignantes au niveau de l'installation. Les possibilités de connexion, distance et nombre de postes, dépendent du type de câble utilisé. Avec du câble 1 ou 2 (dans la terminologie IBM, paires torsadées blindées d'impédance 150 Ohms) la longueur maximale de l'anneau principal est de 366 mètres, l'anneau principal peut comporter jusqu'à 260 stations, la distance maximale station/MAU est de 101 mètres. 2.2.2. Principe général du Token Ring Le droit d'émettre est matérialisé par une trame particulière " le jeton ou Token ". Celui-ci circule en permanence sur le réseau. Une station qui reçoit le jeton peut émettre une ou plusieurs trames (station maître). Si elle n'a rien à émettre, elle se contente de répéter le jeton (station répéteur). Dans un tel système, les informations (trames) transitent par toutes les stations actives. Chaque station du réseau répète ainsi le jeton ou le message émis par la station maître, il n'y a pas de mémorisation du message, un bit reçu est immédiatement retransmit. Le temps alloué à une station pour la répétition d'un bit correspond à un temps bit (possibilité de modifier bit à bit le message). Chaque station provoque ainsi un temps bit de retard dans la diffusion du message. 2.3. Comparaison entre Ethernet et Token Ring Lorsque l'on compare deux types de réseau, les critères à retenir sont principalement :  Les performances en termes de débit et temps d'accès.  Les types de transferts et applications informatiques envisageables.  L'infrastructure requise et les distances maximales admissibles. 2.3.1. En termes de débit et temps d'accès Lorsqu'il parle du débit un réseau il y a donc deux critères à retenir :  Le débit nominal (débit physique) : effectivement lié au choix du réseau.  Le débit vu des applications : dépend de la charge du réseau et des protocoles empilés.
CHAPITRE II : Etude et conception du réseau LAN 35 La figure ci-dessus superpose l'évolution des débits en fonction de la charge de chaque réseau. On constate donc que les réseaux de type Ethernet représentent une meilleure efficacité vis-à-vis des couches supérieures ceci a faible débit. En effet, en Ethernet, si le trafic est faible, dès qu'une station veut émettre, elle émet, par contre en Token Ring même en cas de faible une station ne peut pas émettre que lorsqu’il possède le jeton. Dans le cas de forte charge le réseau Ethernet soufre de fortes collisions et d’effondrement de débit par contre le Token Ring le débit utile du support atteint le débit nominal. 2.3.2. En termes d'application Les deux types de réseaux sont utilisés pour des applications de type conversationnel. Le Token Ring, pouvant garantir une bande minimale, pourra être utilisé pour des transferts sous contrainte temporelle moyennement sévère (transfert synchrone). Mais en principe, aucun des deux ne satisfait au transfert isochrone. En pratique, des essais ont montré qu'il était possible, sous faible charge, de réaliser de tels transferts, à condition d'admettre des pertes d'informations pour assurer une compensation temporelle. 2.3.3. En termes d'infrastructure Pour une implémentation sur le 10BaseT la topologie physique du câblage, ainsi que les distances couvertes sont similaire pour les deux réseaux, ils permettent donc de couvrir de vastes immeubles par l’utilisation des techniques de réseaux fédérateurs. Tableau récapitulatif de la comparaison des deux types réseaux : Figure II.2.3.1 : Evolutions du débit en fonction de la charge [4]
CHAPITRE II : Etude et conception du réseau LAN 36 Ethernet Token Ring débit et temps d'accès Sensible à la charge du réseau même si le débit moyen de chaque station diminue, le débit utile sur le support atteint le débit nominal application transfert isochrone conditionnée transfert synchrone infrastructure topologie physique de câblage et distance couverte sont similaires pour les deux types de réseaux 2.4. FDDI (Fiber Distributed Data Interface) 2.4.1. Présentation de FDDI FDDI est un réseau en double anneau sécurisé l’un pour le transfert de données et l’autre pour la redondance physique de l’anneau principale utilisant la fibre optique multimode offrant un débit nominal de 100Mb/s et une distance de couverture maximale de 100Km, il supporte jusqu’à 1000 stations d’une distance maximale de 2Km l’une de l’autre. Il existe une version de FDDI sur paire torsadée TPDDI offrant un débit de 100Mb/s sur 100m. FDDI ne permet ni le transport de la voix ni celui de la vidéo, il pourra être utilisé comme réseau métropolitain puisqu'il peut supporter jusqu'à 500 stations à une distance dépassant les 150 kilomètres La méthode d'accès est similaire à celle du réseau IEEE 802.5 version 16 Mb/s (ETR, Early Token Release). Pour accéder au support, une station doit posséder le jeton. Elle émet ses données et génère un nouveau jeton. Chaque station retire de l'anneau les données qu'elle y a déposées. Plusieurs trames de données issues de stations différentes peuvent circuler sur l'anneau, mais il n'y a qu'un seul jeton. 2.5. ATM (Asynchrones Transfer Mode) Asynchrones Transfer Mode ou ATM est un protocole réseau de niveau 2 à commutation de cellules, qui a pour objectif de multiplexer différents flots de données sur un même lien utilisant une technique de type TDM ou MRT (multiplexage à répartition dans le temps). Tableau II.2.3 : Comparaison Ethernet et Token Ring
CHAPITRE II : Etude et conception du réseau LAN 37 ATM a été conçu principalement pour fournir un standard réseau unifié qui pourrait supporter un trafic réseau synchrone (SDH), aussi bien qu'un trafic utilisant des paquets (IP, relais de trames, etc.) tout en supportant plusieurs niveaux de qualité de service. ATM est un protocole asynchrone, qui s'appuie fréquemment sur une couche de transport synchrone. C'est-à-dire que les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre, mais sont insérées dans le flux de données synchrones d'un protocole. La commutation de cellules Les cellules ATM sont des segments de données de taille fixe de 53 octets dont 48 octets sont réservés pour la charge utile et 5 octets pour en-tête),la commutation des cellules allie la simplicité de la commutation de circuits et la flexibilité de la commutation de paquets. Un circuit virtuel est établi soit par configuration des équipements, soit par signalisation, et l'ensemble des cellules seront commutées sur ce même circuit virtuel par commutation de labels. En particulier, le chemin utilisé dans le réseau ne varie pas au cours du temps puisqu'il est déterminé lors de l'établissement du circuit virtuel. Les labels permettant la commutation des cellules sont portés dans l'en-tête de chaque cellule. ATM est donc une technologie assez complexe, dont les fonctionnalités s'appliquent aussi bien aux réseaux globaux des sociétés de télécommunications qu'aux LAN plus réduits. [5] 3. Topologies physiques de réseau 3.1. TOPOLOGIE EN BUS La topologie en BUS est une topologie physique de réseau dans laquelle tous les nœuds du réseau sont liées les uns aux autres, a l’extrémité du BUS est placé un bouchon de terminaison signifiant que le réseau se termine comme sur la figure ci-dessous :
CHAPITRE II : Etude et conception du réseau LAN 38 Dans une topologie en BUS une seule station émet sur le bus. Lorsque que celle-ci émet, la trame parcourt tout le bus jusqu'à ce qu'elle arrive au destinataire. La topologie BUS s’avère simple et pratique à réaliser mais le problème qui se pose avec cette topologie est que si l'un des nœuds est déconnecté "temporairement" du réseau, c’est le réseau entier qui tombe.[6] Les câbles utilisés sont généralement de type COAXIAL. On retrouve la topologie en BUS sur des réseaux Ethernet 10 base 2, Ethernet 10 base 5, CATV. 3.2 TOPOLOGIE EN ANNEAU - "TOKEN-RING" Dans la topologie en ANNEAU seul le nœud possédant le jeton a le droit d’emmètre, le jeton va donc gérer l’émission sur le support pour éviter les problèmes de collision. En FDDI, comme on a vu dans la partie précédente il y a une deuxième boucle de secours au cas où la première boucle est temporairement indisponible. Les nœuds sont donc disposés sous forme d’un anneau comme le montre la figure ci-dessous : Figure II.3.1 : Topologie BUS
CHAPITRE II : Etude et conception du réseau LAN 39 Il y a principalement deux technologies utilisant ce système. Le Token Ring d'IBM, son évolution le HSTR (High Speed Token Ring) et le FDDI (Fiber Distributed Data Interface). 3.3 TOPOLOGIE EN ETOILE La topologie en ETOILE se repose sur un équipement central, concentrateur ou hub, qui va diriger toutes les connexions comme le montre la figure ci-dessous : Si le concentrateur tombe en panne, le réseau est indisponible. Par contre on peut retirer ou ajouter une station sans que le réseau entier ne tombe, son inconvénient est que cela demande plus de câbles physiques. Figure II.3.3 : Topologie Etoile Figure II.3.2 : Topologie en Anneau
CHAPITRE II : Etude et conception du réseau LAN 40 On retrouve cette topologie sur les réseaux StarLan, ArcNet, Ethernet, Fast- Ethernet, Gigabit-Ethernet. Voici quelques avantages du câblage en étoile :  Chaque liaison est indépendante des autres  Extension du système par l’addition de liaisons vers l’extérieur  Permet une mise en œuvre progressive du système  Gestion centralisée  Les changements futurs ne nécessitent pas de modification dans le pré câblage  Permet de manière rapide et économique toutes les modifications de configuration On essaiera de mettre le point sur les avantages et les inconvénients de cette topologie plus tard dans la conception du réseau du Carré Eden [6]. 4. Types et caractéristique de câbles 4.1 Paires torsadés Une paire torsadée est une ligne de transmission formée de deux fils conducteurs enroulés en hélice l’un autour de l’autre comme sur la figure ci- dessous. Cette configuration a pour but de maintenir précisément la distance entre les fils et de diminuer la diaphonie. La distance maintenue entre les fils de la paire définit son impédance caractéristique. Les contraintes géométriques (épaisseur de l’isolant/diamètre du fil) maintiennent cette impédance autour de 100 ohms voici donc l’impédance caractéristique des paires en fonction de son utilisation :  100 ohms pour les réseaux Ethernet en étoile ;  150 ou bien 105 ohms pour les réseaux Token Ring ;  100 ou bien 120 ohms pour les réseaux de téléphonie ; Figure II.4.1 : Paire torsadée [7]
CHAPITRE II : Etude et conception du réseau LAN 41  90 ohms pour les câbles USB. NB : Plus le nombre de torsades est important, plus la diaphonie est réduite. Il existe en effet plusieurs types de paires torsadées :  Paire torsadée non blindée Unshielded twisted pair (UTP) - dénomination officielle (U/UTP). La paire torsadée non blindée (ou UTP pour unshielded twisted pair) n’est pas entourée d’un blindage protecteur. C’est le type de câble souvent utilisé pour le téléphone et certains réseaux informatiques domestiques.  Paire torsadée écrantée Foiled twisted pair (FTP) ou screened unshielded twisted pair - dénomination officielle (F/UTP). Les paires torsadées ont un blindage général assuré par une feuille d’aluminium. L’écran est disposé entre la gaine extérieure et les 4 paires torsadées. Elle est utilisée pour le téléphone et les réseaux informatiques.  Paire torsadée blindée Shielded twisted pair (STP) - nouvelle dénomination U/FTP. Chaque paire torsadée blindée (ou STP pour shielded twisted pairs) est entourée d’une couche conductrice de blindage, de façon similaire à un câble coaxial. Cela permet une meilleure protection contre les interférences. Elle est communément utilisée dans les réseaux token ring.  Shielded and foiled twisted pair (SFTP) - nouvelle dénomination SF/UTP. Câble doté d’un double écran commun à l’ensemble des paires (feuille métallisée et tresse).  Paire torsadée super blindée Shielded and shielded twisted pair (SSTP) - nouvelle dénomination S/FTP. Câble STP doté en plus d’un écran commun entre la gaine extérieure et les 4 paires.
CHAPITRE II : Etude et conception du réseau LAN 42 4.2. Les Catégories de câbles : La catégorie du câble est définie à partir des mesures réalisées sur les composant en laboratoire par les constructeurs, on peut donc identifier quatre catégories de câble cat 3, cat 4, cat 5, Cat 5E et deux autres cat6 et cat7 qui sont en cours. Les composants de la catégorie 5 et 5E sont identiques, la différence provient du fait que les composants de cat 5e ont des meilleurs résultats lors des tests en laboratoire. En ce qui concerne la catégorie 6 le standard de la prise reste le format RJ45. Le câble catégorie 6 de classe E est une évolution en termes de gradation des performances du câblage pour les liaisons de type Ethernet utilisant des conducteurs à paires torsadées non blindées. Il est rétro-compatible avec les câbles catégories 5 UTP et 5e FTP de classe D et permet de transmettre des données à des fréquences jusqu'à 250 MHz et à des débits théoriques ne dépassant pas 1 Gbit/s, ce type de câble peut permettre l'utilisation du standard 10GBASE-T -10 Gbits/s- jusqu'à 50m). La catégorie 6a est maintenant la plus récente. Elle est définie jusqu'à 500 MHz et est prévue pour le 10 Gigabit Ethernet (10GBASE-T). Figure II.4.1 : Types de paires torsadées [8]
CHAPITRE II : Etude et conception du réseau LAN 43 Les caractéristiques des catégories de câbles sont représentées dans le tableau ci-dessous : Catégorie Caractéristiques Catégorie 3 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiés jusqu'à 16 Mhz. Ethernet 10 Mbps, token ring 4Mbps, LocalTalk, Téléphonie. Catégorie 4 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 20 Mhz. Ethernet 10 Mbps, token ring 4Mbps et 16 Mbps, LocalTalk, Téléphonie. Catégorie 5 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps, token ring 4Mbps et 16 Mbps, ATM 155 Mbps. Catégorie 5 E Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps, token ring 4Mbps et 16 Mbps, ATM 155 Mbps. Catégorie 6 et 6a Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 200 Mhz. Ethernet 10, 100 ou 1000 Mbps, ATM 155 Mbps. Catégorie 7 Câbles 100 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 600 Mhz. Ethernet 10, 100 ou 1000, 10000 Mbps 4.3. Les Classes de câble : Les classes de transmission sont définies à partir des mesures réalisées sur la chaine de liaison, ces mesures sont réalisées sur le terrain lors de l’installation et permettent de donner la classe de la transmission, on peut donc identifier cinq classe d’application classe A, B, C, D et D new, deux autres classes sont en cours ; Classe E et F. Tableau II.4.2 : Catégories et caractéristique de câble [8]
CHAPITRE II : Etude et conception du réseau LAN 44 Les caractéristiques des classes d’application sont représentées dans le tableau ci-dessous : Classe Caractéristiques Classe A Application Voix et fréquence de transmission des informations jusqu'à 100 KHz. Réseaux bas débit Classe B Application Data et fréquence de transmission des informations jusqu'à 1 Mhz. Réseaux faible débit Classe C Application Data et fréquence de transmission des informations jusqu'à 16 Mhz. Réseaux haut débit Classe D Application Data et fréquence de transmission des informations jusqu'à 100 Mhz. Réseaux très haut débit Classe E Application Data et fréquence de transmission des informations jusqu'à 200 Mhz. Réseaux très haut débit Classe EA Application Data et fréquence de transmission des informations jusqu'à 500 Mhz. Réseaux très haut débit Classe F Application Data et fréquence de transmission des informations jusqu'à 600 Mhz. Réseaux très haut débit Classe FA Application Data et fréquence de transmission des informations jusqu'à 1 GHz. Réseaux très haut débit Après la présentation des classes et catégories de câble voici donc un tableau récapitulatif des distances maximales de lien selon le type et la classe d’application comme définit dans la norme ISO 11 801 : Cat du média Classe A Classe B Classe C Classe D et D new Cat 3 2 km 500 m 100 m Cat 4 3 km 600 m 150 m Cat 5 et 5E 3 km 700 m 160 m 100 m Tableau II.4.3(a): Classes et caractéristiques de câble [8] Tableau II.4.3(b) : Distances opérationnelles des medias
CHAPITRE II : Etude et conception du réseau LAN 45 5. Conception du réseau du Carré Eden 5.1 Conception de la couche 1 La conception de la couche 1 ou le câblage physique est l’un des éléments les plus importants à prendre en considération lors de la conception d'un réseau , elle comprend généralement le type de câble a utiliser (câble de cuivre ou fibre optique) ainsi que la structure globale du câblage , nous devons donc choisir la topologie physique et logique du réseau ainsi que le type de câble a utiliser pour le câblage. Topologie physique : Avant de choisir la topologie physique, il est nécessaire de prendre en considération la faisabilité de l’installation, à première vue la topologie étoile semble être la plus adapté à l’architecture du réseau du Carré Eden, ci-dessous le tableau récapitulatif des avantages et inconvénients de la topologie étoile : Avantages Inconvénients * Il est très facile à installer et à gérer la topologie de réseau en étoile car il est le plus simple du lot quand il s'agit de la fonctionnalité. * Il est facile de résoudre ce type de réseau que tous les ordinateurs sont tributaires de la plate- forme centrale qui signifie invariablement que tout problème qui quitte le réseau inutilisable peut être attribuée à la plate-forme centrale. * Dans une topologie en étoile, les paquets de données n'ont pas à se frayer un chemin à travers différents nœuds qui permet de s'assurer que le transfert de données est rapide. * Dans le même temps, le fait que les paquets de données que le faire à travers trois points différents afin de garantir que les données sont en sécurité. * Le principal problème avec l'étoile la topologie du réseau est le fait qu'il est très dépendant sur le fonctionnement du noyau central. * La taille du réseau dépend de combien de connexions peuvent être faites sur le moyeu. * Ce type de réseau nécessite plus de câble par rapport à la topologie de bus linéaire ce qui signifie que les dépenses engagées seraient relativement élevés. * La performance de l'ensemble du réseau est directement liée à la performance du moyeu. Si le serveur est lent, cela provoquera l'ensemble du réseau de ralentir. La plupart des inconvénients de la topologie en étoile tourne autour de la dépendance à l'égard de l'ensemble du réseau sur la plate-forme centrale, ce qui signifie que la défaillance du moyeu peut laisser l'ensemble du réseau inutilisable, Tableau II.5.1: Avantages et inconvénients de la topologie étoile
CHAPITRE II : Etude et conception du réseau LAN 46 on peut donc palier a ce problème par la redondance physique de la plateforme centrale. Un autre point qui est l’aspect évolutif du réseau à concevoir, cette topologie nous permet donc de rajouter ou retrancher l’équipement a l’extrémité sans toucher au fonctionnement du réseau. Topologie Logique : A ce niveau, nous devons choisir une topologie logique parmi celles présentées dans la partie précédente. Notre choix devra être compatible avec la topologie physique ainsi qu’avec le type de câbles que nous allons utiliser. Pour un câblage en paire torsadée, FDDI ne semble pas être adapté du fait qu’il nécessite un câblage en fibre optique, certes que FDDI pourra être utilisé sur paire torsadée mais il ne permettra pas de transporter ni la voix ni la vidéo, en conséquence, on ne pourra pas utiliser FDDI. Comme on a vu dans la partie précédente le réseau Token Ring a des performances intrinsèquement supérieures à celles d’Ethernet, mais il ne semble pas être adapté a notre topologie physique en étoile, dans ce cas on pourra utiliser l’implémentation d’IBM basée sur une topologie en étoile dans laquelle les stations sont reliées à des concentrateurs (MAU Multiple Access Unit), mais cela nécessitera l’ajout d’un nombre important d’équipements. Il est clair que les spécifications du Token Ring sont contraignantes au niveau de l'installation, donc notre choix final sera basé sur Ethernet. 5.1.1 Câblage a paire torsadée : Le câblage à paire torsadée supporte tous les réseaux VDI actuels haut débits et très haut débit, nous l’utiliserons pour les liassions horizontale pour connecter le client final au répartiteur d’étage pour des contrainte de distance et de capacité. Pour le câblage de rocade informatique ou télécoms d’immeuble nous utiliserons des câble 32 paires catégorie 5 / Classe D . Pour la liaison terminale entre les armoires et les prises nous utiliserons des câbles 4 paires torsadée F/UTP catégorie 6a. NB : Le câble cuivre est utilisé pour une distance inférieure à 100 mètres. 5.1.2 Fibre optique
CHAPITRE II : Etude et conception du réseau LAN 47 Nous utiliserons la fibre optique pour interconnecter les sous-répartiteurs au répartiteur principal. Il est aussi possible de l’utiliser pour le raccordement d’un poste de travail. Avant de choisir le type de fibre optique à utiliser on essaiera de présenter les différents types de fibre optique pour choisir le type le plus adapté à notre besoin. Il existe 2 types de fibre optique la fibre multi-mode qui regroupe 3 catégories (OM1, OM2 et OM3) et la fibre monomode (OS1). Ces fibres sont caractérisées par la taille du cœur, plus le cœur est gros plus la lumière aura plus de chemins possibles pour se propager et plus forte sera la dispersion modale signifiant un risque de perte de bande passante. Caractéristiques des différentes fibres : La fibre OM1 a un cœur de diamètre 62,5 microns (µ) La fibre OM2 a un cœur de diamètre 50 microns (µ) La fibre OM3 a un cœur de diamètre 50 microns (µ) La fibre OS1 a un cœur de diamètre 9 microns (µ) Les distances opérationnelles varient selon le type de fibre, le tableau ci-dessous représente le type de fibre à utiliser selon de débit et la distance opérationnelle : Distance Opérationnelle Débits 300m 500m 2000m 10 Mbps OM1 OM1 OM1 100 Mbps OM1 OM1 OM1 1 Gbps OM1 OM2 OS1 10 Gbps OM3 OS1 OS1 Le tableau ci-dessous représente la longueur de la fibre selon la classe et le débit Tableau II.5.1.2(a) : Type de fibre et distance opérationnelle selon le débit [10]
CHAPITRE II : Etude et conception du réseau LAN 48 Débits Classe 1 Gbps 10 Gbps OM1 62,5/125µ 2 m à 220 m 2 m à 33 m OM2 50/125µ 2 m à 550 m 2 m à 82 m OM3 50/125µ 2 m à 900 m 2 m à 300 m OS1 9/125µ 2 m à 100 km 2 m à 40 km Le choix de la fibre optique à utiliser est donc fixé sur des fibres optiques multi-mode(OM2) 50/125µ qui se justifie par la longue distance et le débit nécessaire. NB : Pour les longues distances on utilise généralement des fibres monomode (OS1). 5.2. Conception de la couche 2 Apres l’étape de la conception de la couche 1, la deuxième étape consiste à développer une topologie LAN de couche 2, c'est-à-dire à ajouter des équipements de couche 2 à notre topologie dont le but est d'améliorer ses fonctionnalités ainsi que l’augmentation les performances des groupes de travail. Nous utiliserons des commutateurs LAN pouvant attribuer la bande passante par port, pour laisser davantage de bande passante aux câbles verticaux. Le câble vertical acheminera tout le trafic de données entre le répartiteur principal et le répartiteur intermédiaire. Il est donc clair que sa capacité souhaitée est supérieure à celle d’un câble horizontal. 5.2.1 Conception de la couche d’accès La couche accès est le point d'entrée au réseau pour les stations de travail utilisateur. Dans un réseau LAN, nous pouvons uti liser soi t de commutateurs offrant une bande passante commutée soi t des concentrateurs offrant une bande passant partagée. Les commutateurs de la couche accès permettent d’offrir des services comme les VLANs, Leur objectif principal est d’autoriser l’accès des utilisateurs finaux sur le réseau. 5.2.2 Conception de la couche distribution Tableau II.5.1.2(b) : performances des fibres [11]
CHAPITRE II : Etude et conception du réseau LAN 49 La couche de distribution est le point de regroupement des connexions des locaux techniques intermédiaires, elle permet donc de définir les domaines de diffusion et de diffusion multipoint, le routage des Vlan et finalement la sécurité. Les commutateurs de la couche de distribution doivent être en mesure de supporter la totalité du trafic des équipements de la couche accès, ils doivent avoir des performances plus élevées que les commutateurs de la couche d’accès. Le schéma de câblage de la couche de distribution du réseau du Carré Eden est représenté dans la figure ci-dessous :  Le local technique du niveau R-2 va desservir tout le niveau.  Le local technique du niveau R+2 zone 1 va desservir la zone 1 et la zone 2 du niveau R+2.  Le local technique du niveau R+2 zone 4 va desservir la zone 4, la zone 3 du niveau R+2 et le niveau RDC.  Le local technique du niveau R+3 zone 1 va desservir la zone 1 du niveau R+3  Le local technique du niveau R+3 zone 2 va desservir la zone 2 du niveau R+3  Le local technique du niveau R+3 zone 4 va desservir la zone4 du niveau R+3 Figure II.5.2.2 : Synoptique de câblage des locaux techniques
CHAPITRE II : Etude et conception du réseau LAN 50  Le local technique du niveau R+4 zone 1 va desservir la zone 1 du niveau R+4 et la zone 1 du niveau R+5.  Le local technique du niveau R+4 zone 2 va desservir la zone 2 du niveau R+4 et la zone 2 du niveau R+5.  Le local technique du niveau R+4 zone 3 va desservir la zone 3 du niveau R+4 la zone 3 du niveau R+5 et la zone 3 du niveau R+3.  Le local technique du niveau R+4 zone 4 va desservir la zone 4 du niveau R+4 et la zone 4 du niveau R+5. 5.2.3 Equipements d’interconnexion Nous devons choisir les équipements d’interconnexion pour la couche d’accès et la couche de distribution dont nous aurons besoin, le tableau représentant les caractéristiques et le prix de trois différentes marques se présente comme suit : Propriétaire Série model POE puissance capacité Prix (MAD) type CISCO Cisco Catalyst 3750-X Series WS-C3750X- 24P-L 370W 715W 24e+1Ge 3 2545 Accès WS-C3750X- 48T-L 370W 715W 48e+4Ge 3 4585 Catalyst 4500 Series Switches Supervisor 7E - - 4x10Ge Up to 384 accès 7 5795 Distribution Supervisor 7LE - - 4x10Ge Up to 240 accès 7 1674 Tableau II.5.2.3 (a) : Caractéristiques de commutateurs Cisco
CHAPITRE II : Etude et conception du réseau LAN 51 Propriétaire Série model POE puissance capacité Prix(MAD) type HP HP5500 HI JG311A 141 W 512w 24e-2Ge 11545 Accès JG312A 196 W 512W 48e-2Ge 22433 série10500 JC613A - - 4x10Ge Up to 280 accès 3 8897 Distribution JC612A - - 4x10Ge Up to 196 accès 40000 Distribution Propriétaire Série Model POE puissance capacité Prix (MAD) type AVAYA - Ethernet 2526T-PWR 152W 444w 24e+2Ge 6860 Accès - Ethernet 2550T 187W 512w 48e+4Ge 18587 Accès Switch 8000 Series Switch 8300 6-Slot System - - 4x10Ge Up to 280 accès 3 5500 Distribution Switch 8300 10- Slot System - - 4x10Ge Up to 475 accès 3 7751 Distribution 5.2.4 Choix des matériels : Comme on peut le remarquer les commutateurs Avaya Ethernet 2550T et Ethernet 2526T-PWR répondent bien à nos besoins pour un prix plus bas que celui des deux autres marques (HP, Cisco), nous allons donc opter pour le commutateur Avaya pour la couche d’accès et pour la couche de distribution au niveau de la laquelle on exigence des performances plus élevées qu’au niveau de la couche d’accès. Tableau II.5.2.3 (c) : Caractéristiques de commutateurs Avaya Tableau II.5.2.3 (b) : Caractéristiques de commutateurs HP
CHAPITRE II : Etude et conception du réseau LAN 52 Nous devons calculer le nombre de port nécessaire pour les répartiteurs intermédiaires et le répartiteur principal pour calculer le nombre de commutateurs nécessaire. Pour cela nous devons avoir une idée sur les désignations de chaque zone et de chaque niveau de l’hôtel, les tableaux ci-dessous représente les désignations de chaque zone et niveau : Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R-2 Z1 25 24 **** 12 **** RDC Z4 12 10 **** 7 **** Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+2 Z1 21 24 **** 4 4 Z2 90 33 9 6 10 Z3 11 5 **** 2 3 Z4 48 22 5 2 6 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+3 Z1 53 52 26 2 8 Z2 37 35 18 2 5 Z3 21 32 17 2 5 Z4 55 47 26 2 8 Tableau II. 5.2.4(b) : Désignation du niveau R+2 Tableau II. 5.2.4(a) : Désignation des niveaux R-2 et RDC Tableau II. 5.2.4(c) : Désignation du niveau R+3
CHAPITRE II : Etude et conception du réseau LAN 53 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+4 Z1 52 36 26 2 8 Z2 56 35 25 2 7 Z3 31 33 14 2 5 Z4 59 41 24 2 8 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+5 Z1 44 35 16 **** 8 Z2 46 33 17 **** 7 Z3 27 17 11 **** 5 Z4 55 35 22 **** 8 Nous pouvons ainsi calculer le nombre de port nécessaire par zones de niveau, Les calculs sont présentés dans le tableau ci-dessous : Zone Z1 Z2 Z3 Z4 Niveau R-2 61 ****** ****** ****** RDC ****** ****** ****** 29 R+2 53 148 21 83 R+3 141 97 77 138 R+4 124 125 85 134 R+5 103 103 60 120 Tableau II. 5.2.4(g) : Nombre de port par zone de niveau Tableau II. 5.2.4(d) : Désignation du niveau R+4 Tableau II. 5.2.4(e) : Désignation du niveau R+5
CHAPITRE II : Etude et conception du réseau LAN 54 Apres nous pouvons calculer le nombre de ports ainsi que le nombre de commutateur nécessaires pour chaque local technique, on rappelle que le réseau comporte 10 locaux techniques intermédiaires et un local technique principale comme le montre la figure II.5.2.2, à noter que le nombre de prise téléphonique ne sera pas pris en compte pour le calcul du nombre de commutateurs nécessaires. On revient donc sur le schéma de câblage de locaux techniques, à avoir qu’il y a des locaux techniques qui desservent plus qu’une zone. Les calculs sont présentés dans le tableau ci-dessous : Désignation du local technique Z1/R2 Z4/R2 Z1/R3 Z2/R3 Z4/R3 Z1/R4 Z2/R4 Z3/R4 Z4/R4 Z1/R-2 Nombre de ports 201 133 141 97 138 227 228 222 254 61 Commutateur 24 port 1 ***** ***** 1 ***** ***** ***** ***** 1 1 Commutateur 48 ports 4 3 3 2 3 5 5 2 5 1 Apres avoir calculé le nombre de commutateurs nécessaires à la conception du réseau ainsi que la longueur et le type de câble à utiliser, nous pouvons maintenant estimer le cout prévisionnel de notre conception, mais avant, voici un tableau récapitulatif des caractéristique et utilisation du matériel choisi : Equipement Caractéristique utilisation câble 32 paires catégorie 5 / Classe D Câbles 100 , 120 ou 150et connecteurs dont les caractéristiques de transmission sont spécifiés jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps. Câblage de rocade informatique câbles 4 paires torsadées F/UTP catégorie 6a Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 200 Mhz. Ethernet 10, 100 ou 1000Mb /s liaisons terminales entre les armoires et les prises fibres optiques multi- mode(OM2) 50/125µ 2 m à 550 m pour 1Gb /s Interconnexion des répartiteurs intermédiaires au répartiteur principal Tableau II. 5.2.4(h) : Nombre de ports et de commutateurs par local technique Tableau II. 5.2.4(h) : Caractéristiques de et utilisation des câbles
CHAPITRE II : Etude et conception du réseau LAN 55 Equipement Caractéristique utilisation AVAYA Ethernet 2526T-PWR 24e+2Ge Commutateur de couche d’accès AVAYA Ethernet 2550T 48e+4Ge Commutateur de couche de distribution 5.2.5 : Evaluation financière L’évaluation financière est représentée dans le tableau ci-dessous : Equipement Quantité Prix unitaire Prix totale (MAD) Prises murales Femelle 2000 7,3 14.600 Connecteur 3402 5,4 18.371 Equipement Quantité Prix unitaire Prix total (MAD) câble 32 paires catégorie 5 / Classe D 30000(mètres) 9,4 56 .400 câbles 4 paires torsadées F/UTP catégorie 6a 120000(mètres) 14,5 435.000 fibres optiques multi- mode(OM2) 50/125µ 1500 (mètres) 32 48.000 Equipement Quantité Prix unitaire Prix total (MAD) AVAYA Ethernet 2526T-PWR 24 ports 4 7000 28.000 AVAYA Ethernet 2526T-PWR 48 ports 33 20000 660.000 AVAYA Switch 8300 6- Slot System 3 40000 120.000 Tableau II. 5.2.4(i) : Caractéristiques de et utilisation des commutateurs Tableau II.5.2.5 (c) : Quantité et cout d’achat des commutateurs [13] Tableau II. 5.2.5(a) : Quantité et coût d’achat des prises et des connecteurs Tableau II. 5.2.5(b) : Quantité et coût d’achat des câbles
CHAPITRE II : Etude et conception du réseau LAN 56 Equipement Prix (MAD) Prix total (MAD) Prises et connecteurs 32.971 1.380.371Câbles 539.400 Commutateurs 808.000 Le coût de la conception du réseau est donc estimé à 1.380.371 MAD. Le coût ainsi calculé n’est pas le coût total de la conception du réseau Lan du Carré Eden, nous devons y ajouter le coût de la main d’œuvre ainsi que des équipements terminaux à savoir les points d’accès et les cameras de surveillance, des documents et des logiciels nécessaires a la finalisation de la conception. 6. Conclusion Le câblage prend aujourd’hui une importance croissante dans la réalisation des réseaux de transmission de l’information. Il est important de bien concevoir le câblage, pour optimiser son coût, tant initial qu’a long terme. C’est là qu’apparaît l’avantage du pré-câblage sur le câblage sur mesure, d’autre part il faut veiller à bien gérer les trafics circulant sur le réseau tant qu’il y a des trafics exigeants en termes de débit et de délais de transmission. Pour bien concevoir notre réseau, il faut penser aussi à déployer un réseau local sans fils WLAN qui permettra aux clients plus de mobilité, le réseau WLAN à déployer devra être de sa part optimal et performant, une bonne planification nous permettra donc de bien concevoir notre réseau WLAN. Le chapitre suivant fera donc l’objet de la planification du réseau WLAN dans lequel on traite les différents paramètres à prendre en compte. Tableau II.5.2.5(d) : Evaluations financière
57 CHAPITRE III : Etude et planification du réseau WLAN
CHAPITRE III : Etude et planification du réseau WLAN 58 1. Introduction Le problème de planification radio s’inscrit dans un objectif global d’amélioration des performances du réseau du Carré Eden que nous essayons de concevoir. Quelle que soit sa nature, le réseau WLan doit permettre de transmettre des données le plus rapidement possible tout en garantissant une réception limitant au maximum la perte d’information. Une communication radio ne peut être établie que si le rapport entre la puissance du signal reçu et le bruit environnant est suffisant pour permettre la démodulation du signal par le récepteur. Du fait de la nature du médium radio, il est difficile d’obtenir une qualité de communication semblable à celle obtenue avec les technologies filaires. De ce fait notre planification devra prendre en charge toutes les contraintes pouvant réduire les performances de notre réseau sans fils. Durant ce deuxième chapitre nous essaierons de présenter brièvement les différentes normes du standard 802.11, après nous allons mettre le point sur les problèmes pouvant intervenir durant la planification du réseau sans fils et la présentation de quelques axes d’amélioration, finalement nous allons présenter le résultat de la première application obtenu par le logiciel Surveyor de Airmagnet qui sera présenté par la suite. 2. Standard IEEE 802.11 IEEE 802.11 est un ensemble de normes concernant les réseaux sans fil qui ont été mises au point par le groupe de travail 11 du Comité de normalisation LAN/MAN de l'IEEE (IEEE 802). Le terme 802.11x est également utilisé pour désigner cet ensemble de normes et non une norme quelconque de cet ensemble comme pourrait le laisser supposer la lettre « x » habituellement utilisée comme variable. Il n'existe donc pas non plus de norme seule désignée par le terme 802.11x. Le terme IEEE 802.11 est également utilisé pour désigner la norme d'origine 802.11, et qui est maintenant appelée parfois 802.11legacy. IEEE 802.11 fait partie d'un ensemble de normes édictées sous l'égide du comité de standardisation IEEE 802. Celui-ci constitue un tout cohérent servant de base de travail aux constructeurs développant des équipements et les services chargés de l'implémentation des infrastructures réseaux à liaison filaire et sans fil. 2.1. Les normes
CHAPITRE III : Etude et planification du réseau WLAN 59 La toute première version de la norme 802.11 a été proposée en 1997. Elle décrit les couches physiques et MAC pour une vitesse de transmission allant jusqu’à 2Mbits/s dans la bande des 900 MHz. Les extensions de cette norme sont les suivantes [14] : 2.1.1. La norme 802.11a La norme IEEE 802.11a (baptisé Wifi 5) est définie en 2001.Elle permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). Son avantage par rapport aux normes 802.1 1b/g est qu'elle dispose d'une plus grande bande passante (5 GHz) donc peu encombrée, et offre des débits plus importants que 802.11 b (11 Mbps). I EEE 802.11 a utilise une technique de modulation OFDM. Les inconvénients de cette norme sont sa faible portée (15m) et son incompatibilité avec 802.11b. 2.1.2. La norme 802.11b Le terme Wi -Fi, fait référence à cette norme qui fut la première norme des WLAN utilisée par un grand nombre d'utilisateurs, elle a été approuvée le 16 Décembre 1999 par l'IEEE. La norme WiFi permet l’interopérabilité entres les différents matériels existants, elle offre des débits de 11 Mbps, avec une portée de 300m dans un environnement dégagé. Elle fonctionne dans la bande des 2,4GHz, séparée en plusieurs canaux. Son inconvénient est le risque d'interférence avec les appareils fonctionnant aux mêmes fréquences (four à micro onde, matériel sans fils, ...). 2.1.3. La norme 802.11g Cette norme a été développée en 2003. Elle étend la norme 802.11b, en augmentant le débit jusqu'à 54Mbps théorique (30 Mbps réels). Elle fonctionne aussi à 2,4GHz, ce qui rend les deux normes parfaitement compatibles. Grâce à cela, les équipements 802.11b sont utilisables avec les points d'accès 802.11g et vice- versa. Cependant, 802.11g utilise la technique de modulation OFDM. 2.1.4. La norme 802.11n La norme IEEE 802.11n, ratifiée en septembre 2009, permet d'atteindre un débit théorique allant jusqu'à 450 Mbits/s sur chacune des bandes de fréquences utilisable (2,4 GHz et 5 GHz). Elle améliore les standards précédents : IEEE 802.11a
CHAPITRE III : Etude et planification du réseau WLAN 60 pour la bande de fréquences des 5 GHz, IEEE 802.11b et IEEE 802.11g pour la bande de fréquences des 2,4 GHz. Amélioration par rapport aux normes IEEE 802.11a/b/g La norme apporte des améliorations par rapport à IEEE 802.11a/b/g grâce aux technologies suivantes :  MIMO qui permet d'utiliser, à la fois, plusieurs émissions spatiales et plusieurs antennes pour les récepteurs et émetteurs.  Le regroupement des canaux radio permettant d'augmenter la bande passante.  L'agrégation de paquets de données qui permet l'augmentation des débits Variante Débit Max Fréquence Canaux Modulation Radio 802.11a 2 Mb/s 2,4 GHz 3 FHSS ou DSSS 802.11a 54 Mb/s 5 GHz 19 OFDM 802.11b 11Mb/s 2,4GHz 3 DSSS ou HR-DSSS 802.11g 54Mb/s 2,4 GHz 3 DSSS ou HR-DSSS ou OFDM 802.11n > 100 MB/s 2,4 GHz ou 5 GHz 3ou 19 DSSS ou HR-DSSS ou OFDM 2.2 LA COUCHE PHYSIQUE 802.11 Comme il a été indiqué précédemment, le standard 802.11 d'origine a défini trois couches physiques de base, FHSS, DSSS, IR, auxquelles ont été rajoutées trois nouvelles couches physiques Wi-Fi (avec deux variantes au sein de la solution 802.11b) et Wi-Fi5 (802.11a/g). Tableau III.2.1.4 : Récapitulatif des caractéristiques des normes [15]
CHAPITRE III : Etude et planification du réseau WLAN 61 Figure III.2.2 (a): couches physiques du 802.11 [18] Figure III.2.2(b) : débits et portées du 802.11 [18]
CHAPITRE III : Etude et planification du réseau WLAN 62 2.3 Architecture du WIFI Nous pouvons, dans un premier temps, classer les architectures de réseaux WiFi en deux grandes catégories suivant le type de point d'accès utilisé : point d'accès lourd et point d'accès léger. Un point d'accès lourd est un équipement autonome dans lequel se trouve une intelligence assez importante pour prendre en charge de nombreuses fonctionnalités concernant la gestion, la qualité de service, la sécurité, etc. Les points d'accès légers ont au contraire un nombre très limité de fonctions et les architectures basées sur les AP légers concentrent l'intelligence dans un commutateur.[16] 2.3.1. Avantages et inconvénients des bornes lourdes. Les bornes lourdes sont conçues comme des équipements réseaux Ethernet standard s'interfaçant avec les autres gammes de produit réseaux Ethernet existant. Les équipementiers généralistes, proposant de nombreuses gammes mais aussi les clients dont le réseau est déjà constitué y sont très intéressés. Pour les petits déploiements WiFi, une borne lourde s'interfacera avec un commutateur en place, et ne nécessite aucun équipement complémentaire. 2.3.2. Avantages et inconvénients des bornes légères Avec les APs léger, le déploiement et la maintenance sont simplifiés. La configuration est non rémanente (si l'AP est débranché, la configuration disparaît) ce qui élimine le risque que les paramètres soient obtenus en cas de vol. Les changements de firmware sont propagés automatiquement à partir du commutateur et peuvent être protégés par chiffrement, AES par exemple. Grâce à un couplage fort avec le commutateur, les basculements d'un AP à un autre (handovers), très utiles pour la ToIP, sont gérés rapidement et simplement. Le gros inconvénient des AP légers est d'imposer une architecture propriétaire entre la borne et le commutateur, très contraignante et excluant la cohabitation de matériels hétérogènes. Poussé à l'extrême, l'AP léger ne joue que le rôle d'antenne. L'antenne est reliée à un commutateur/gestionnaire d'antennes. En d'autres termes, nous avons un point de contrôle qui possède des antennes multiples qui couvrent tout un territoire. Cette solution nécessite une remontée des informations vers le contrôleur qui possède donc l'ensemble de toutes les fonctions. Une difficulté étant le manque de traitement de la partie signal et de la partie signalisation au niveau de l'antenne, il faut transporter tous les signaux jusqu'au point de traitement sans que cela soit des réseaux de type Ethernet, ce qui complique assez fortement la partie câblage de l'entreprise qui veut se doter de
CHAPITRE III : Etude et planification du réseau WLAN 63 cette solution. Nous verrons que des propositions de standardisation sont en cours de définition afin de traiter ce problème. 3. Réseau sans fil et perturbation d’environnement 3.1. Perturbation et sources d’interférence Le bruit peut perturber énormément les communications en provoquant une perte importante de paquets échangés. Si le rapport signal sur bruit n’est pas suffisamment élevé, la communication ne sera tout simplement pas possible, même si le signal reçu a une puissance importante. 3.3.1. Les réseaux voisins La première source de bruit pour le WiFi est le WiFi, c’est-à-à dire que si un voisin a déployé un réseau WiFi et que certains de ses points d’accès utilisent des canaux proches ou identiques à ceux de nos points d’accès, alors nous allons subir, tous les deux, des pertes importantes de débit. La première chose qui doit être faite avant le déploiement est de faire un audit de site qui permettra de vérifier s’il existe des réseaux voisins, sur quels canaux, à quelle puissance, etc. Pour cela, on peut utiliser un analyseur du type NetStumbler ou AirMagnet. Cela va donc nous permettre de savoir si un point d’accès est déployé à proximité, quel canal il utilise et plus généralement quel est le rapport signal sur bruit sur un canal donné. Ensuite, il faut configurer chaque AP sur un canal libre et peu bruyant. Si on va utiliser le 802.11b ou le 802.11g, il faut choisir des canaux assez éloignés de ceux qui sont déjà occupés, car les canaux voisins se superposent, ce problème ne se pose pas avec le 802.11a car tous les canaux sont indépendants comme le montre la figure ci-dessous : il suffit donc de choisir un canal inoccupé. Figure III .3.3.1(a) : Répartition des canaux autour de 5GHz
CHAPITRE III : Etude et planification du réseau WLAN 64 3.3.2 Le Bluetooth Claviers, souris, imprimantes, PDA, ordinateurs et autres matériels utilisant la technologie Bluetooth peuvent perturber le 802.11b et le 802.11g car ils emploient la même bande de fréquences à 2,4 GHz. Puisque cette technologie repose sur la modulation, l’ensemble des canaux WiFi est touché. Heureusement, la puissance des équipements Bluetooth est en général assez faible, donc le problème ne se pose que si l’on est à proximité (moins d’une dizaine de mètres) d’un équipement Bluetooth. Par ailleurs, l’utilisation de ces équipements est en général ponctuelle : synchronisation d’un PDA avec un ordinateur, échange de cartes de visites électroniques entre ordinateurs et ainsi de suite, donc le problème est souvent si limité dans le temps qu’on ne le remarque pas. Par ailleurs, si un équipement Bluetooth est fréquemment utilisé par vos employés et pendant des durées importantes, comme des oreillettes sans fil permettant de téléphoner sur IP, par exemple, alors les risques d’interférences sont importants. Une solution consiste à définir des règles d’usage des ondes radio au sein de votre entreprise, par exemple en n’autorisant l’utilisation du Bluetooth que pour synchroniser des PDA. Par ailleurs, certains produits Bluetooth savent détecter et éviter les canaux occupés par le WiFi. Une autre alternative est d’utiliser le 802.11a ou le 802.11n à 5 GHz, car à ces fréquences on n’est pas du tout gêné par le Bluetooth. On verra cette partie plus en détails dans les axes d’amélioration. 3.3.3. Les fours à micro-ondes Une autre source de bruit très sérieuse est le four à micro-ondes. En effet, ces fours sont présents chez beaucoup de particuliers et dans de nombreuses Figure III.3.3.1(b) : Répartition des canaux autour de 2.4GHz [17]
CHAPITRE III : Etude et planification du réseau WLAN 65 cafétérias du centre commercial. Ils provoquent fréquemment des problèmes importants d’interférences avec le WiFi car ils sont extrêmement bruyants sur les fréquences de 2,4 GHz. En outre, on ne les remarque pas toujours pendant l’audit de site, car ils ne sont pas utilisés en permanence. Une fois déployé, le réseau sans fil fonctionne correctement la plupart du temps, mais aux alentours de midi, tous les jours, à plusieurs reprises et sans raison apparente, le réseau sans fil devient extrêmement lent voire indisponible pendant quelques minutes : à cette heure-ci, les employés font chauffer leur repas. Heureusement, la fréquence radio exacte utilisée par un four est en général indiquée à l’arrière du four ou dans sa documentation : on doit essayer d’utiliser les canaux les plus éloignés possibles de cette fréquence. Le plus sûr est de le mettre en marche pendant les tests préalables au déploiement Encore une fois, le 802.11a n’est pas touché, de même que le 802.11n à 5 GHz. 4. Perturbation radio 4.1 L’absorption et la réflexion Lorsqu’un obstacle se situe entre l’émetteur et le récepteur, les ondes radio sont en partie reflétées et en partie (ou en totalité) absorbées par l’obstacle. La portion du signal qui parvient à traverser l’obstacle est donc affaibli. Il faut noter que plus la fréquence de l’onde radio est élevée, moins celle-ci traverse les obstacles. Le 802.11a et le 802.11n à 5 GHz, sont donc moins pénétrants que le 802.11b, le 802.11g ou le 802.11n qui reposent sur le 2,4 GHz. 4.2. La diffraction Le principe de Huygens-Fresnel Un autre phénomène auquel les ondes radio sont sujettes est la diffraction. Elle peut être expliquée brièvement par le principe de Huygens-Fresnel : chaque point par lequel passe une onde peut être considéré comme une nouvelle source de l’onde, émise dans toutes les directions. En l’absence d’obstacles, la somme des ondes émises donne un front d’onde qui se propage normalement, dans une direction, car les ondes émises dans les autres directions s’annulent mutuellement. Toutefois, dès que le front de l’onde se heurte à un obstacle, les ondes émises par les points situés aux extrémités de cet obstacle se propagent dans toutes les directions et ne sont plus annulées par les ondes voisines : l’obstacle peut ainsi être contourné, en particulier si ses bords sont saillants.
CHAPITRE III : Etude et planification du réseau WLAN 66 4.3. Les chemins multiples (multipath) La réflexion et la diffraction sont utiles pour capter le signal à un endroit où l’émetteur n’est pas visible : on dit qu’on est en condition de Non Line of Sight (NLOS), c’est-à-dire que l’on n’a pas une ligne de vision directe. Mais les réflexions et diffractions peuvent également être nuisibles lorsqu’elles font apparaître de multiples chemins possibles entre l’émetteur et le récepteur (on parle de multipath). Dans ce cas, un même signal peut alors atteindre le récepteur à plusieurs moments différents. Il y a alors trois conséquences néfastes possibles : 1. si le décalage dans le temps est tel que les différentes ondes soient en opposition de phase, le signal est atténué, voire même complètement annulé si les ondes opposées ont une puissance identique ; 2. en arrivant par plusieurs chemins distincts, le signal est étalé dans le temps et le récepteur doit être capable de l’interpréter correctement ; 3. si le décalage est très important, un symbole peut arriver en même temps que le symbole suivant (interférence inter-symboles ou ISI, voir le chapitre 2), ce qui perturbe fortement la communication. Éviter les obstacles 5. Les axes d’amélioration Comment réussir une liaison de point à point à haut débit sur une grande distance ? Quelles antennes choisir ? Comment respecter la limite de puissance légale tout en optimisant la portée ? Comment limiter le nombre de points d’accès Figure III.4.3 : Phénomène de trajets multiples
CHAPITRE III : Etude et planification du réseau WLAN 67 à installer tout en ayant une bonne couverture radio ? Comment obtenir une grande capacité et gérer de nombreux utilisateurs ? Nous devons donc répondre à ces questions avant de passer à l’étape finale qui est le déploiement. 5.1. Agir sur les antennes Un premier axe d’amélioration consiste à utiliser des antennes directionnelles ou sectorielles pour concentrer le signal vers la zone à couvrir, en essayant d’éviter le débordement vers les cellules voisines. En complément, si l’AP le permet, on peut également diminuer la puissance du signal émis. Il faut toutefois s’assurer que la couverture dans la cellule ne soit pas détériorée. En outre, une station associée à un AP émet sur le canal défini par cet AP. Résultat, si un AP autorise des stations éloignées à s’associer à lui, ces stations seront des sources d’interférences pour les autres AP utilisant le même canal. Ainsi, il peut être intéressant de diminuer la sensibilité de l’AP pour empêcher des stations distantes de s’y associer : elles choisiront automatiquement un AP plus proche d’elles. Si l’AP n’offre pas l’option de réduire sa sensibilité, on peut également utiliser un câble d’antenne à forte perte : cela reviendra à perdre simultanément de la sensibilité et de la puissance d’émission, donc à réduire le rayon de la cellule. C’est une moins bonne solution car la perte est à la fois à la réception et à l’émission : il faut à nouveau faire attention à ne pas détériorer la couverture au sein de la cellule. En outre, on peut choisir d’installer des antennes hélicoïdales, car leur polarisation circulaire permet de limiter l’effet des réflexions comme nous l’avons vu plus haut. 5.2. Utiliser le 802.11a ou le 802.11n à 5 GHz Une autre solution, sans doute la meilleure si l’on souhaite absolument avoir un réseau sans fil très performant : utiliser le 802.11a ou le 802.11n à 5 GHz. En effet, à 5 GHz, on dispose de 19 canaux indépendants. Ceci permet d’espacer bien davantage les AP utilisant un même canal et de limiter ainsi considérablement les interférences. La figure III.5.2 montre à quoi ressemble un déploiement à 5 GHz.
CHAPITRE III : Etude et planification du réseau WLAN 68 Un autre avantage considérable du WiFi à 5GHz est le fait que cette bande de fréquences est peu encombrée : on ne sera pas gêné par le Bluetooth, les fours à micro- ondes, les téléphones portables, etc. En outre, le WiFi à 5 GHz étant relativement peu répandu en France, contrairement au 802.11b au 802.11g et au 802.11n à 2,4 GHz, il est peu probable que le réseau sans fil de votre voisin sera en Wifi à 5 GHz : cela limite encore les possibilités d’interférences. En revanche, le Wifi à 5 GHz n’a pas que des atouts : ses deux principaux inconvénients par rapport au Wifi à 2,4 GHz sont le prix et le consensus. En effet, les AP et les adaptateurs à 5 GHz sont en général légèrement plus chers que les équipements à 2,4 GHz. D’autre part, le 5 GHz est encore rare en entreprise et il l’est encore plus dans les hotspots. Il y a deux conséquences à cela : d’abord les produits disponibles sont moins nombreux car le marché est plus restreint. Il existe très peu d’ordinateurs portables vendus avec le WiFi à 5 GHz intégré. Ceci commence toutefois à changer. D’autre part, si vous optez exclusivement pour le 5 GHz, les adaptateurs de vos employés ne leur permettront pas de se connecter à la grande majorité des hotspots, ce qui est bien dommage car vous perdrez ainsi une partie de l’intérêt du WiFi : la possibilité pour vos employés de se connecter pendant leurs déplacements, dans des hôtels, des aéroports et tout autre lieu public. Une bonne solution consiste à déployer un réseau à double radio, l’une en 802.11b/g et l’autre en 802.11n à 5 GHz, et d’équiper les employés avec des adaptateurs 802.11a/b/g/n. Ils pourront ainsi se connecter dans tous les hotspots, utiliser le WiFi chez eux avec un routeur WiFi bas de gamme, tout en profitant d’une excellente connexion WiFi en 802.11n à 5 GHz au bureau. 5.3. Réduire les problèmes de NLOS et de réflexion Figure III.5.2 : Maillages à 5GHz [18]
CHAPITRE III : Etude et planification du réseau WLAN 69 Pour réduire les problèmes de réception en condition NLOS, on peut commencer par positionner les antennes et si possible les obstacles de telle sorte que les interférences soient moins intenses. Un outil d’analyse s’avère alors encore très utile : en déplaçant les antennes et en mesurant, la puissance du signal reçu et le rapport signal sur bruit, on peut parvenir à améliorer la situation considérablement. Pour le problème d’opposition de phase, un déplacement des antennes ou des obstacles, même léger, peut parfois résoudre le problème : les interférences peuvent créer de petites zones d’ombres qu’on peut parfois simplement éviter. On peut également veiller à limiter les surfaces réfléchissantes telles que les surfaces métalliques qui reflètent énormément le signal radio : il suffit parfois de relever les stores en métal pour obtenir un meilleur signal. 6. Audit de site et résultats de planification Maintenant qu’on a une idée sur l’ensemble de problèmes que nous pourrons rencontrer pour le déploiement de notre réseau sans fils et les axes d’amélioration , on peut donc choisir parmi les différentes normes les normes les plus adéquates a notre situation . L’audit de site (Site survey) est une technique qui va nous permettre de planifier précisément et à déployer notre réseau sans fil dans n'importe quel environnement intérieur et extérieur de l’hôtel. L'objectif est donc de fournir une carte fiable de prédiction du signal WiFi et de performance du réseau sans fils que nous allons déployer. Notre méthode consistera donc à balayer la totalité de l’hôtel et à définir l’emplacement le plus approprié des points d’accès. 6.1. Déploiement de multiples AP Pour obtenir une bonne couverture radio et une bonne capacité l’emploi de multiples AP s’avère obligatoire, il nous permettra aussi d’éviter les zones d’ombre et d’offrir aux utilisateurs un débit suffisant pour l’utilisation des services et applications sur le réseau. Il fait aussi faire attention aux problèmes de gestion des points d’accès comme cité précédemment, ce problème pourra être résolu dans un premier temps par l’utilisation d’une architecture de gestion centralisée. [19] 6.2. Les déploiements en trois dimensions Lorsque l’on déploie un réseau sans fil sur plusieurs étages d’un même bâtiment, il faut prendre garde aux problèmes d’interférences qui peuvent provenir des points d’accès des étages voisins. Le problème du positionnement des
CHAPITRE III : Etude et planification du réseau WLAN 70 points d’accès devient assez complexe lorsque l’on rajoute cette troisième dimension verticale. Une façon de procéder est de disposer les AP en un maillage hexagonal au 1er étage, puis on place les points d’accès du 2eme étage en un maillage hexagonal décalé par rapport à celui du 1er étage de sorte qu’aucun point d’accès ne soit à la verticale directe d’un autre point d’accès. Et ainsi de suite pour chaque étage. Comme on peut le voir, un déploiement en 3D avec seulement trois canaux est presque irréalisable sans interférences. Dans ce contexte, l’avantage du 5 GHz est très important il nous permettra de disposer de plus de canaux pour éviter les interférences. 6.3. L’audit de site Pour savoir combien d’AP installer et où les placer, la solution la plus simple consiste à réaliser ce qu’on appelle un « audit de site » (site survey). Cela consiste à installer un ou plusieurs AP aux endroits qui paraissent les plus adaptés, puis à mesurer le signal en se déplaçant dans les locaux. Il n’est pas nécessaire de connecter les AP au réseau, mais simplement de les alimenter en électricité et de les allumer. Si l’on observe des zones d’ombre, des interférences ou encore un débit insuffisant, il faut déplacer les AP et recommencer. Bien que cela soit une solution assez « artisanale », elle est assez fiable pour s’assurer que la couverture radio soit bonne1. Les outils que l’on peut utiliser pour réaliser l’audit de site sont très nombreux. Nous allons commencer par les plus simples pour aboutir aux plus complets. 6.4. Outil de cartographie radio Surveyor Airmagnet Figure III.6.2 (a): Déploiement des points d’accès en 3D [18]
CHAPITRE III : Etude et planification du réseau WLAN 71 Pendant un audit de site, certains outils d’analyse sont capables d’enregistrer les paramètres radio et de les associer à un point sur un plan des locaux. Ceci permet à la fois de visualiser la couverture radio, mais aussi de réaliser des simulations. Nous avons donc utilisé le logiciel Surveyor de Airmagnet qui fonctionne de la manière suivante:  L’utilisateur choisit un nouveau projet et spécifie son nom  Apres l’utilisateur doit spécifier les informations du plan à charger Figure III.6.4(a): Chargement de nouveau projet
CHAPITRE III : Etude et planification du réseau WLAN 72  L’utilisateur doit ensuite spécifier les informations concernant l’environnement du site Figure III.6.4(b): Spécification des informations du site Figure III.6.4(c): Spécification des informations de l’environnement
CHAPITRE III : Etude et planification du réseau WLAN 73  Apres la spécification des informations le l’environnement du site l’utilisateur doit charger le plan du site qui doit être soit en format image ou AUTOCAD.  L’utilisateur doit choisir le canal et la période de scan Figure III.6.4(d): Chargement du plan du site Figure III.6.4(e): Spécifications des canaux et période de scan
CHAPITRE III : Etude et planification du réseau WLAN 74  Finalement l’utilisateur doit effectuer un balayage du plan de site en effectuant des cliques sur différents point pour avoir les informations concernant la couverture dans ce point. Avec cet outil, il est également possible d’effectuer quelques simulations : par exemple, que se passerait-il si la puissance d’émission de tel AP était plus faible, ou plus élevée ? Surveyor n’a toutefois pas vocation à être un logiciel de simulation complet : il est impossible de déplacer « virtuellement » un AP, de simuler l’ajout d’une antenne directionnelle ou encore l’impact d’un nouvel obstacle. Pour cela, il faut refaire une mesure sur le terrain. Le plan est un support visuel pour l’utilisateur mais il n’est absolument pas pris en compte par le logiciel pour ses calculs de propagation radio. Le but de ce produit n’est pas de modéliser, mais bien d’analyser. Figure III.6.4(f): Balayage du site
CHAPITRE III : Etude et planification du réseau WLAN 75 Un autre avantage des logiciels de cartographie est la documentation : les cartes imprimées sont bien plus claires pour tout un chacun qu’une obscure liste de paramètres radio griffonnés sur une feuille de papier. Par ailleurs, il est intéressant de refaire régulièrement la cartographie radio après le déploiement pour observer d’éventuels changements de la couverture radio et de comparer la carte obtenue avec les précédentes, les changements sont plus faciles à remarquer. 6.5. Présentation du site d’audit La figure ci-dessous représente le déploiement des points d’accès au niveau de l’étage 3 sur la zone 1, les résultats obtenus seront donc en fonction des positions indiquées dans la figure ci-dessous. Figure III.6.4(g): Fonctionnement du logiciel Surveyor [20]
CHAPITRE III : Etude et planification du réseau WLAN 76 Les point d’accès installés sont de type indoor et vont servir pour la couverture des couloirs et des chambres de l’hôtel. La deuxième partie concernant le déploiement en outdoor dans la zone commune n’a pas été traité dans ce chapitre ,il faut noter que cette première planification n’est qu’un premier test d’analyse basé sur un choix des positions des points d’accès arbitraire, le choix final des positions des points d’accès sera en fonction des résultat obtenus. Le choix d’une architecture centralisée basée sur des points d’accès légers est évident, le nombre important de points d’accès (environ 100 APs) à déployer ne sera pas facile à gérer, cela justifie notre choix d’une architecture centralisée. Concernant les normes, on va opter pour la norme 802.11g pour le déploiement en indoor, et le 802.11n pour le déploiement en outdoor. 6.6. Résultats de l’audit de site Figure III.6.5: Positions des points d’accès
CHAPITRE III : Etude et planification du réseau WLAN 77 Distribution de signal : Comme on peut le voir sur la figure le niveau du signal dans l’ensemble de l’étage est compris en -50dBm et -70dBm, on remarque aussi un niveau de signal élevé au voisinage des point d’accès qui s’affaiblit au fur et à mesure qu’on s’éloigne du point d’accès. Distribution du bruit : Figure III.6.6(a): Distribution du signal
CHAPITRE III : Etude et planification du réseau WLAN 78 La distribution du bruit pourra être considérée comme uniforme sur l’ensemble de l’étage appart qu’au voisinage des point d’accès, le niveau de bruit est donc compris entre -90dBm et -100dbm, notre environnement pourra être considère comme étant très bruité Distribution du rapport signal sur bruit : Figure III.6.6(b) : Distribution du bruit
CHAPITRE III : Etude et planification du réseau WLAN 79 Le rapport signal sur bruit est donc compris entre 50dB et 40dB comme on le voit sur la figure, la valeur du rapport étant positive cela signifie que le niveau du signal dépasse celui du bruit. 6.7. Analyse des résultats de l’audit de site Les performances du déploiement d’un réseau local sans fils exige plus que veiller a ce les utilisateurs sont en mesure de se connecter a un point d’accès, la définition d’un rapport signal sur bruit nous permettra donc de définir les limites de performance de notre déploiement. Lors d’un audite de site il est important de définir les limites de la portée d’un point d’accès en se basant sur le rapport signal sur bruit qui le niveau de signal(en dBm) moins le niveau de bruit (en dBm), par exemple un niveau de signal Figure III.6.6(c): Distribution du rapport signal sur bruit
CHAPITRE III : Etude et planification du réseau WLAN 80 de -57dBm mesuré à proximité d’un point d’accès et un niveau de bruit de 90dBm donne un rapport signa sur bruit (SNR) de 33dB qui représente une valeur saine pour les réseaux locaux sans fil. L’augmentation du nombre d’utilisateur devra être prise en considération, au fur et a mesure que le nombre d’utilisateur augmente le niveau de signal d’un point d’accès diminuera a cause de la perte de l’application de l’espace libre , ce qui va entrainer une diminution du rapport signal sur bruit, ca va de même pour les signaux se propageant à partir du dispositif d’un utilisateur vers un point d’accès .L’augmentation des interférence du aux micro onde comme on avait cité auparavant entrainera une augmentation du niveau de bruit ,ce qui va entrainer également une diminution du rapport signal sur bruit. Le rapport signal sur bruit influe directement sur les performance d’une connexion sans fils, une valeur plus élevée signifie que le niveau du signal est plus fort par rapport au niveau de bruit, ce qui permet des débits plus élevés et moins de retransmission ,ce qui offrira un meilleur débit, l’inverse est aussi vrai. Un rapport signal sur bruit inferieur entrainement un fonctionnement des équipements sans fil à des débits inferieurs, Un SNR de 30 dB, par exemple, peut permettre à un point d’accès 802.11g et un client de communiquer à 24 Mbps, alors qu'un SNR de 15 dB ne peut permettre que 6 Mbps. Pour définir une valeur du rapport signal sur bruit référentielle, nous avons effectué des tests a différents niveau du rapport signal sur bruit, ces test sont basé sur l’impact de la valeur du SNR sur l’association d’un client a un point d’accès et le temps de chargement d’une page web particulière, voici ce que nous avons trouvé : • > 40 dB = excellent signal 5 bars, toujours associé, très vite. • 25dB à 40dB = très bon signal 3-4 barres, toujours associé, très vite. • 15dB à 25dB = Signal faible 2 barres, toujours associée, le plus souvent rapide. • 10dB - 15dB = signal très faible 1 bar, principalement associée; surtout lente. • 5 dB à 10 dB = Aucun signal; aucune association. Sur la base de ces tests, nous recommandons un rapport signal sur bruit environ 20 dB pour définir la limite de la portée de chaque point d'accès. Cela assure une constante d'association avec assez de bonnes performances lors de l'exécution des fonctions de réseau typiques, telles que la navigation Web et la synchronisation e-mail. Comme nous envisageons de déployer d’autres services plus exigeant en termes de débit sur notre réseau local sans fil, alors nous aurons probablement besoin d'un minimum SNR supérieur. Par exemple, Cisco
CHAPITRE III : Etude et planification du réseau WLAN 81 recommande 25 dB pour leurs systèmes de téléphonie vocale sans fil. En outre, une plus grande marge (à savoir, plus haut SNR), est nécessaire dans notre cas, vu qu’il il ya beaucoup de propagation du signal par trajets multiples et beaucoup de collisions. Gardez à l'esprit que le niveau correspondant de la performance ne se produit que dans la limite de chaque point d'accès. Les utilisateurs associant avec des points d'accès de plus près auront de meilleures performances et un meilleur SNR. Revenons a la distribution du niveau du SNR dans notre cas , une valeur du rapport signal sur bruit comprise entre 40dB et 50dB pourra être considérée comme étant élevée, on s’aperçois donc que notre première planification et assez bonne, mais pour mieux évaluer les performance de notre réseau sans fil nous devons effectuer une simulation de la couverture radio qui pourra être faite a l’aide des outils simulation, comme le logiciel Modeler de la société OPNET (auquel il faut rajouter le module pour les réseaux sans fil) ou encore RingMaster de la société Trapèze Networks . Pour que le résultat de la simulation soit significatif, il est nécessaire de saisir beaucoup d’informations, comme le plan des bureaux, la position des principaux obstacles, le matériau et l’épaisseur des cloisons, etc. Il peut parfois s’agir de l’unique solution possible si un test sur le terrain est impossible : par exemple si le bâtiment est en construction. Ces outils peuvent être utilisés avant l’audit de site pour avoir une idée du nombre d’AP nécessaires et de leur positionnement (au moins approximatif) pour obtenir la meilleure couverture et le meilleur débit, mais il est tout de même fortement conseillé de faire des analyses sur le terrain avant le déploiement proprement dit. Le prix de ces logiciels est assez élevé, ce qui explique sans doute en grande partie pourquoi les audits de site sont encore de loin la solution préférée par les entreprises pour préparer les déploiements. Recommandation Lors de la mesure du rapport SNR, il faut utiliser si possible des cartes wifi et des antennes équivalentes a ceux que les utilisateurs pourront utiliser. Un écart de gain d'antenne entre l'équipement d’études et le dispositif de l'utilisateur, par exemple, se traduira probablement par des utilisateurs ayant des performances différentes que ce que vous avez mesuré au cours de l'étude. En outre, certaines cartes wifi ont de meilleures puissances de transmission et de sensibilité de réception que d'autres, qui peuvent secouer vos résultats si vous n'utilisez pas les cartes wifi que les utilisateurs auront, dans ce cas il est préférable d’utiliser des équipements de performances moyennes pour mieux encadrer les estimations.
CHAPITRE III : Etude et planification du réseau WLAN 82 Les modifications apportées à l'installation, telles que l'ajout de murs et le mouvement des grandes boîtes affecteront SNR. Ainsi, il est généralement nécessaire de revérifier le SNR de temps en temps, même après que le réseau soit opérationnel. Cela peut se faire facilement avec les outils comme Surveyor de Airmagnet que nous avions utilisé nous même. Si vous trouvez que le SNR est inférieur à la valeur minimale dans certaines zones, envisagez donc d'installer des points d'accès supplémentaires ou déplacer les points d’accès existants pour mieux distribuer les signaux. 7. Conclusion L'utilisation d'une valeur du rapport signal sur bruit particuliers comme une référence pour la couverture du signal est certainement une bonne pratique, mais avant de rendre le système opérationnel, il faut effectuer toujours des tests de vérification approfondis des applications, telles que la navigation Web, e-mail et la téléphonie vocale, en utilisant les machines clientes typiques seront effectivement utiliser le réseau. Cela donne l'assurance que notre réseau sans fil sera en effet satisfaisant à nos exigences de couverture et de performances. Apres la conception de notre réseau Lan et WLAN nous devons impérativement les sécurisés, nous devons donc choisir une politique de sécurité selon nos besoin et nos exigences. Dans le chapitre suivant nous essaierons de présenter deux politiques de sécurité du réseau interne ainsi que les méthodes de sécurité qui devra être mise en place pour sécuriser le réseau sans fils.
83 CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 84 1. Introduction Une bonne compréhension de notre conception du réseau va donc nous aider à bien choisir notre solution d’optimisation et de sécurité. Il nous est essentiel de disposer d’informations précises sur l’infrastructure physique de notre réseau et les problèmes qui peuvent avoir une incidence sur son fonctionnement. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix des solutions pour l’optimisation et la sécurisation de notre réseau. Nous essaierons de présenter de manière détaillée la solution retenue pour l’optimisation des performances de notre réseau ainsi que les politiques de sécurité à mettre en place. L'objectif principal de cette deuxième partie est de mettre en place une solution d'optimisation de la bande passante et de sécurisation du trafic du réseau par la segmentation des domaines de diffusion et la mise en place des politiques de sécurité. 2. Optimisation et gestion de trafic 2.1. Etude critique du réseau du Carré Eden L'étude du réseau du Carre Eden, nous à permis de prévoir un nombre importants de contraintes pourront réduire ses performances. Contraintes :  Augmentation rapide du nombre des utilisateurs  Volume accru du trafic généré par chaque utilisateur  Echange volumineux de fichiers entre utilisateurs.  Applications toujours plus complexes et contraignantes en terme de délais.  Les collisions important dans notre réseau =>Réseau non segmenté Spécification des besoins Suite à l’étude critique que nous avions effectué , plusieurs besoins ont été relevés, il s’agit donc des besoin fonctionnels qui expriment donc une action qui doit être menée sur l’infrastructure à définir en réponse a une demande , Pour se faire nous aurons besoin donc de segmenter le réseau en créant des VLANs.La
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 85 raison de cette segmentation se résume dans le but d’isoler le trafic entre les différents segments et d’offrir d’avantage de bande passante par utilisateur et par groupe de travail. Quant aux besoins non fonctionnels on peut donc les regrouper autours des points suivant :  Besoin d'indisponibilité du réseau  Besoin d'administration du réseau.  Besoin d'incompatibilité du commutateur à pouvoir gérer les bandes passantes  Besoin de performance des commutateurs  Besoin de sécurité des commutateurs 2.2. Présentation générale des solutions de segmentation : 2.2.1. Segmentation à l'aide des ponts Les ponts sont des équipements de couche 2 qui transmettent des trames de données en fonction de l'adresse MAC. Les ponts lisent l'adresse MAC de l'émetteur des paquets de données reçus sur les ports entrants pour découvrir les équipements de chaque segment. Les adresses MAC sont ensuite utilisées pour créer une table de commutation qui permet au pont de bloquer les paquets qu'il n'est pas nécessaire de transmettre à partir du segment local. Bien que le fonctionnement d'un pont soit transparent pour les autres équipements, l'utilisation d'un pont augmente de dix à trente pour cent la latence d'un réseau. Cette latence résulte du processus de prise de décision qui a lieu avant l'envoi d'un paquet. Un pont est considéré comme un équipement de type Store-and-Forward, car il doit examiner le champ d'adresse de destination et calculer le code de redondance cyclique (CRC) dans le champ de séquence de contrôle de trame avant l'envoi d'une trame. Si le port de destination est occupé, le pont peut stocker temporairement la trame jusqu'à ce que le port soit de nouveau disponible. 2.2.2. Segmentation LAN à l'aide de routeurs Les routeurs assurent la segmentation des réseaux en ajoutant un coefficient de latence de 20 à 30 % sur un réseau commuté. Cette latence accrue est due au fonctionnement d'un routeur au niveau de la couche réseau qui utilise l'adresse IP pour déterminer le meilleur chemin vers le nœud de destination. Dans la segmentation LAN, les ponts et les commutateurs assurent la segmentation au sein d'un réseau ou d'un sous-réseau. Les routeurs assurent la connectivité entre les réseaux et les sous réseaux.
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 86 En outre, les routeurs n'envoient pas de diffusion, tandis que les commutateurs et les ponts doivent transmettre des trames de diffusion. 2.2.3. Segmentation LAN à l'aide de commutateurs La commutation LAN réduit les pénuries de bande passante et les goulots d'étranglement sur le réseau, comme ceux qui se produisent entre plusieurs stations de travail et un serveur de fichiers distant. Un commutateur divise un réseau LAN en micro segments afin de réduire la taille des domaines de collision. Cependant, tous les hôtes connectés au commutateur restent dans le même domaine de diffusion. Dans un LAN Ethernet commuté parfait, les nœuds d'émission et de réception opèrent comme s'ils étaient les seuls nœuds du réseau. Lorsque ces deux nœuds établissent une liaison, ou circuit virtuel, ils accèdent au maximum de bande passante disponible. Ces liaisons offrent un débit plus important que les LAN Ethernet connectés via des ponts ou des concentrateurs. Figure IV.2.2.2 Réseau segmenté par routeur
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 87 2.3. Choix d'une solution Le réseau du Carré Eden est un réseau commuté Ethernet. La solution de segmentation LAN à base de commutateurs, en implémentant le VLAN de niveau 1 réduira considérablement la taille des domaines de diffusion. Cette solution est attrayante du point de vue gestion du réseau et de bande passantes. Elle pourra répondre à notre besoin d'optimisation du réseau dans l'utilisation de ses services (voix/données/images). 2.3.1 Méthodes d'implantation des VLANs On distingue généralement trois techniques pour construire des VLAN, en fonction de leurs méthodes de travail, nous pouvons les associer à une couche particulière du modèle OSI. VLAN de niveau 1 ou VLAN par port : Cette technique consiste à affecter chaque port des commutateurs à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc affectés statiquement à un VLAN. Les ports des commutateurs sont associés à des VLANs comme le montre la figure ci-dessous :  Ports 1,2 et 3 appartiennent au VLAN 1  Ports 4,5 et 6 au VLAN 2  Ports 7 et 8 au VLAN 3 Figure IV.2.2.3 Réseau segmenté par commutateur
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 88 VLAN de niveau 2 ou VLAN MAC : Cette technique consiste à affecter chaque adresse MAC à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par son adresse MAC. En faite il s'agit à partir de l'association Mac/VLAN d'affecter dynamiquement les ports des commutateurs à chacun des VLAN. VLAN de niveau 3 ou VLAN d'adresses réseaux : Cette technique consiste à affecter un protocole de niveau 3 ou de niveau supérieur à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu'elle utilise. En faite il s'agit à partir de l'association protocole/VLAN d'affecter dynamiquement les ports des commutateurs a chacun des VLAN. Le tableau ci-dessous représente les différents types de VLans et leurs caractéristiques : Figure IV.2.3.1(a) : Vlan par port Figure IV.2.3.1(b) Vlan par adresse MAC
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 89 Types de VLANs Description VLAN niveau 1 Basé sur le port  Configuration la plus courante.  Ports affectés individuellement à un ou plusieurs VLANs  Facile à mettre en place.  Couplé à DHCP, les VLAN par ports offrent une bonne flexibilité.  Les interfaces de gestion des commutateurs permettent une configuration facile. VLAN niveau 2 Basé sur l'adresse MAC  Rarement utilisé.  L'adresse MAC détermine l'appartenance à un VLAN  Les commutateurs s'échangent leurs tables d'adresses MAC ce qui peut ralentir les performances.  Difficile à administrer, à dépanner et à gérer. VLAN niveau 3 Basé sur le protocole  Pas utilisé aujourd'hui à cause de la présence de DHCP  L'adresse IP (sous-réseau) détermine l'appartenance à un VLAN 2.4 Etude de la solution retenue Avant d'arriver à la conception technique globale de la solution retenue, nous ferons une étude détaillée sur les fonctionnalités des VLANs et des équipements retenus pour notre infrastructure. Celle-ci nous permettra de définir à travers ces fonctionnalités, une meilleure planification du déploiement. 2.4.1. Généralités Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel (logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un département, etc.), sans se heurter à Tableau IV.2.3.1 : type de Vlans
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 90 des contraintes physiques (dispersion des ordinateurs, câblage informatique inapproprié, etc.). Les propriétés offertes par les VLAN sont :  support des transferts de données allant jusqu'à 1Gb/s.  peut couvrir un bâtiment, relier plusieurs bâtiments ou encore s'étendre au niveau d'un réseau plus large.  une station peut appartenir a plusieurs VLAN simultanément. C'est un sous réseau de niveau 2 construit à partir d'une technologie permettant de cloisonner des réseaux par usage de filtres de sécurité. Cette technologie balise le domaine de diffusion auquel ces machines appartiennent de telle sorte que le trafic intra-domaine ne puisse pas être vu par des tiers n'appartenant pas à ce domaine de diffusion. 2.4.2 Avantages offerts par les VLANs Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi de nombreux avantages et permet de nombreuses applications intéressantes. Parmi les avantages liés à la mise en œuvre d'un VLAN, on retiendra notamment: La flexibilité de segmentation du réseau. Les utilisateurs et les ressources entre lesquels les communications sont fréquentes peuvent être regroupés sans devoir prendre en considération leur localisation physique. Il est aussi envisageable qu'une station appartienne à plusieurs VLAN en même temps; La simplification de la gestion. L'ajout de nouveaux éléments ou le déplacement d'éléments existants peut être réalisé rapidement et simplement sans devoir manipuler les connexions physiques dans le local technique; L'augmentation considérable des performances du réseau. Comme le trafic réseau d'un groupe d'utilisateurs est confiné au sein du VLAN qui lui est associé, de la bande passante est libérée, ce qui augmente les performances du réseau;
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 91 Une meilleure utilisation des serveurs réseaux. Lorsqu'un serveur possède une interface réseau compatible avec le VLAN, l'administrateur a l'opportunité de faire appartenir ce serveur à plusieurs VLAN en même temps. Cette appartenance à de multiples VLAN permet de réduire le trafic qui doit être routé (traité au niveau du protocole de niveau supérieur, par exemple IP) "de" et "vers" ce serveur; et donc d'optimiser ce trafic. Tout comme le découpage d'un disque dur en plusieurs partitions permet d'augmenter les performances (la fragmentation peut être diminuée) de son ordinateur, le VLAN améliore considérablement l'utilisation du réseau. Le renforcement de la sécurité du réseau. Les frontières virtuelles créées par les VLAN ne pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des communications est renforcée. La technologie évolutive et à faible coût. La simplicité de la méthode d'accès et la facilité de l'interconnexion avec les autres technologies ont fait d'Ethernet une technologie évolutive à faible coût quelles que soient les catégories d'utilisateurs. La régulation de la bande passante. Un des concepts fondamentaux des réseaux Ethernet est la notion d'émission d'un message réseau vers l'ensemble des éléments connectés au même commutateur. Malheureusement, ce type d'émission augmente sérieusement le trafic réseau au sein du composant de connexion. Même si les vitesses de transmission ne cessent d'augmenter, il est important de pouvoir contrôler ce gaspillage de capacité de trafic (bande passante). Ici encore, le VLAN offre à l'administrateur les moyens de réguler l'utilisation de la capacité de trafic disponible au sein de l'infrastructure. 2.4.2. Les différents VLANs à implémenter Après l’analyse des trafics, nous avons défini sept VLANs repartis comme suit :  VLAN ADMINISTRATION : Vlan 10 Dans ce Vlan, nous retrouverons toutes les machines de l’administration.·  VLAN Chambre standard : Vlan20
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 92 Ce Vlan est destiné aux clients dans les chambres Standard.  VLAN CHAMBRE DELUXE: Vlan 30 Ce Vlan est destiné aux clients dans les chambres Deluxe.  VLAN SUITE JUNIORE: Vlan 40 Ce Vlan est destiné aux clients dans les SUITE JUNIOR.  VLAN VOIP: Vlan 50 Ce Vlan est destiné au trafic de la voix sur IP circulant sur notre réseau.  VLAN TELEDISTRIBUTION: Vlan 60 Ce Vlan, est destiné au trafic de la télédistribution.  VLAN CAMERA DE SURVEILLANCE: Vlan 70 Ce Vlan, est destiné au trafic des cameras de surveillance. 3. Solutions de sécurité informatique 3.1. Les ingrédients de l'insécurité Les éléments qui favorisent et entretiennent un incendie sont: l'oxygène, la chaleur et les produits inflammables (essence, gaz, mazout, etc.). L'enlèvement d'un élément de ce triangle a comme effet la disparition de l'incendie. En matière de sécurité informatique, on joue aussi avec trois éléments:  Ceux qui attaquent (par exemple les hackers),  Les vulnérabilités des systèmes et des logiciels,  Les ressources et/ou les informations ciblées. On peut en déduire que sans ceux qui attaquent, les protections n'ont plus de sens. Il en va de même pour les vulnérabilités des systèmes et des logiciels, etc. 3.2. Classification des hackers : 3.2.1 Les hackers internes à l’administration
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 93 La protection contre la malveillance interne est difficile à détecter et à assurer, notamment dans le cas des administrateurs de systèmes disposant par définition de beaucoup de droits d'accès. Les attaquants internes sont plus dangereux car ils connaissent les places des données sensibles (cahiers de charges, appels d'offres, documents sensibles des policiers, etc.) et parmi leurs motivations on peut citer:  Le mécontentement par rapport à leur travail, à leur rémunération, etc.  Le sabotage envers leurs collègues,  La jalousie et des problèmes psychologiques, Le besoin de reconnaissance ou de valorisation de leurs compétences, etc. 3.2.2. Les hackers externes à l’administration La majorité des solutions de sécurité protègent les systèmes contre des attaquants externes. Ceux-ci ciblent des systèmes ou des applications des entreprises et des organisations. Les motivations de leurs auteurs peuvent être:  Le désir de montrer leurs compétences dans la maîtrise d'un système ou d'une application. Certains peuvent être "gentils" car ils ne détruisent rien mais laissent simplement des traces de leur passage et conseillent d'appliquer plus de règles de sécurité.  Des raisons "professionnelles" (dans le cas de ceux qui font un métier de la cybercriminalité) ayant comme but de:  Récolter un maximum d'informations sensibles dans les domaines économique, politique, etc.  Détruire des systèmes afin de mettre en difficulté des sociétés concurrentes, etc. Le désir de sabotage orienté vers un service, vers une société ou vers un réseau. Des attaques Dos ont mis à l'arrêt des services fournis par Internet, parfois en paralysant les communications d'un pays entier. 3.3. Les vulnérabilités Les vulnérabilités sont les faiblesses d'un système ou d'un logiciel. Ces faiblesses sont exploitées par des hackers pour obtenir un accès à une ressource
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 94 (CPU, réseaux, etc.) ou à une information. Les faiblesses se trouvent au niveau des services, des applications et des utilisateurs: Les services: en général, ces services sont l'e-mail, le Web ou toute autre application qui communique avec une autre application. On citera par exemple les attaques contre IIS en 2001 qui ont permis la diffusion duver CodeRed. Les vulnérabilités des services sont très dangereuses car elles ne nécessitent pas une intervention humaine. Les applications: les vulnérabilités des applications nécessitent souvent une intervention humaine: par exemple l'utilisateur qui active un virus par un clic de souris. Quoi de plus alléchant que des mails avec le sujet "I love you" ou avec un contenu informant que vous êtes l'heureux gagnant d'une énorme somme d'argent? Un simple clic et on se retrouve victime d'un virus, worm ou spyware. Les actions des utilisateurs: les utilisateurs peuvent engendrer des vulnérabilités sur des systèmes ou des logiciels par des configurations mauvaises ou incorrectes. Un utilisateur peut reconfigurer un système ou un logiciel et ouvrir ainsi des portes à des hackers. Dans ce cas, même le système de sécurisation le plus performant, s'il est mal configuré, offre une brèche de sécurité. 3.4. Mesures de protection et stratégie de sécurité Les mesures de protection consistent à utiliser:  Un firewall  Des logiciels antivirus,  Des outils de détection des vulnérabilités,  Des VLAN pour séparer et filtrer le trafic réseau,  Des systèmes IDP (détection et prévention d'intrusion),  Des systèmes host intrusion prévention (des outils de détection et prévention des attaques sur des systèmes/serveurs critiques),  Un système de monitoring proactif,  Des systèmes de contrôle d'accès (l’authentification, les permissions, etc.),  Le cryptage des fichiers contenant des données sensibles.
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 95 L'éducation des utilisateurs aux bonnes pratiques de sécurité sera également essentielle. 3.4.1 Sécurité du réseau Ethernet interne La sécurité du réseau interne dépend principalement des moyens qui lui sont alloués. Il faut donc peser le pour et le contre et trouver le juste équilibre entre le coût de la sécurisation des données et les risques que ferait courir un éventuel piratage. Lors de la mise en place d’une politique de sécurisation du réseau interne, il faut toujours garder à l’esprit que la sécurité du réseau doit être au service des utilisateurs et ne doit pas les gêner dans leur travail. Par ailleurs, il ne faut pas oublier qu’en plus de sécuriser l’accès aux données, la politique de sécurité doit aussi s’assurer de la protection physique des données et de l’outil de production contre des évènements destructeurs tels que l’incendie, le vol etc. Pour qu’une telle sécurité soit fiable, plusieurs démarches ont été envisagées. Celles-ci sont capitales. Il faut penser à la protection des locaux à travers une bonne politique de sécurité, tel que des filtrages à l’accès au réseau de l’entreprise, la mise à l’écart du matériel sensible (serveurs, routeurs, Switchs). Les sauvegardes doivent également être délocalisées, ce qui empêchera la perte des données en cas d’incendie ou vol. Retenons par ailleurs qu’une politique de sécurité du réseau local ne doit pas se limiter à la protection du matériel, mais aussi à la protection des données elles- mêmes. Il est alors important de faire un transfert ou une copie des données vers un site extérieur afin de prévenir un quelconque événement néfaste. L’anticipation est une des règles d’or de la sécurité dans un réseau interne. On doit penser tout d’abord à utiliser des serveurs aux services redondants qui assurent la continuité du service. Ensuite, il faut configurer un contrôleur de domaine (CD) qui va surveiller le réseau et les accès. Il faut impérativement penser à faire une copie de ce dernier vers l’additionnel contrôleur de domaine (ACD) situé sur un autre serveur. De ce fait, en cas de problème avec le serveur principal, toutes les données ne sont pas perdues. Toutes les nouvelles mises à jour sont répliquées toutes les 15 minutes vers l’ACD. En cas de panne ou d’arrêt brusque du contrôleur de domaine, l’additionnel contrôleur de domaine pourra prendre le relais. Pour que le matériel fonctionne en permanence, sans interruption brusque, il faut prévoir des solutions contre des microcoupures et coupures de courant pour éviter un arrêt non sécurisé des serveurs. Pour ce faire, nous avons par exemple des onduleurs, des injecteurs, qui permettent d’éviter un redémarrage long des
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 96 services et ainsi favorisent une utilisation continue du matériel y compris durant la coupure de courant. Freiner l’accès au réseau interne L’accès à un réseau interne est très facile quand la politique de sécurité n’est pas bien définie ou lorsqu’il y a négligence de la part de l’administrateur du réseau. Pour éviter tout accès à un réseau interne, plusieurs règles de bases doivent être respectées :  Désactiver les prises réseaux non utilisées de sorte à éviter les connections imprévues et l’écoute du réseau (les mots de passe peuvent circuler en clair, comme bon nombre d’informations stratégiques).  Restreindre l’allocation dynamique d’adresse IP de sorte à ne pas simplifier la tâche d’un éventuel pirate.  Utiliser au maximum des équipements de commutation (Switch) de telle sorte à limiter les possibilités d’écoute sur le réseau.  Séparer le réseau interne de l’accès externe en utilisant des éléments dédiés à cela, comme par exemple le firewall qui joue un rôle très important dans un réseau local. Son but est de protéger le réseau contre toute attaque venant de l’extérieur. Une question alors : La fuite des données ou les actes de piratages proviennent- ils uniquement de l’extérieur? Nous ne pouvons nous limiter à la sécurisation du réseau contre les attaques extérieures car il est plus facile pour un pirate en tant qu’utilisateur local d’accéder aux données sécurisées. Il y a ainsi des règles qu’applique le firewall telles qu’effectuer des filtrages à l’accès d’un réseau externe ou ne pas donner à un utilisateur local l’accès à certaines données. Il est à noter qu’aucune manipulation du firewall ne doit se faire en présence de tout utilisateur local, celui ci pourrait être un espion. Les mesures de sécurité, par exemple des mots de passes alpha numériques, sont également conseillées pour tout accès au firewall et aux différents serveurs. Mais même en ayant une politique de sécurité de réseau interne fiable grâce à la protection de ses locaux, données, logiciels, et de ses mises à jours, un pirate ne trouvera-t-il pas toujours une faille dans le système ? C’est le défi auquel l’administrateur réseau est, et sera toujours confronté : savoir anticiper mais aussi savoir faire preuve d’une très grande réactivité. 3.4.3 Précautions
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 97 Pour éviter tout problème de perte ou de gestion des missions par les employés c’est préférable de restreindre la responsabilité de chaque mission en mettant des firewalls logiciel comme IPtables et des antivirus pour chaque machine du VLAN administration ainsi qu’un système d’authentification KERBEROS si nécessaire. L’implémentation d’un système de sauvegarde des données est recommandée afin de faciliter la restauration en de pertes. L’absence de maîtrise d’un produit, quelles que soit ses qualités intrinsèques, peut conduire à remettre en cause sa sécurité, par exemple suite à une erreur d’administration, ou à l’absence d’application des mises à jour par crainte des pannes. La bonne maîtrise dans le temps d’un produit repose naturellement sur l’adéquation entre son niveau de complexité (fonctionnalités, architecture) et les capacités (effectifs et compétences techniques) de l’équipe chargée de le mettre en œuvre. Elle est de plus facilitée par un certain nombre de facteurs intrinsèques au produit, notamment la qualité de sa documentation et de ses interfaces de paramétrage (qui, idéalement, ne doivent pas permettre la définition d’une configuration non sécurisée), la disponibilité d’un mécanisme de mise à jour robuste et documenté, et celle d’outils pertinents d’aide à la résolution de problèmes (journaux, validation de configuration, etc.).[21] 3.5. Architecture de sécurité 3.5.1 Architecture basique L’architecture la plus simple que l’on puisse proposer est présentée sur la Figure 1. L’interconnexion se résume ici à un simple pare-feu. Les serveurs applicatifs et les dispositifs de stockage sont directement connectés au LAN. Les flux applicatifs considérés ici sont représentés par les schémas. Il s’agit ici :  des flux de consultation internet depuis le LAN.  des flux d’interaction des internautes depuis internet avec les machines internes.  des flux de mise à disposition de contenu sur le web depuis le LAN.
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 98 Les flèches représentées correspondent aux flux logiques. Il est évident que les échanges réels sont bidirectionnels. Toutefois la flèche indique quelle est l’entité à l’origine de la création du flux (point de départ de la flèche) et celle qui n’est pas à l’initiative du flux mais qui en est destinataire (pointée par la flèche). Identifier les flux et leur sens est primordial. La plupart des pare-feux modernes sont aujourd’hui contextuels (stateful). Ils sauront donc identifier les paquets provenant du WAN dont l’émission n’a pas été sollicitée par une machine du LAN et les filtrer en conséquence. Cette architecture souffre de plusieurs problèmes de conception : Problème 1 : les flux depuis Internet vers le client traversent systématiquement le LAN. Ce point est extrêmement problématique. La moindre erreur risque donc de permettre à un internaute quelconque d’adresser un paquet initialement destiné au client vers n’importe quelle machine du LAN. Un attaquant pourrait tirer parti d’une telle erreur pour adresser un paquet d’attaque à l’une des machines du LAN. A partir de l’une des machines du LAN, il est généralement relativement aisé de prendre contrôle de la majeure partie des composants du réseau interne. Problème 2 : le pare-feu est un point névralgique de l’architecture. Si l’attaquant parvient à le compromettre où à le rendre complètement traversant (il ne fait alors que router des paquets entre ses interfaces), il peut alors accéder à l’ensemble du réseau cible. Ici encore, la compromission multiple de machines s’avère relativement aisée. 3.5.2 Architecture « accès DMZ via le pare-feu » Le premier problème peut être aisément corrigé en connectant directement les serveurs et machines de l’administration sur une des interfaces réseau du pare- feu. L’architecture obtenue est représentée sur la Figure ci-dessous. Figure IV.3.5.1 : architecture basique et identification des flux
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 99 Note importante : dans ce cas, seuls sont déplacés les serveurs devant être accessibles de l’extérieur. Les serveurs à usage interne (serveurs de fichier, base de données par exemple) doivent rester quant à eux connectés directement au LAN et accessibles uniquement depuis ce dernier. [22] Les clients sont situes dans la zone DMZ, cela protège les machines de l’administration d’une attaque provenant e l’intérieur du LAN. Cette architecture corrige correctement le premier problème (les flux à destination des clients ne circulent plus au travers du LAN) mais pas les deux autres dans la mesure où le pare-feu constitue toujours un point critique de l’architecture et où aucune protection spécifique n’est mise en place pour prendre en compte le risque de défiguration des machines clients. Donc la deuxième architecture est la plus correspondante dans notre cas pour définir une architecture de sécurité du réseau d’hôtel.[22] 4. Sécurité du réseau sans fil Installer un réseau sans fil sans le sécuriser peut permettre à des personnes non autorisées d'écouter, de modifier et d'accéder à ce réseau. Il est donc indispensable de sécuriser les réseaux sans fil dès leur installation. Il est possible de sécuriser son réseau de façon plus ou moins forte selon les objectifs de sécurité et les ressources que l'on y accorde. La sécurité d'un réseau sans fil peut être réalisée à différents niveaux : configuration des équipements et choix des protocoles. 4.1. Sécurité des points d'accès Figure IV.3.5.2 : architecture « accès DMZ via le parefeu »
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 100 Changer la configuration par défaut des points d'accès est une première étape essentielle dans la sécurisation du réseau sans fil. Pour cela il est nécessaire de changer les mots de passe par défaut (notamment administrateur) par des mots de passe plus forts. Modifier la configuration Par défaut (adressage privé utilisé avec DHCP ou adresse de l'interface par exemple) :  Désactiver les services disponibles non utilisés (SNMP, Telnet...) ;  Régler la puissance d'émission du point d'accès au minimum nécessaire. Il est également important de mettre à jour le firmware de son point d'accès dès que le constructeur propose une mise à jour (résolution d'un problème de sécurité sur un des services disponibles par exemple). Cette mise à jour suppose des tests préalables poussés afin de vérifier la compatibilité avec l'existant une fois la mise à jour effectuée. Changer le SSID par défaut est une bonne pratique, largement recommandé dans la plupart des cas. Il est judicieux de ne pas choisir un SSID attractif. La plupart des points d'accès donne la possibilité de désactiver la diffusion du SSID. Il ne s'agit nullement d'une mesure de sécurité car une personne informée pourra obtenir le SSID très facilement : le SSID est une donnée qui est visible lors de l'association d'un client. Ensuite, il s'agit de configurer le point d'accès en activant les options de sécurité répondant aux objectifs choisis en matière de sécurité. Les différents protocoles relatifs à la sécurité des réseaux sans fil sont exposés dans la suite de ce document. L'activation de la journalisation de l'activité du point d'accès est nécessaire. Exporter ces journaux vers une machine de confiance, sécurisée dans cette optique, est largement recommandé. Enfin, au-delà de la sécurité logique, il est nécessaire de prendre en compte la sécurité physique des points d'accès. Une protection des points d'accès doit être mise en place afin de contrer un utilisateur mal intentionné ayant un accès physique aux bornes (connexion de l'attaquant par câble croisé ou câble série, modification matérielle de la totalité ou d'une partie du point d'accès ...).[18]
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 101 4.2. Sécurité des protocoles liés aux réseaux sans fil De nombreuses évolutions protocolaires ont rythmé la sécurité des réseaux sans fil. Les objectifs sont les suivants :  Garantir la confidentialité des données ;  Permettre l'authentification des clients ;  Garantir l'intégrité des données. 4.2.1. Chiffrement L'absence de chiffrement dans un réseau sans fil laisse l'ensemble des données qui transitent sur ce réseau à la merci d'une personne munie d'une carte Wifi et située dans le périmètre de réception des ondes émises par les autres équipements. En raison de la propagation des ondes, il est nécessaire de protéger son réseau par un chiffrement approprié. Le protocole initialement proposé pour le chiffrement des communications entre éléments d'un réseau sans fil est le WEP (Wired Equivalent Privacy). Le WEP est une option proposée dans le standard IEEE 802.11 et, en plus de chiffrement, traite de l'authentification et de l'intégrité. Le principe du chiffrement WEP est un chiffrement par flot utilisant l'algorithme RC4 et nécessitant un secret partagé encore appelé clef. Cette clef peut être de longueur 64 ou 128 bits (compte tenu de l'utilisation d'un vecteur d'initialisation de 24 bits, la longueur réelle du secret partagé est de 40 ou 104 bits). Le chiffrement proposé par le protocole WEP s'est révélé rapidement inapte à offrir un niveau de sécurité suffisant pour la plupart des utilisateurs. En effet, il est possible en écoutant une quantité suffisante de trafic (cela peut prendre plusieurs heures selon l'activité du réseau), de casser une clef WEP en quelques secondes. Une documentation abondante est disponible sur l'Internet sur le sujet. Plusieurs outils d'attaque publics permettent de faire cela facilement, sans matériel spécialisé, dans un temps raisonnable. En plus de la faiblesse de la mise en œuvre du chiffrement, le chiffrement WEP introduit des problèmes de gestion de clefs qui rapidement dégradent la sécurité du réseau, en plus d'être extrêmement difficile à mettre en place selon une politique rigoureuse. Afin d'augmenter la sécurité fournie par le chiffrement WEP, il est nécessaire de changer les clefs sur une base de temps à définir (dépend de la taille du réseau, du nombre d'utilisateurs, du trafic engendré...). Il faut également changer les clefs lors du départ d'un employé, du vol d'un portable...
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 102 Enfin, il faut également garder à l'esprit que tous les utilisateurs d'un réseau Wi-Fi protégé avec le chiffrement WEP partagent la même clef WEP. Ainsi, tout utilisateur peut écouter les autres utilisateurs comme si aucun chiffrement n'était en place. L'évolution du chiffrement dans les réseaux sans fil est apparue avec le standard WPA (Wi-Fi Protected Access). Cette norme était initialement une norme intermédiaire en attendant la finition et la ratification de la norme IEEE 802.11i, devant apporter un niveau de sécurité satisfaisant pour l'ensemble des exigences en matière de chiffrement, authentification et intégrité. Le WPA introduit le protocole TKIP (Temporal Key Integrity Protocol), qui sera repris par la norme IEEE 802.11i. Ce protocole permet de remédier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet ainsi qu'un changement automatique des clefs de chiffrement. L'algorithme de chiffrement sous-jacent est toujours le RC4 utilisé avec des clefs de 128 bits, mais contrairement au WEP, il est utilisé plus correctement. Des méthodes d'attaques ont cependant été publiées en novembre 2008 ; elles permettent sous certaines conditions de déchiffrer quelques trames arbitraires émises par le point d'accès vers une station et d'injecter de nouvelles trames (empoisonnement de table ARP par exemple). Les bulletins d'actualité CERTA-2008-ACT-045 et CERTA-2008-ACT- 047 abordent ces problèmes.[18] Le standard WPA définit deux modes distincts : WPA-PSK Mode : repose sur l'utilisation d'un secret partagé pour l'authentification ; WPA Enterprise Mode : repose sur l'utilisation d'un serveur RADIUS pour l'authentification. Le mode WPA-PSK est vulnérable à des attaques par dictionnaire. Il est donc très important de choisir un secret (passphrase) fort afin de limiter ces risques. Cependant, en ce qui concerne le chiffrement dans les réseaux sans fil, le WPA apporte un niveau de sécurité supérieur à celui fourni par le WEP. Il permet aujourd'hui de se prémunir contre la plupart des attaques cryptographiques connues contre le protocole de chiffrement WEP. La dernière évolution en date de juin 2004, est la ratification de la norme IEEE 802.11i, aussi appelé WPA2 dans la documentation grand public. Ce standard reprend la grande majorité des principes et protocoles apportés par WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement WEP et
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 103 TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP : WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opératoire OCB (Offset Codebook) d’AES ; CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opératoire CCM (Counter with CBC-MAC) d’AES ; Le chiffrement CCMP est le chiffrement recommandé dans le cadre de la norme IEEE 802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur d'initialisation de 48 bits. Ces mécanismes cryptographiques sont assez récents et peu de produits disponibles sont certifiés WPA2. Le recul est donc faible quant aux vulnérabilités potentielles de cette norme. Même si ce recul existe pour l'algorithme AES, le niveau de sécurité dépend fortement de l'utilisation et de la mise en œuvre de AES. De plus, WPA2 pose aujourd'hui des problèmes de compatibilité pour les clients d'un réseau sans-fil. En plus du matériel non encore répandu, tous les systèmes d'exploitation n'intègrent pas la norme WPA2 ou IEEE 802.11i. A ce jour, compte tenu de la disponibilité du matériel, des problèmes de compatibilité et en l'absence de recul suffisant, la solution la plus sûre d'un point de vue cryptographique reste l'utilisation simultanée d'IPSEC. Contrairement au standard IEEE 802.11i, IPSEC bénéficie d'un recul certain quant à la qualité de la sécurité offerte. Le coût de mise en œuvre est sans doute plus élevé. Néanmoins l'absence de recul concernant la norme IEEE 802.11i oblige à être prudent lorsque l'on désire un chiffrement d'un niveau éprouvé.[18] 4.2.2. Authentification La norme 802.11 initiale spécifie deux modes d'authentification : ouvert ou partagé (open ou shared). L'authentification ouverte signifie l'absence d'authentification et l'authentification partagée signifie l'utilisation d'un secret partagé, en l'occurrence une clef WEP dans un mécanisme challenge/réponse. Il est vite apparu que ce mode d'authentification était très largement insuffisant, induisant même une dégradation du chiffrement par l'intermédiaire du challenge/réponse donnant de la matière à des attaques cryptographiques. La plupart des équipements donnent la possibilité de filtrer les adresses MAC ayant le droit de s'associer avec le point d'accès. Cette liste doit être reproduite sur chaque point d'accès du réseau sans fil si l'on désire garder toute la mobilité du réseau.
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 104 Ce seul mécanisme d'authentification s'avère souvent inefficace. En effet, il est toujours possible pour un utilisateur mal intentionné de changer son adresse MAC afin d'usurper l'identité d'un client valide. L'adresse MAC est censée servir d'identifiant unique au niveau de la couche 2, cependant tous les systèmes d'exploitation actuels permettent à un utilisateur mal intentionné de modifier cette donnée très facilement. A ces problèmes d'authentification, une solution plus robuste est apportée par la norme IEEE 802.1X. Le standard IEEE 802.1X est utilisable en environnement sans fil comme en environnement filaire. IEEE 802.1X définit une encapsulation d’EAP (Extensible Authentication Protocol) au dessus du protocole IEEE 802.11. L'équipement d'accès au réseau sans fil (point d'accès) relaie les trames entre le client et le serveur d'authentification (serveur RADIUS), sans connaître le protocole EAP utilisé. Dans le cas où le protocole d'authentification prend en charge la gestion des clefs, celles-ci sont transmises à l'équipement d'accès puis au client dans le cadre du chiffrement. Dans le cadre de l'authentification en environnement sans fil basée sur le protocole 802.1X, différentes variantes d’EAP sont disponibles aujourd'hui : Protocole EAP-MD5 (EAP - Message Digest 5) ; Protocole LEAP (Lightweight EAP) développé par Cisco ; Protocole EAP-TLS (EAP - Transport Layer Security) crée par Microsoft et accepté sous la norme RFC 2716 ; Protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) développé par Funk Software et Certicom ; Protocole PEAP (Protected EAP) développé par Microsoft, Cisco et RSA Security ... Certaines de ces variantes se sont révélées trop faible pour prendre en charge une authentification de qualité satisfaisante. Ainsi EAP-MD5 et LEAP sont peu à peu abandonnés car ils sont sujet à des attaques par dictionnaire et des attaques de type homme du milieu (man-in-the-middle).La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE 802.11i). Il est évident que les recommandations de sécurité portent également sur le serveur d'authentification (serveur RADIUS) qui devra être à jour en ce qui concerne les vulnérabilités. En plus de la sécurité logicielle, une attention particulière devra être prise quant à l'insertion du serveur RADIUS dans son architecture réseau. 4.2.3. Intégrité
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 105 Le standard IEEE 802.11 définit un mécanisme sommaire d'intégrité des trames basé sur le CRC (Control Redondancy Check). Cette valeur est appelée ICV (Integrity Check Value) et est de longueur 4 octets. Les propriétés du CRC sont telles que le niveau de sécurité atteint est très faible. Il est ainsi possible pour un utilisateur mal intentionné de modifier une trame tout en mettant à jour le CRC afin de créer une trame modifiée valide. Le standard WPA introduit un mécanisme d'intégrité beaucoup plus robuste appelé MIC (Message Integrity Check - aussi appelé Michael dans le cadre du WPA et WPA2). Ce champ a pour longueur 8 octets et permet de se prémunir contre le rejet (qui consiste à réémettre une trame interceptée de telle sorte qu'elle soit valide au sens cryptographique). Le standard WPA2 ou IEEE 802.11i utilise également ce mécanisme d'intégrité. L'utilisation de MIC est recommandée afin d'obtenir un niveau de sécurité plus élevé que l'utilisation d'une simple valeur de type CRC, présentant des propriétés cryptographiques trop faibles pour assurer l'intégrité des trames dans un réseau sans fil. 4.4. Sécurité après la mise en place du réseau sans fil Afin de conserver un niveau de sécurité satisfaisant de son réseau sans fil, il est nécessaire d'appliquer les mêmes procédures que pour les réseaux filaires, à savoir :  Informer les utilisateurs : la sécurité d'un réseau passe avant tout par la prévention, la sensibilisation et la formation des utilisateurs ;  Gérer et surveiller son réseau : la gestion et la surveillance d'un réseau sans fil peut, elles aussi, s'effectuer à deux niveaux. La surveillance au niveau IP avec un système de détection d'intrusions classique (prelude, snort, ...) et la surveillance au niveau physique (sans fil) avec des outils dédiés (Kismet, ...).  Auditer son réseau : l'audit d'un réseau sans fil s'effectue en deux parties. Un audit physique pour s'assurer que le réseau sans fil ne diffuse pas d'informations dans des zones non désirées et qu'il n'existe pas de réseau sans fil non désiré dans le périmètre à sécuriser. Un audit informatique, comme pour les autres réseaux, pour mesurer l'écart entre le niveau de sécurité obtenu et celui désiré. La sécurité d'un réseau sans fil comprend aussi sa gestion. Gérer un réseau sans fil nécessite de s'appuyer sur une équipe ayant une bonne connaissance des réseaux et de la sécurité des systèmes d'information.
CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité 106 5. Conclusion : La segmentation du réseau d'une part permettra à l'administrateur d'être plus à l'aise dans la gestion de son réseau, d'autre part elle nous permettra de bien dimensionner notre bande passante par priorité de segment et d’isoler les trafics entre les différents segments pour des raisons de confidentialité et de sécurité. Malgré des problèmes de sécurité intrinsèques, les réseaux sans fil continuent et continueront probablement à se développer. Il est donc important de bien connaître les problèmes liés à la mise en place de ce type de réseaux afin d'en limiter les effets néfastes. Il est également important de déterminer le niveau de sécurité souhaité afin de mettre en place une solution en adéquation avec ce choix.
107 Conclusion Générale Le travail réalisé dans le cadre de ce projet de fin d’étude mène à la conception d’un réseau Lan et Wlan d’une part et l’optimisation et la sécurisation d’une autre part. En partant du fait que notre conception devra répondre aux exigences dans le cahier de charge délivré par le bureau d’étude, nous nous sommes particulièrement focalisés sur les techniques de conception et de dimensionnement du réseau Lan et WLan qui s’adapte aux contraintes de chaque service. Ces systèmes ainsi conçus permettront aux utilisateurs du réseau un accès aux services fiable et sécurisé. Pour répondre à cette problématique, nous avons commencé tout d’abord par recueillir toutes les informations nécessaires à la conception d'un réseau local , en commençant par l'aperçu de l'étude effectué par le bureau d’étude, mais en effectuant des recherches supplémentaires au besoin. Pour réaliser adéquatement la conception du réseau local de l’hôtel du Carré Eden, nous avons effectuez les tâches suivantes :  Une documentation contenant les exigences des utilisateurs (interprétation de l'aperçu de l'étude)  Un document global de conception, qui renferme la conception du réseau local logique (topologie logique) et une conception physique complète (topologie physique) qui comprend :  Détails se rapportant à tous les répartiteurs principaux et intermédiaires qui seront installés dans les locaux techniques,  Le nombre de ports de commutation d'interconnexions horizontales, verticales et de réseau local nécessaires pour appuyer la croissance actuelle et future.  Liste des équipements électronique du réseau local : matériel (concentrateurs, commutateurs, routeurs, serveurs et autres) exigés  Caractéristiques concernant le type et la quantité de média pour les parcours de câbles verticaux et horizontaux  Caractéristiques portant sur la sécurité, les réseaux locaux virtuels et la séparation des réseaux du personnel et des clients.  Une analyse des avantages et des inconvénients de la conception proposée pour le réseau local Voici dons un récapitulatif des medias et matériel dont nous allons nous service pour la réalisation du réseau local : Câble 32 paires catégorie 5 / Classe D : Câblage de rocade informatique
108 Câbles 4 paires torsadée F/UTP catégorie 6a : liaisons terminales entre les armoires et les prises. Fibres optiques multi-mode(OM2) 50/125µ : Interconnexion des répartiteurs intermédiaires au répartiteur principal. AVAYA Ethernet 2526T-PWR pour la couche d’accès. AVAYA Ethernet 2550T pour la couche de distribution. Pour la planification du réseau Wlan, nous avons eu recours au logiciel Surveyor de Airmagnet pour réaliser l’audit de site qui va nous permettre d’avoir une idée sur la distribution du signal et du bruit dans les zones de l’hôtel, le choix des position des points d’accès était arbitraire et il pourra être modifié selon les modifications futures concernant dans un premier temps les constructions et les modifications de l’environnement. Le déploiement du réseau sans fils est basé sur l’utilisation des point d’accès légers 802.11g en indoor et les point d’accès légers 802.11n en outdoor. La mise en place du Réseau Local Virtuel (VLAN), nous permettra de segmenter le réseau du Carré Eden pour isoler les différents flux d’une par et sécuriser l’accès aux ressource d’une autre part. Par nos connaissances universitaires associées à la pratique de l'entreprise et notre volonté de relever ce défi, et afin de satisfaire l'ensemble des utilisateurs du réseau du carré Eden dans l'utilisation des services du réseau convenablement, nous avions proposé d’implémenter la solution de VLAN permettant l'augmentation considérable des performances du réseau. Ce travail non exhaustif offre quelques perspectives que nous présentons ci- après. L’étude établit dans ce travail ne comprend pas une analyse approfondi des flux et trafics qui pourront circuler sur le réseau, l’existence des flux exigent en terme de bande passante et de délais nécessitera la mise en place des mécanismes de qualité de service. Les commutateurs étant des outils de base de la conception d'architecture réseau, il est important de noter aujourd'hui, pour concevoir correctement une architecture réseau, il faudra considérer : les besoins en application, les schémas de trafic et la composition des groupes de travail afin de garantir la bande passante délivrée par port de ces équipements qui contribue fortement au développement des réseau locaux. Lors de travaux futurs, il est envisageable d’étudier en détail la logistique d’installation en établissant tous les documents techniques relatifs à chaque
109 système. Cela permettra d’effectuer une étude technico-économique approfondie sur l’ensemble du réseau du Carré Eden. Etudier la faisabilité de mettre en œuvre des réseaux de nouvelle génération tel que les réseaux optiques permettant d’atteindre des débits de 5Tbps à un coût relativement faible.
110 BIBLIOGRAPHIE [1] : REFERENTIEL TECHNIQUE ‘Voix - Données – Images CABLAGE BANALISE MULTIMEDIA’ Version 3.2.1 mars 2009 [2] : Site officiel de google https://maps.google.com/maps?hl=en&tab=wl (Mars 2013) [3] : Site officiel de Wikipedia http://docwiki.cisco.com/wiki/Ethernet_Technologies ,(Mars 2013), [4] : Nathalie Bruneaut et Thomas TAM ‘ Les réseaux Ethernet, Token Ringet FDDI’ guill.net Mars 2011 [5] : Bachar Salim HAGGAR, ‘Conception de réseaux de campus’ octobre 2009 [6] : Site officiel de Wikipedia https://en.wikipedia.org/wiki/Asynchronous_Transfer_Mode (Mars 2013). [7] : Site officiel de Wikipedia http://fr.wikipedia.org/wiki/Paire_torsad%C3%A9e [8] : Cours ‘câblage VDI’ BAC-PRO SEN POITIERS 2009 [9] : SIEMON Nouveau Guide du Câblage Informatique des Bâtiments (2010) [10] : Master GETEL ‘UV Technologie de l'optique guidée’ Version Septembre 2007 [11] : AFNOR ‘Réseau locaux sur fibre optique’ Version 1990 [12] : Site officiel de marocventes http://www.marocventes.com/Informatique (avril 2013) [13] : Site officiel de http://www.touslescables.com/bobine-aide.html (avril 2013) [14] : Site officiel de memoireenligne http://www.memoireonline.com/07/09/2324/m_Les-technologies-sans-fil-Le-Wi- Fi-et-la-Securite1.html (avril 2013) [15] : Site officiel de Wikipedia http://fr.wikipedia.org/wiki/IEEE_802.11 (avril 2013)
111 [16] : CiscoMag ‘Migration des Access Points autonomes vers Cisco Unified Wireless ‘ Mars 2008 [17] Site officiel de Wikipedia http://fr.wikipedia.org/wiki/Liste_des_canaux_Wi-Fi Mais 2013 [18] Aurleien Geron ‘Wifi professionnel La norme 802.11 Le déploiement et la sécurité’ 3eme édition DUNOD [19] Katia RUNSER PHD ‘Méthodologie de planification de réseau locaux sans-fil’ [20] Fluke network Fiche technique ‘AirMagnet Survey’ 2010 [21] : www.memoireonline.com – «sécurité et télécommunications » (Mai 2013) [22] Site officiel de Agence nationale de la sécurité des systèmes d’information http://www.ssi.gouv.fr/ – «sécurité-des-réseaux » « date de visite : 15/05/2013 ».
112 EIA/TIA 568 ISO/IEC 11801 EN 50173 TSB 36 TSB 40 TSB 67 IEC 1156-1 IEC 1156-2 IEC 1156-3 IEC 1156-4 EN 50167 EN 50168 EN 50169 US INTERNATIONAL EUROPEEN EEIIAA//TTIIAA556688 IISSOO//IIEECC1111880011 EENN 5500117733 TTSSBB 3366 TTSSBB 4400 TTSSBB 6677 IIEECC 11115566--11 IIEECC 11115566--22 IIEECC 11115566--33 IIEECC 11115566--44 EENN 5500116677 EENN 5500116688 EENN 5500116699 TSB 36 TSB 40 TSB 53 TSB 67 IEC 1156-1 IEC 1156-2 IEC 1156-3 IEC 1156-4 ANNEXE A : Normes de câblage US INTERNATIONAL EUROPEEN EIA/TIA 568 ISO/IEC 11801 EN 50173 EN 50167 EN 50168 EN 50169 EIA/TIA : Au niveau américain l’EIA/TIA a défini le standard EIA/TIA 568, composé de bulletins techniques définissant les composants à utiliser :  TSB 36 A : câble de distribution horizontale (câble à paires torsadées 100),  TSB 40 : prise murale : connectique RJ 45, raccordement par contact auto dénudant (CAD),  TSB 53 : câbles blindés 150 et connecteurs hermaphrodites,  TSB 67 : test des liens 100 installés. ISO 11801 : La première édition de la norme fût votée en juillet 1974. Elle définit une installation de câblage complète :  Architecture,  Composants,  Performances. Elle traite de manière plus approfondie les problèmes de blindage et de mise à la terre. EN 50 173 : Figure 1 : Normes de câblage
113 La norme Européenne EN 50 173 suit les spécifications de la norme ISO 11 801 avec quelques précisions régionale. On retrouve également des précisions comme :  EN 50 167 : câbles de distribution horizontale avec quelques spécifications supplémentaires (Gaine zéro Halogène, impédance),  EN 50 168 : Câbles pour cordons,  EN 50 169 : Câbles de distribution verticale ANNEXE B : Bande de fréquences LES BANDES DE FREQUENCES Les cinq couches radio du standard IEEE 802.11/a/b/g utilisent des fréquences situées dans des bandes dites sans licence. Il s'agit de bandes libres, qui ne nécessitent pas d'autorisation de la part d'un organisme de réglementation. Les deux bandes sans licence utilisées dans 802.11/a/b/g sont : la bande ISM (Industrial, Scientifique and Médical) la bande U-NII (Unlicenced-National Information Infrastructure). La bande ISM La bande ISM utilisée dans 802.11/b/g correspond à une bande de fréquence située autour de 2.4 GHz, avec une largeur de bande de 83.5 MHz (2.4 MHz – 2.483 5 MHz). Cette bande ISM est reconnue par les principaux organismes de réglementation, tels que la FCC au Etats-Unis, l'ETSI en Europe, l'ART en France. Figure 1 : Bandes de fréquences
114 La bande U-NII La bande sans licence U-NII est située autour de 5 GHz. Elle offre une largeur de bande de 300 MHz (plus importante que celle de la bande ISM qui est égale à 83.5 MHz). Cette bande n'est pas continue mais elle est divisée en trois sous-bandes distinctes de 100 MHz. Dans chaque sous bande la puissance d'émission autorisée est différente. La première et la deuxième sous bande concernent des transmissions en intérieur. La troisième sous-bande concerne des transmissions en extérieur. Comme pour la bande ISM, la disponibilité de ces trois bandes dépend de la zone géographique. Les Etats-Unis utilisent la totalité des sous- bandes, l'Europe n'utilise que les deux premières et le Japon la première. Les organismes chargés de réguler l'utilisation des fréquences radio sont : l'ETSI (European Telecommunications Standards Institute) en Europe, la FCC (Federal Communications Commission) aux Etats-Unis, le MKK (Kensa-kentei Kyokai) au Japon . ANNEXE C : Protocole LWAPP Historique Nous avons vu que dans l'architecture centralisée, les points d'accès abandonnaient certaines fonctions au profit des contrôleurs, et qu'ils étaient pilotés par ceux-ci. Pour communiquer entre elles, ces entités utilisent un protocole d'échange : il s'agit de LWAPP (LightWeight Access Point Protocol). Celui-ci a d'abord été introduit en 2002 par la société Airespace, rachetée par Cisco en 2005. Le protocole LWAPP est une solution propre à Cisco (mais non propriétaire), qui n'est pas compatible avec les matériels d'autres constructeurs. LWAPP - Une solution basée sur un Protocole Ouvert La solution Cisco est basée sur le protocole LWAPP – LightWeight Access Point Protocol – qui est public et a servi de base de travail pour le groupe de normalisation CAPWAP de l’IETF, dont les travaux sont encore en cours. L’objectif de LWAPP est de définir un protocole de contrôle et de transport des données entre les points d’accès radio et le contrôleur WiFi (figure 1). Le point d’accès radio est entièrement piloté par le contrôleur, il n’est plus vu comme une ressource administrable individuellement, mais comme un élément du réseau Wireless, administrable centralement depuis le point unique qu’est le contrôleur.
115 Figure 1 : Architecture de contrôle de transport Le protocole LWAPP est routable et il permet donc aux différents points d’accès radio de se trouver dans différents sous-réseau IP, tout en offrant un service identique en tout point du réseau (figure 2). Figure 2 : Répartition en sous-réseaux et contrôle Dans son fonctionnement traditionnel, le protocole LWAPP utilise deux canaux entre le point d’accès radio et le contrôleur. Le premier, utilisant le port UDP 12223, transporte les flux de contrôle, comme les demandes d’associations, d’authentification, les informations concernant l’environnement radio, etc.
116 Ce canal est chiffré en AES, les données transitant par lui pouvant contenir des informations critiques en ce qui concerne la sécurité Le second canal, utilisant le port UDP 12222, transporte le flux des utilisateurs jusqu’au contrôleur Wifi, où ils seront ensuite envoyés vers le réseau filaire en fonction des règles associées au client radio et après avoir passé des filtrages de sécurité éventuels (figure 3). Figure 3 : Fonctionnement du protocole LWAPP Le partage des tâches entre les points d’accès radio et le contrôleur peut être résumé de la façon suivante : • Tout ce qui est « temps réel » est traité par le point d’accès. Par exemple les acquittements des trames radio, la gestion de la QoS dans les buffers d’émission, le chiffrement et le déchiffrement des trames radio en AES ou l’émission des beacons toutes les 100 ms. • Tout ce qui demande du traitement et un échange protocolaire plus important, comme la phase d’association, l’authentification du client auprès d’un serveur RADIUS ou l’analyse de l’environnement radio, sera traité par le contrôleur.

Contenu connexe

PPTX
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
PDF
Étude et mise en place d'un serveur FTP au sufop
pariferis
 
PDF
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
parKarima Torkhani
 
DOC
Rapport de stage nagios
parhindif
 
PPT
Soutenance
parBobo Brahim
 
PDF
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
PDF
rapportfinal
parHamza Ben Marzouk
 
PDF
conception et réalisation d'une application de gestion des rapports téléphoni...
parismailbou
 
Presentation pfe ingenieur d etat securite reseau et systemes
parHicham Moujahid
 
Étude et mise en place d'un serveur FTP au sufop
pariferis
 
Torkhanikarima-MémoireMastereProRx&telecom-FST2015-, Supervision et Monitorin...
parKarima Torkhani
 
Rapport de stage nagios
parhindif
 
Soutenance
parBobo Brahim
 
Rapport_PFE_Securite (1).pdf
parAhmedDhib6
 
rapportfinal
parHamza Ben Marzouk
 
conception et réalisation d'une application de gestion des rapports téléphoni...
parismailbou
 

Tendances

PDF
Rapport du projet fin d'etudes
parTahani RIAHI
 
DOCX
Rapport de PFE
parGhizlane ALOZADE
 
PDF
[PFE] Master - Génie logiciel
parLouati Aicha
 
PDF
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
parSalma Gouia
 
PDF
Rapport projet fin d'étude
parHibaFarhat3
 
PDF
Projet Fin D'étude Application Mobile
parRim ENNOUR
 
DOCX
PFE :: Application de gestion des dus d'enseignement
parNassim Bahri
 
PDF
Conception et réalisation d'une application de gestion intégrée au sein de la...
parAddi Ait-Mlouk
 
PDF
Rapport PFE VoIP
parMaroua Labidi
 
PDF
Rapport de-stage-technecien
parghazwanikhouloud
 
PDF
rapport fin d'etude
parsihem-med
 
DOCX
Rapport PFE : Cloud Insights
parahmed oumezzine
 
PDF
Conception et Réalisation Application Web Laravel PFE BTS
parFaissoilMkavavo
 
PDF
Rapport de stage TOIP/VOIP
parMounir Kaali
 
DOC
Rapport PFE : Réalisation d'une application web back-office de gestion pédago...
parAnas Riahi
 
PDF
Rapport de PFE - Houssem SAKLI (ISIMM)
parHoussem Sakli
 
PDF
Rapport de stage de fin d'études ISI 2015
parAnouar Kacem
 
PDF
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
parHajer Dahech
 
PPTX
Présentation pfe Développement d'une application bancaire mobile
parNader Somrani
 
PDF
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 
Rapport du projet fin d'etudes
parTahani RIAHI
 
Rapport de PFE
parGhizlane ALOZADE
 
[PFE] Master - Génie logiciel
parLouati Aicha
 
Rapport final pfe_systeme_de_gestion _de_cabinet_de_formation_mobile_web
parSalma Gouia
 
Rapport projet fin d'étude
parHibaFarhat3
 
Projet Fin D'étude Application Mobile
parRim ENNOUR
 
PFE :: Application de gestion des dus d'enseignement
parNassim Bahri
 
Conception et réalisation d'une application de gestion intégrée au sein de la...
parAddi Ait-Mlouk
 
Rapport PFE VoIP
parMaroua Labidi
 
Rapport de-stage-technecien
parghazwanikhouloud
 
rapport fin d'etude
parsihem-med
 
Rapport PFE : Cloud Insights
parahmed oumezzine
 
Conception et Réalisation Application Web Laravel PFE BTS
parFaissoilMkavavo
 
Rapport de stage TOIP/VOIP
parMounir Kaali
 
Rapport PFE : Réalisation d'une application web back-office de gestion pédago...
parAnas Riahi
 
Rapport de PFE - Houssem SAKLI (ISIMM)
parHoussem Sakli
 
Rapport de stage de fin d'études ISI 2015
parAnouar Kacem
 
Rapport PFE "Conception et développement d'un Portail web pour le Smart Met...
parHajer Dahech
 
Présentation pfe Développement d'une application bancaire mobile
parNader Somrani
 
ETUDE ET MISE EN PLACE D’UNE SOLUTION DE GESTION DE LA SECURITE DU RESEAU : C...
parTidiane Sylla
 

Similaire à Rapport projet pfe

PPTX
Professionnalisation 1A RESEAUX .pptx
parFofFofana
 
PDF
Projet reseau-de-kherfallah-ipm-2010-2011
parBoubaker KHERFALLAH
 
PDF
Chap1 Généralités sur les réseaux informatiques.pdf
parTimogoTRAORE
 
PDF
Badis these
parMaherZerox
 
PDF
Rapport simo issam
parsimomans
 
PDF
Conception et Développement d'un Network Management System ATM Nortel
parTidiane Sylla
 
PPTX
Groupe De Kamleu, Youssouf, Bertrang, Thiam, Adram+¬ Etude De Cas Cisco
parEmeric Kamleu Noumi
 
PPTX
COURS D’ ARCHITECTURE DES RESEAUX 2024 ISIM
parOnKashama
 
PPTX
Mise en place des réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
PPT
Synthèse des Réseaux
parPaulin CHOUDJA
 
PDF
0105-formation-ccna-module-1.pdf
parbessem ellili
 
PDF
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
PDF
ccna-1-essentiel.pdf ccna-1-essentiel.pdf
parssuser81d7f81
 
PPSX
Généralités sur les réseaux et Topologies
parBennouar Abdelfettah
 
PPT
chapitre1.ppt
parbochramiinfo
 
PPTX
Version Final Presentation
parBedreddine Zarrouk
 
PDF
Fiche projet réseau local d'une entreprise moderne
parMohamed Boubaya
 
PDF
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
PDF
Wifiprofessionnellanorme80211ledeploiementlasecurite
parRiadh Briki
 
PDF
Mémoire de fin de cycle Étude d'une Solution SDN
parromulamba
 
Professionnalisation 1A RESEAUX .pptx
parFofFofana
 
Projet reseau-de-kherfallah-ipm-2010-2011
parBoubaker KHERFALLAH
 
Chap1 Généralités sur les réseaux informatiques.pdf
parTimogoTRAORE
 
Badis these
parMaherZerox
 
Rapport simo issam
parsimomans
 
Conception et Développement d'un Network Management System ATM Nortel
parTidiane Sylla
 
Groupe De Kamleu, Youssouf, Bertrang, Thiam, Adram+¬ Etude De Cas Cisco
parEmeric Kamleu Noumi
 
COURS D’ ARCHITECTURE DES RESEAUX 2024 ISIM
parOnKashama
 
Mise en place des réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
Synthèse des Réseaux
parPaulin CHOUDJA
 
0105-formation-ccna-module-1.pdf
parbessem ellili
 
lexique-de-commandes-cisco.pdfbarryfrench
parjamelyaro063
 
ccna-1-essentiel.pdf ccna-1-essentiel.pdf
parssuser81d7f81
 
Généralités sur les réseaux et Topologies
parBennouar Abdelfettah
 
chapitre1.ppt
parbochramiinfo
 
Version Final Presentation
parBedreddine Zarrouk
 
Fiche projet réseau local d'une entreprise moderne
parMohamed Boubaya
 
Mise en place de deux réseaux LAN interconnectés par un réseau WAN
parGhassen Chaieb
 
Wifiprofessionnellanorme80211ledeploiementlasecurite
parRiadh Briki
 
Mémoire de fin de cycle Étude d'une Solution SDN
parromulamba
 

Dernier

PDF
Intelligence artificielle Générative et Robots Humanoïdes - 1ère partie
parJean-Antoine Moreau
 
PPTX
Présentation Les 7 principes de la démarche qualité ISO 9001
paryoussefaitoune
 
PPTX
Mémoire de Master professionnel (IFTS) TCHALIM.pptx
parTCHALIM
 
PPTX
Les techniques du reverse Engineering : comment utiliser des outils sur l'ana...
parFrédéric Sagez
 
PDF
Bien débuter avec Spring AI - Bases, chatbot et MCP
parFlorian Beaufumé
 
PPTX
Cours de MANAGEMENT DE PROJET - cours 1.pptx
parnabilhassou78
 
PPTX
cours raspberry [Enregistrement automatique].pptx
parTCHALIM
 
Intelligence artificielle Générative et Robots Humanoïdes - 1ère partie
parJean-Antoine Moreau
 
Présentation Les 7 principes de la démarche qualité ISO 9001
paryoussefaitoune
 
Mémoire de Master professionnel (IFTS) TCHALIM.pptx
parTCHALIM
 
Les techniques du reverse Engineering : comment utiliser des outils sur l'ana...
parFrédéric Sagez
 
Bien débuter avec Spring AI - Bases, chatbot et MCP
parFlorian Beaufumé
 
Cours de MANAGEMENT DE PROJET - cours 1.pptx
parnabilhassou78
 
cours raspberry [Enregistrement automatique].pptx
parTCHALIM
 

Rapport projet pfe

  • 1.
    1 Dédicace A nos trèschers parents, A nos très chers frères et sœurs A toute la famille A tous nos amis A notre cher ami ELKHALIFA Mohammed A notre cher ami SAS Youssef A tous ceux qui nous aiment A tous ceux qui nous ont soutenus de près ou de loin, On dédie ce travail BOUCHAL Med Amine MOUJAHID Hicham
  • 2.
    2 Remerciements Au nom d’ALLAHle tout miséricordieux, le très miséricordieux. Ce travail, ainsi accompli, n’aurait point pu arriver à terme, sans l’aide et le soutien et tout le guidage d’ALLAH, louange au tout puissant ; le seigneur de l’univers. En second lieu, nous tenons à remercier nos parents ainsi que toute personne ayant aidé, de près ou de loin à l’achèvement de notre Projet de Fin d’Etudes. Nous remercions particulièrement :  Nos parrains du stage : o M.HOUARI Mohammed; Chef de projet en réseaux et câblage à la société HNP. o M.FATHALLAH Saïd ; Directeur de la société HNP. o M.SHIRAISHI ALEMAN ; Enseignant chercheur à L’Ecole Nationale des Sciences Appliquées de Marrakech. o M.NAIMI HICHAM ; Manager du projet CARRE EDEN.  Tous les agents de la société HNP.  Tout le corps professoral de l’Ecole Nationale des Sciences Appliquées de Marrakech et particulièrement ceux du département Génie Réseau et Telecom.  Tous les élèves ingénieurs de l’Ecole Nationale des Sciences Appliquées de Marrakech. Enfin, nous voudrions remercier tous les membres de nos familles et nos amis de nous avoir toujours soutenus. Merci à toutes et à tous.
  • 3.
    3 Résumé En dépit desaméliorations réalisées au niveau des performances des équipements et des capacités des médias, la conception d’un réseau local est devenue une tâche exigeante. Il est important de garder à l'esprit tous les différents facteurs, parce qu'un réseau local bien conçu peut réduire les difficultés inhérentes à la croissance de son environnement. La première étape dans notre conception du réseau local consiste à définir et à documenter les objectifs de la conception qui sont propres à chaque organisation ou situation. Cette première étape sert à définir une topologie LAN de couche 1 qui consiste à déterminer le type de câble ainsi que la topologie physique et logique à utiliser, et de définir la structure de la couche 2. La deuxième étape consiste à planifier un réseau sans fils WLAN permettant aux utilisateurs une mobilité restreinte en fonction des zones de couverture, il est donc nécessaire de bien déployer notre réseau sans fils de manière a couvrir l’ensemble du site partant des zones d’hébergement aux zones communes. La troisième étape consiste à optimiser et à améliorer les performances du réseau mis en place, nous devons donc choisir parmi les solutions disponibles la solution la plus adéquate au réseau mis en place tout en restant dans le cadre des exigences citées dans le cahier de charges. La quatrième étape consiste à présenter et étudier les politiques de sécurité à mettre en place qui vont permettre la confidentialité l'intégrité des données privées ou sensibles ainsi que l'authentification des données et des utilisateurs, Il est donc indispensable de sécuriser les réseaux LAN et WLAN dès leur installation. Ce document présente un aperçu du processus de conception d'un réseau local. Il traite également des objectifs de conception d'un réseau local, des questions relatives aux méthodologies de conception ainsi que de l'élaboration des topologies de réseaux locaux. Le besoin d’amélioration des performances du réseau local s’exprimera par le besoin de mettre en œuvre les mécanismes de qualité de service pour la gestion des priorités des flux ou la mise en place d’une architecture MPLS. Mots clés : topologie LAN, WLAN, politiques de sécurité, optimiser, réseau local.
  • 4.
    4 ‫ٍيخص‬ ‫ٍَٖت‬ ‫داخيٞت‬ ‫شبنت‬ٌَٞ‫تص‬ ‫اىْقو،أصبح‬ ‫ٗسبئظ‬ ٗ ‫اىَؼذاث‬ ‫فؼبىٞت‬ ٙ٘‫ٍست‬ ٚ‫ػي‬ ‫إدخبىٖب‬ ٌ‫ت‬ ٜ‫اىت‬ ‫اىتحسْٞبث‬ ٍِ ٌ‫اىشغ‬ ٚ‫ػي‬ ‫دقت‬ ‫تغيب‬.ٌٍَِٖ‫اى‬‫اىصؼ٘بت‬ ٍِ ‫تقيو‬ ُ‫أ‬ ِ‫َٝن‬ ٌَٞ‫اىتص‬ ‫دقٞقت‬ ‫داخيٞت‬ ‫شبنت‬ ُ‫أل‬ ‫اىؼ٘اٍو‬ ‫ٍختيف‬ ‫االػتببس‬ ِٞ‫بؼ‬ ‫ّأخز‬ ُ‫أ‬ ‫بٞئتٖب‬ َّ٘ ٜ‫ف‬ ‫اىنبٍْت‬. ٗ‫أ‬ ٌٞ‫تْظ‬ ‫بنو‬ ‫خبصت‬ ‫األٕذاف‬ ٓ‫ٕز‬ ،ٌَٞ‫اىتص‬ ‫إٔذاف‬ ‫ت٘ثٞق‬ ٗ ‫تحذٝذ‬ ٜ‫ف‬ ‫تتجسذ‬ ‫اىذاخيٞت‬ ‫ىيشبنت‬ ‫إػذادّب‬ ٜ‫ف‬ ٚ‫األٗى‬ ‫اىَشحيت‬ ‫ٍْظَت‬. ‫تحذٝذ‬ ٜٕ ‫اىَشحيت‬ ٓ‫ٕز‬ٜ‫ع٘ب٘ى٘ج‬‫اىَْغقٞت‬ ٗ ‫اىَبدٝت‬ ‫اىغب٘ى٘جٞب‬ ِ‫ػ‬ ‫فضال‬ ‫األسالك‬ ‫ّ٘ع‬ ‫تحذٝذ‬ ٗ ٚ‫األٗى‬ ‫ىغبقت‬ ‫ا‬ ٍِ ‫ا‬ ‫استخذاٍٖب‬ ‫ٝجب‬ ٜ‫اىت‬،‫ٗتحذٝذ‬‫بْٞت‬‫اىغبقت‬‫اىثبّٞت‬. ٗ،‫اىتغغٞت‬ ‫ىَْبعق‬ ‫ٗفقب‬ ‫ٍحذٗدة‬ ‫حشمٞت‬ ٍِ ٍِٞ‫اىَستخذ‬ ِ‫تَن‬ ‫سينٞت‬ ‫ال‬ ‫شبنت‬ ‫ى٘ضغ‬ ‫اىتخغٞظ‬ ٜ‫ف‬ ٚ‫تتجي‬ ‫اىثبّٞت‬ ‫اىَشحيت‬ ٗ‫أ‬ ‫اىَشتشمت‬ ‫اىَْبعق‬ ٘‫ّح‬ ‫اإلقبٍت‬ ‫ٍْغقت‬ ٍِ ‫اّغالقب‬ ‫رىل‬ ٗ ٔ‫بأجَي‬ ‫اىَ٘قغ‬ ‫ىتغغٞت‬ ‫اىشبنت‬ ٔ‫ٕبت‬ ‫ّشش‬ ٛ‫اىضشٗس‬ َِ‫ف‬ ‫ىزىل‬ ‫اىجَبػٞت‬. ‫إػذادٕب‬ ٌ‫ت‬ ٜ‫اىت‬ ‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬ ٜ‫ف‬ ‫تتَثو‬ ‫اىثبىثت‬ ‫اىَشحيت‬‫إر‬‫اىحو‬ ‫اىَتبحت‬ ‫اىحي٘ه‬ ِٞ‫ب‬ ‫االختٞبس‬ ‫إرا‬ ‫ػيْٞب‬ ‫ٝجب‬‫األّسب‬ ٓ‫ىٖز‬‫اىشبنت‬‫رىل‬ ٗ‫ٗفقب‬‫اىتحَالث‬ ‫دفتش‬ ٜ‫ف‬ ‫اىَزم٘سة‬ ‫ىيششٗط‬. ‫اىسٞبسبث‬ ‫دساست‬ ٜٕ ُ‫إر‬ ‫اىشابؼت‬ ‫اىَشحيت‬‫األٍْٞت‬‫ٍجَو‬ ‫سشٝت‬ ٚ‫ػي‬ ‫اىحفبػ‬ ٍٜ ِ‫تَن‬ ‫س٘ف‬ ٜ‫اىت‬ ٗ ‫بٖب‬ ‫اىؼَو‬ ‫ٝجب‬ ٜ‫اىت‬ ‫اىبٞبّبث‬ ‫ٍصبدقت‬ ‫مزىل‬ ٗ ‫اىحسبست‬ ٗ‫أ‬ ‫اىخبصت‬ ‫اىبٞبّبث‬.‫إػذادٕب‬ ‫بؼذ‬ ‫اىشبنبث‬ ٍِٞ‫تأ‬ ٛ‫اىضشٗس‬ َِ‫ف‬ ٜ‫ٗببىتبى‬. ‫بَْٖجٞبث‬ ‫اىَتصيت‬ ‫اىقضبٝب‬ ٗ ٌَٞ‫اىتص‬ ‫ٕزا‬ ‫إٔذاف‬ ‫ْٝبقش‬ ‫داخيٞت،مَب‬ ‫شبنت‬ ٌَٞ‫تص‬ ‫مٞفٞت‬ ِ‫ػ‬ ‫ىَحت‬ ‫اىتقشٝش‬ ‫ٕزا‬ ً‫ٝقذ‬ ‫ع٘ب٘ى٘جٞبتٖب‬ ‫مزىل‬ ٗ ‫اىشبنت‬ ٓ‫ٕز‬ ٌَٞ‫تص‬. ٗ‫ا‬ ‫اىتزفقبث‬ ‫أٗى٘ٝبث‬ ‫تفؼٞو‬ ‫اجو‬ ٍِ ‫اىخذٍت‬ ‫ج٘دة‬ ‫آىٞبث‬ ‫إػذاد‬ ‫ضشٗسة‬ ٜ‫ف‬ ‫اىَحيٞت‬ ‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬ ٜ‫ف‬ ‫اىحبجت‬ ٚ‫تتجي‬ ‫بْٞت‬ ‫إّشبء‬MPLS. ‫اىشئٞسٞت‬ ‫اىنيَبث‬:ٜ‫ع٘ب٘ى٘ج‬‫ا‬،‫سينٞت‬ ‫ال‬ ‫شبنت‬،‫اىسٞبسبث‬‫األٍْٞت‬،‫اىشبنت‬ ‫أداء‬ ِٞ‫تحس‬،‫داخيٞت‬ ‫شبنت‬.
  • 5.
    5 Glossaire A ATM AP AES ACD Asynchronous Transfer Mode AccessPoint Advanced Encryption Standard Additionnel contrôleur de domaine B BNC Bayonet Neill–Concelman C CSMA CD CD CPU CCMP CCM CRC Carrier Sense Multiple Access Contrôleur de domaine Collision Detection Central Processing Unit Counter Mode with CBC MAC Protocol Counter with CBC-MAC Code de redondance cyclique D Dos DMZ DHCP Deni of Service Demilitarized Zone Dynamic Host Configuration Protocol
  • 6.
    6 E ETR EAP EAP-TLS Early Token Release ExtensibleAuthentication Protocol EAP - Transport Layer Security F FDDI FTP Fiber Distributed Data Interface Foiled Twisted Pair H HSTR High Speed Token Ring I IP IIS IDP Internet Protocol Internet Information Services Intrusion Detection Prevention L LEAP LAN Lightweight EAP Local Area Network M MAU MRT MIMO MAN Multiple Access Unit Multiplexage à répartition dans le temps Multiple-input and Multiple-output Metropolitan Area Network
  • 7.
    7 N NLOS NIC Non-line-of-sight Network Interface Card O OCBOffset Codebook P POE PDA Power over Ethernet Personal Digital Assistant S SFTP SSTP STP SDH SSID Shielded and foiled twisted pair Shielded and Shielded Twisted Pair Shielded Twisted Pair Synchronous Digital Hierarchy Service Set Identifier T ToIP TKIP TDM TPDDI Text over IP Temporal Key Integrity Protocol Time-division Multiplexing Twisted Pair Distributed Data Interface U UTP Unshielded Twisted Pair
  • 8.
    8 V VLAN VDI Virtual LAN Voice DataImage W WLAN WRAP WPA WEP Wireless Local Area Network Wireless Robust Authenticated Protocol Wireless Protected Access Wired Equivalent Privacy
  • 9.
    9 Liste des figures Figure1 : Schéma d’infrastructure de communication Figure I.4.1 : Emplacement de l’hôtel Carré Eden Figure I.4.2 : Diagramme de la conduite du travail Figure II .2.1.1 : Ethernet version 10Base5 Figure II.2.2.2 : Ethernet version 10Base2 Figure II.2.1.3 : Ethernet version 10BaseT Figure II.2.2.1(a) : Réseau en boucle Figure II.2.2.1(b) : Implémentation d’IBM Figure II.2.3.1 : Evolutions du débit en fonction de la charge Figure II.3.1 : Topologie BUS Figure II.3.2 : Topologie en Anneau Figure II.3.3 : Topologie Etoile Figure II.4.1 : Paire torsadée Figure II.4.1 : Types de paires torsadées Figure II.5.2.2 : Synoptique de câblage des locauxtechniques Figure III.2.2 (a) : couches physiques du 802.11 Figure III.2.2(b) : débits et portées du 802.11 Figure III .3.3.1(a) : Répartition des canauxautour de 5GHz Figure III.3.3.1(b) : Répartition des canauxautour de 2.4GHz Figure III.4.3 : Phénomène de trajets multiples Figure III.5.2 : Maillages à 5GHz Figure III.6.2 (a) : Déploiement de points d’accès en 3D Figure III.6.4(a) : Chargement de nouveau projet Figure III.6.4(b) : Spécification des informations du site Figure III.6.4(c) : Spécification des informations de l’environnement Figure III.6.4(d) : Chargement du plan du site Figure III.6.4(e) : Spécifications des canauxet période de scan Figure III.6.4(f) : Balayage du site Figure III.6.4(g) : Fonctionnement du logiciel Surveyor Figure III.6.5 : Positions des points d’accès Figure III.6.6(a) : Distribution du signal Figure III.6.6(c) : Distribution du rapport signal sur bruit Figure IV.2.2.2 : Réseau segmenté par routeur Figure IV.2.2.3 : Réseau segmenté par commutateur Figure IV.2.3.1(a) : Vlan par port Figure IV.2.3.1(b) : Vlan par adresse MAC Figure IV.3.5.1 : architecture basique et identification des flux Figure IV.3.5.2 : architecture « accès DMZ via le parefeu »
  • 10.
    10 Liste des tableaux TableauI.3(a) : Liste de services Tableau I.3(b) : Caractéristique du matériel de câblage Tableau I.3(c) : Caractéristique du matériel de distribution Tableau II.2.1(a) : Versions d’Ethernet à câble coaxial Tableau II.2.1(b) : Versions d’Ethernet à paire torsadée Tableau II.2.1(c) : Versions d’Ethernet à fibre optique Tableau II.2.3 : Comparaison Ethernet et Token Ring Tableau II.4.2 : Catégories et caractéristiques des câbles Tableau II.4.3(a) : Classes et caractéristiques des câbles Tableau II.4.3(b) : Distances opérationnelles des medias Tableau II.5.1 : Avantages et inconvénients de la topologie étoile Tableau II.5.1.2(b) : performances des fibres optique Tableau II.5.1.2(a) : Type de fibre et distance opérationnelle selon le débit Tableau II.5.2.3 (a) : Caractéristiques des commutateurs Cisco Tableau II.5.2.3 (b) : Caractéristiques des commutateurs HP Tableau II.5.2.3 (c) : Caractéristiques des commutateurs Avaya Tableau II. 5.2.4(a) : Désignation du niveau R-2 et RDC Tableau II. 5.2.4(b) : Désignation du niveau R+2 Tableau II. 5.2.4(c) : Désignation du niveau R+3 Tableau II. 5.2.4(d) : Désignation du niveau R+4 Tableau II. 5.2.4(e) : Désignation du niveau R+5 Tableau II. 5.2.4(h) : Nombre de ports et de commutateurs par local technique Tableau II. 5.2.4(g) : Nombre de ports par zone de niveau Tableau II. 5.2.4(h) : Caractéristiques et utilisation des câbles Tableau II. 5.2.4(i) : Caractéristiques et utilisation des commutateurs Tableau II. 5.2.5(a) : Quantité et coût d’achat des prises et des connecteurs Tableau II. 5.2.5(b) : Quantité et coût d’achat des câbles Tableau II.5.2.5 (c) : Quantité et coût d’achat des commutateurs Tableau II.5.2.5(d) : Evaluations financière Tableau III.2.1.4 : Récapitulatifs des caractéristiques des normes Tableau IV.2.3.1 : type de Vlans
  • 11.
    11 Table des matières Dédicace.......................................................................................................................................1 Remerciements.............................................................................................................................2 Résumé.........................................................................................................................................3 ‫4.............................................................................................................................................ملخص‬ Glossaire.......................................................................................................................................5 Listedes figures.............................................................................................................................9 Liste des tableaux........................................................................................................................10 Table des matières......................................................................................................................11 INTRODUCTION GENERALE..........................................................................................................13 CHAPITRE I : CONTEXTE GENERAL DU PROJET...............................................................................16 1. Introduction.........................................................................................................................17 2. Présentation de la société d’accueil.......................................................................................17 3. Présentation du cahier de charges.........................................................................................21 4. Contexte du projet ...............................................................................................................24 5. Conclusion...........................................................................................................................27 CHAPITRE II : Etude et conception du réseau LAN.........................................................................28 1. Introduction.........................................................................................................................29 2. Topologies logiques de réseau...............................................................................................29 3. Topologies physiques de réseau ...........................................................................................37 4. Types et caractéristique de câbles.........................................................................................40 5. Conception du réseau du Carré Eden.....................................................................................45 6. Conclusion...........................................................................................................................56 CHAPITRE III : Etude et planification du réseau WLAN ..................................................................57 1. Introduction.........................................................................................................................58 2. Standard IEEE 802.11............................................................................................................58 3. Réseau sans fil et perturbation d’environnement...................................................................63 4. Perturbation radio................................................................................................................65 5. Les axes d’amélioration.........................................................................................................66 6. Audit de site et résultats de planification ..............................................................................69 7. Conclusion...........................................................................................................................82 CHAPITRE IV : Optimisation du LAN et études des politiques de sécurité.......................................83 1. Introduction.........................................................................................................................84
  • 12.
    12 2. Optimisation etgestion de trafic...........................................................................................84 3. Solutions de sécurité informatique........................................................................................92 4. Sécurité du réseau sans fil.....................................................................................................99 5. Conclusion :.......................................................................................................................106 Conclusion Générale..................................................................................................................107 BIBLIOGRAPHIE.........................................................................................................................110 ANNEXE A : Normes de câblage .................................................................................................112 ANNEXE B : Bande de fréquences...............................................................................................113 ANNEXE C : Protocole LWAPP....................................................................................................114
  • 13.
    13 INTRODUCTION GENERALE La conceptiond'un réseau peut constituer un défi de taille de performance et de sécurité, en effet, cette tâche dépasse largement le simple branchement d'ordinateurs entre eux. Un réseau doit comporter de nombreuses caractéristiques pour être évolutif, sécurisé et facile à gérer. Pour que le réseau soit fiable et évolutif, nous devons être conscients que chacun de ses composants comporte des exigences particulières en termes de performance et de sécurité. Le réseau doit présenter une capacité d'extension. Cela signifie que la conception initiale doit pouvoir croître sans qu'il soit nécessaire d'apporter des modifications importantes à la conception globale. Le réseau doit être conçu en fonction des technologies futures et ne doit pas comporter d'éléments susceptibles d'entraver la mise en œuvre de nouvelles technologies, à mesure qu'elles deviennent disponibles. La conception d'un réseau doit en favoriser la surveillance et la gestion afin d'assurer la stabilité de gestion de ce réseau. L’objectif du câblage, à terme, est d’offrir à tout occupant d’un établissement un accès aux ressources de communications V.D.I. et cela en tout point du bâtiment. Ce câblage pourra notamment :  supporter simultanément les applications V.D.I. actuelles et futures utilisant une bande passante utile de 0 à 250 MHz minimum,  permettre les réaffectations aisées des postes de travail, les modifications de topologie, les changements d’applications ou de type de réseau, rapidement et sans adjonction de câbles supplémentaires.  Le dimensionnement du câblage est adapté aux besoins initiaux ainsi qu’aux extensions à court et moyen terme. La figure ci-dessous décrit de manière générale l’architecture d’une infrastructure de communication :
  • 14.
    14 Les technologies sans-filse différencient par la nature de leur canal de communication qui n’est plus comparable à un guide d’onde borné limitant les pertes, mais constitué d’un fluide illimité, l’air. Le comportement de ce médium de transmission dépend de la nature et des propriétés de réflexion de l’environnement dans lequel il se trouve. En effet, les ondes radio se propagent dans un environnement ouvert où des phénomènes de réflexion, de réfraction, de diffraction et d’interférences surviennent localement. Ce comportement aléatoire limite les performances des technologies de transmission sans-fil en termes de portée de communication et de qualité de transmission. On pourrait essayer de modéliser quelle serait la couverture radio d’un site en fonction du plan des locaux, de la nature des murs, et ainsi de suite, afin de savoir où positionner un AP, mais la complexité des calculs est telle qu’il est préférable de simplement faire un test en conditions réelles à l’aide d’outils de mesure. On peut ainsi connaître précisément la puissance du signal qui parvient à atteindre le récepteur et l’on peut également voir si le RSB est suffisant pour établir une connexion satisfaisante. Il existe toutefois des logiciels de modélisation qui simulent le rayonnement électromagnétique dans un modèle de la zone étudiée en deux ou trois dimensions. Figure 1 : Schéma d’infrastructure de communication [1]
  • 15.
    15 On peut aussivisualiser la couverture radio de plusieurs façons différentes : d’abord en se focalisant uniquement sur le niveau de réception en chaque point pour visualiser les zones d’ombres, la quantité de débordement vers l’extérieur du bâtiment, ou encore les zones où la réception est insuffisante pour atteindre le débit minimal souhaité. Une autre vue permet de distinguer la zone de couverture de chaque AP, afin de mieux voir les zones de recouvrement et d’interférences entre AP utilisant le même canal. À l'heure du "tout disponible partout tout de suite", le transport des données en dehors du domicile d'un particulier ou d'une entreprise est une réalité qui mérite que l'on s'interroge sur la sécurité des transmissions pour ne pas compromettre un système d'information. Que ce soit à l'échelle d'une entreprise, d'une multinationale ou à plus petite échelle, la sécurité d'un système d'information prend plus ou moins d'importance selon la valeur que l'on confère à ces données. Avec le développement d'Internet, chacun a accès au réseau où de plus en plus d'informations circulent. De plus en plus, les entreprises communiquent et diffusent via ce media, que ce soit dans leurs liens avec leurs fournisseurs ou leurs partenaires ou en interne, dans les relations entre les employés eux-mêmes. Ainsi pour vous présenter notre travail effectué, nous avons donc suivi les étapes suivantes : Le premier chapitre présente la société d’accueil ainsi que le contexte général et les différents objectifs du projet. Le second chapitre quant à lui, est dédié a la conception du réseau local du Carré Eden. Le troisième chapitre concerne la mise en place d’un réseau local sans fil et le déploiement des points d’accès au niveau de l’hôtel Carré Eden. La mise en place d’une solution de sécurité pour le réseau local et le réseau local sans fil ainsi que l’optimisation et l’amélioration des ses performance feront donc l’objet de la dernière partie de notre rapport.
  • 16.
    16 CHAPITRE I :CONTEXTE GENERAL DU PROJET
  • 17.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 17 1. Introduction La conception d’un réseau local pour un hôtel devra permettre à toute personne dans l’hôtel d’avoir accès à un ensemble de services comme la voix sur IP la vidéosurveillance et d’autres tel qu’ils sont mentionnés dans la cahier de charges . Nous allons voir durant ce premier chapitre quel est le cadre général d’un tel projet à partir du quel on développera le contexte général du projet, de son positionnement technologique et de sa conduite technique. 2. Présentation de la société d’accueil 2.1. Historique HNP est un intégrateur global d'infrastructures et systèmes et apporte une gamme complète de solutions et de services à haute valeur ajoutée. HNP a été fondée sous la dénomination "Hospitality Network Professional" par un groupe d'ingénieurs spécialisés dans le domaine des technologies de l'information pour répondre aux besoins les plus complexes du segment hôtelier. Grâce à son engagement, son savoir faire, son esprit d’innovation et de veille technologique HNP a été d'un apport considérable en matière de développement des technologies avancées pour l’hôtellerie. L’engagement, l'investissement pour le développement de compétences reconnues ainsi que le retour sur expérience de réalisation de grande envergure, font d'HNP un partenaire distinctif et apprécié par une clientèle de plus en plus exigeante et souhaitant un accompagnement, alliant les capacités de conception, de mise en œuvre et de maintien de solutions pérennes. Le partenariat privilégie avec HNP est d’autant plus apprécié lorsque les enjeux pour les clients sont importants et conditionnent l’avenir de leur business. 2.2. Moyens Pour tenir ses engagements, HNP se base sur les moyens suivants : ● Des ingénieurs spécialisés dans le design, l’intégration et le maintien des solutions globales. Ses ressources humaines certifiées sont dotées de compétences techniques éprouvées. ● De fortes relations de partenariat avec des constructeurs et équipementiers reconnus sur le plan international. ● Un service de HotLine/Helpdesk pour l’assistance et le support technique.
  • 18.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 18 ● Un accès privilégié au support des constructeurs. ● Des outils performants d’intégration et de diagnostique (matériel, logiciel, Tests & Mesures, Outillage,…). HNP est équipée avec tous les outils de test, de tirage, d’installation électrique, de la fibre, du câblage informatique, outils de validation des performances systèmes, outil de validation et d’audit de la sécurité (avec tests de pénétration) ● Une présence de proximité (présence régionale à Marrakech avec des effectifs techniques, chef de projet, ingénieurs d’affaire,…). Nous tenons à préciser que les locaux d’HNP se situent à proximité du site Carré Eden, ce qui conférera une haute réactivité et proximité durant toutes les phases du projet. ● Une logistique de déploiement et de maintenance éprouvée pour intervenir sur les différents sites avec une couverture large et dense dans le territoire. Les collaborateurs d’HNP incarnent la culture et le savoir faire de la société. Le succès de notre entreprise repose sur leurs prestations et capacité à délivrer. Nous nous efforçons ainsi de : ●Développer leur potentiel à travers des formations et de l’accompagnement ● Inciter les collaborateurs à concilier entre des dimensions de performances multiples à savoir : Compétence, Innovation, adaptation au changement, orientation client, haute Qualité… ● Créer un environnement dans lequel le savoir et les expériences sont partagés. HNP compte un effectif de personnes distribuées selon les catégories suivantes :  Directeurs Senior de Projets et Programmes  Agents Back Office et Assurance Qualité  Ingénieurs d’affaire  Ingénieurs avant-vente  Ingénieurs Chef de projet  Ingénieurs Réseaux et Systèmes  Chefs de chantier et Pilote de livraison  Techniciens Spécialisés.  Techniciens de câblage. 2.3. Produits et Solutions
  • 19.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 19 HNP compte dans son portefeuille un certain nombre de produits et solutions qui se veulent globales, "clés en mains" et couvrant tous les domaines des courants faibles dont nous pouvons citer à titre d’exemple les catégories suivantes : ● Infrastructures RESEAUX ● Systèmes de Téléphonie ● Systèmes AV et Télédistribution ● Systèmes de SECURITE ● Systèmes GTB et Domotique Notre expérience dans ces domaines est pour nos clients une garantie de réussite de leurs projets, de pérennité des solutions mises en place, et d'un retour sur investissement certain. Notre intervention pour l’implémentation d’une solution globale peut couvrir une ou plusieurs activités dont les principales sont :  Etude préalable de l’existant et des besoins,  Spécification détaillée des besoins fonctionnels et techniques,  Conception des Architectures et solutions Gestion de la communication,  Mesure et suivi de la fiabilité et la gestion des risques,  Choix des protocoles, des standards, des techniques et des composants,  Choix des caractéristiques des logiciels et des mises à jour,  Rollout et déploiement selon les échéanciers du plan projet Ingénierie,  Planification des temps de réalisation et ordonnancement des priorités,  Formation et transfert de compétences,  Assistance au démarrage et lancement des activités Stabilisation, HNP intervient aussi bien pendant la conception et la réalisation mais également pendant les phases d'exploitation et de production. 2.3.1. Infrastructures Réseaux L’activité de cette entité est centrée sur le conseil, l'ingénierie, la conception, le déploiement et l’exploitation des réseaux et comprend l’intégration de solutions et d’applications permettant la convergence voix, données, Internet, IPTV, vidéosurveillance,… Les infrastructures réseaux mise en œuvre par HNP comprennent les réseaux convergents, les réseaux locaux « LAN », les réseaux sans fils « WLAN », les réseaux optiques de nouvelle génération. Au-delà de la distribution des services Internet, les infrastructures réseaux constituent une dorsale pour l’acheminement et le transport de toute typologie de
  • 20.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 20 flux en tenant compte des spécificités de chaque application (voix sur IP, IPTV, VOD, HSIA, Réseau Guest, Vidéo surveillance, …) HNP compte des déploiements issus de différents constructeurs leaders (Cisco, HP Procurve, Planet, 3com,…). Les ingénieurs d’HNP ont une maitrise totale et reconnue de ses infrastructures. 2.3.2. Systèmes Téléphoniques HNP intervient dans les systèmes de téléphonie sous leur différent concept technologique (analogique, numérique, téléphonie sur IP). Les réalisations pilotées par HNP dans les systèmes de téléphonie débordent également sur des fonctions avancées et spécifiques au segment hôtelier tel que l’intégration avec les PMS, Messagerie vocale, ACD,… HNP compte des déploiements de systèmes téléphoniques issus de différents constructeurs qui sont référencés dans le chapitre partenaire. 2.3.3. Systèmes AV et Télédistribution HNP repose dans ses déploiements des systèmes de sonorisation et audiovisuel sur une vaste gamme de produits de sonorisation répondant aux applications les plus variées dans plusieurs secteurs d'activité : ● Sites touristiques ● Hôtels ● Stades de sport ● Gares ● Shopping centres ● Mall Que ce soit la télédistribution sur des réseaux classiques ou sur des réseaux IP, HNP a une totale maitrise des technologies liées à la TV et à la diffusion des contenus de type temps réel dans des environnements hôtelier nécessitant des personnalisations adaptées. HNP a recours à des technologies éprouvées et issues de partenaires de renommées et qui sont référencées dans le chapitre partenaire. HNP compte également dans la gamme de produits Vidéo, une offre d’affichage dynamique (Digital signage) à coût très compétitif. 2.3.4. Systèmes de sécurité HNP dispose d’un patchwork de produits servant le portefeuille des systèmes de sécurité et le scope de ce dernier inclut : ● Systèmes de contrôle d’accès
  • 21.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 21 ● Système Anti intrusion ● Système de vidéosurveillance ● Système de sécurité incendie Les ingénieurs d’HNP ont intégrés avec succès des implémentations faisant inter opérer ses différents systèmes (Intégration CCTV Contrôle d’accès). HNP a procédé aussi à des aménagements clés en main de salle de contrôle incluant les différentes briques de sécurité. 2.3.5. Systèmes GTB et Domotique HNP compte aussi dans son portefeuille de produits, des systèmes de gestion des équipements techniques du bâtiment (plus communément référencés par la GTB, GTC, Domotique) tels que chauffage, climatisation, ventilation, électricité, mais également tous les équipements tels que les ascenseurs, les alarmes, …. Ses automates, et autres concentrateurs numériques embarquent des fonctions tels que régulations de températures, gestions des périodes d’inoccupation, renvois d’alarmes où de scénarios prévus, … La supervision des dispositifs s’effectue de manière centralisée au niveau d’un poste de contrôle ou à distance. 3. Présentation du cahier de charges L’objet du cahier de charges consiste à définir et à décrire l’ensemble des dispositions concernant les installations de pré-câblage nécessaires à la construction d’un hôtel. Le présent cahier de charges décrit un pré-câblage en topologie étoile avec comme prise murale, une prise RJ45 et comme raccordement au local de répartition ou de sous répartition des Armoires Voix-Donnée-Image (VDI) et Coffrets Voix-Donnée-Image (VDI) munis de panneaux 19’’ avec des identifiants pour faciliter le repérage. Le câblage proposé doit prendre en compte:  un brassage banalisé  l'arrivée des postes de travail intégrant de plus en plus les fonctions VDI.  l'accroissement du nombre de stations et de micro-ordinateurs  la mise à disposition de prises informatiques (avec accès Internet) dans les chambres  l'équipement informatique et téléphonique des bureaux  la Télédistribution et la vidéosurveillance sur IP  l'équipement informatique, téléphonique et terminal de paiement électronique des points de vente  la numérisation et l'augmentation des débits  la diversité des offres réseaux
  • 22.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 22  l'hétérogénéité des matériaux.  Le câblage doit notamment supporter un ensemble de services qui sont représentés dans le tableau ci-dessous : Services Description Les services TELECOM  Téléphonie analogique ou numérique directe,  NUMERIS accès de base S0 et accès primaire S2,  Liaisons spécialisées analogiques et numériques. Les services de télécommunication derrière PABX  ADSLx,  Téléphonie IP,  Transmission de données,  Couverture DECT dans tout l'hôtel (espaces communs et hébergement). Les services informatiques  Couverture WIFI dans tout l'hôtel (espaces communs et hébergement), Les services de la vidéocommunication sur paires torsadées  Distribution d'images animées (Télévision, Système Interactif, signalétique dynamique…),  Vidéosurveillance. Le cahier de charges détaillé concernant la conception du réseau du Carré Eden (matériels d’interconnexion) qui nous a été livré par le bureau d’étude OGER INTERNATIONAL est représenté par le tableau suivant : Tableau I.3 (a) : Liste de services
  • 23.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 23 Titre Description Cahierdecharges Lot : Câblage CABLE FIBRE OPTIQUE  Type multi-mode à gradient d’indice,  Atténuation pour 850/1300nm < 3,75/1,5 dB / km,  Nombre de brins : 12 brins /24 brins pour les baies d’étage,  Dimension des fibres : 50/125μm,  Compatible avec la norme ANSI- FDDI et protocole ATM,  Brins équipés de connecteurs LC- LC, CABLE MULTI- PAIRES 25 PAIRES  100 Ohms, 100 MHz, AWG 24  25 paires sous écran général global  Drain de continuité  Gaine extérieure bleue zéro halogène conforme à la norme IEC 60754-2 et à faible émission de fumée IEC 61034. CABLE 4 PAIRES TORSADEES F/UTP CATEGORIE 6a  Câbles 4 Paires torsadées F/UTP catégorie 6a,  100Ohms, 300MHz , AWG 24,  Compatibles avec la norme PoE qui permet de télé-alimenter des équipements (Téléphone IP, Bornes WIFI, Camera IP,..,etc). Tableau I.3(b) : Caractéristique du matériel de câblage
  • 24.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 24 Titre Description Cahierdecharges Lot : Switch Distribution SWITCH DE DISTRIBUTION POE 48/24 PORTS  48/24 ports Ethernet 10/100BASE- TX pour stations de travail,  2 ports 1000BASE-T permettant des connexions fibre optique,  Administrable de niveau 2  supportant la norme IEEE 802.3af : Conforme au standard IEEE 802.3af Supporte les équipements « Power over Ethernet » ou les équipements standards  Administration Dynamique de l’alimentation Consommation configurable par port Monitoring de la consommation  Interface de management Web simplifiée pour la téléphonie IP et les configurations des équipements alimentés  Files d'attente hiérarchisées 802.1p, qualité de service par port  VLAN 802.1Q pour améliorer la sécurité et les performances du réseau avec gestion de QoS 4. Contexte du projet 4.1. Présentation du Carré Eden Tableau I.3(c) : Caractéristique du matériel de distribution
  • 25.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 25 Carré Eden est un hôtel de 200 Chambres faisant partie d’un centre multifonctionnel. L’hébergement occupe les étages R+3 à R+5, alors que les parties communes occupent le R+2 et des parties du RDC et 2ème Sous sol. Notre travail consiste à concevoir optimiser et sécuriser le réseau Lan et WLan de l’hôtel du Carré Eden. Le travail réalisé comporte ainsi trois partie, la première partie concernant la conception du réseau Lan, dans laquelle on décrit les différentes étapes nécessaire à la conception du réseau Lan, la deuxième partie concerne le déploiement d’un réseau Wlan et finalement la troisième partie concerne l’optimisation et la présentation des politiques de sécurité Le travail réalisé est schématisé ci-dessous : Conception optimisation et sécurisation du réseau Lan et Wlan Conception du réseau Lan Planifcation du réseau WLan Optimisation et amélioration des performances Etude des politiques de sécurité du réseau Lan et WLan Conception Optimisation Sécurisation Figure I.4.1 : Emplacement de l’hôtel Carré Eden [2]
  • 26.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 26 4.2 Conduite du projet PHASE A : Pré-étude  ETAPE 1 : Analyse du cadre général projet (7 jours)  ETAPE 2 : Planification et préparation (5 jours) PHASE B : étude  ETAPE 1 : Etude du cahier de charge et conception du réseau Lan (30 jours) o Etude de l’environnement technologique o Etude et choix des technologies o Conception du réseau Lan  ETAPE 2 : Etude et planification du réseau WLan (30 jours) o Etude de contraintes de planification o Etude du logiciel d’audite de site Airmagnet. o 1èr e application d’essai o Etudes des résultats de la 1èr e application  ETAPE 3 : Etude de la solution d’optimisation et de sécurisation (20 jours) o Récolte d’informations et diagnostique des besoins de sécurité o Présentation des politiques de sécurité o Présentation de la méthode d’optimisation o Etudes de la nouvelle configuration des systèmes Notons que :
  • 27.
    CHAPITRE I :CONTEXTE GENERAL DU PROJET 27  les jours comptés sont des jours calendaires (samedi et dimanche inclus), et cela de la date du 1/03/2013 au 31/05/2013.  Les jours d’exercices pratiques auxiliaires : de visites de chantier ou de travaux de chantier, sont comptés inclus aux différentes phases. Cette planification peut être détaillée par un diagramme de Gantt : 5. Conclusion Nous connaissons maintenant le contexte général du projet, de son cadre technologique, et de son lieu d’application. L’analyse du cahier de charges nous a permis donc de dégager les informations nécessaires à la conception et à l’étude de notre projet. Nous connaissons aussi la conduite du projet qui a mené à la rédaction de ce document. Dans le chapitre suivant nous exploiterons toutes ses informations pour concevoir et dimensionner le réseau Lan du Carré Eden. Figure I.4.2 : Diagramme de la conduite du travail
  • 28.
    28 CHAPITRE II :Etude et conception du réseau LAN
  • 29.
    CHAPITRE II :Etude et conception du réseau LAN 29 1. Introduction La conception du réseau que nous avons choisi de mettre en œuvre devrait convenir aux problèmes de communication que nous essaierons de résoudre et aux exigences du client citées précédemment dans le cahier de charges. Pour cela nous devons commencer par choisir une topologie logique et physique présentes actuellement, puis nous allons choisir le type de câbles que nous utiliserons pour le câblage, selon les politiques de conception, et finalement nous allons calculer le nombre de ports nécessaire pour le câblage du réseau Carré Eden. 2. Topologies logiques de réseau 2.1. LAN Ethernet Le principe du réseau Ethernet fut apparu à la fin des années 70 aux Etats- Unis. Ethernet demeure le réseau le plus répandu dans le monde des réseaux locaux, il est né des expériences complémentaires de DEC, Intel et Xerox, bien avant les avancées de la normalisation, ce qui signifie que l'essentiel des protocoles des couches supérieures n'est pas spécifié. Dans les réseaux Ethernet la méthode utilisée est la contention, c’est-à-dire que toute machine peut prendre la parole quand il le souhaite, pour cela il faut une règle pour gérer les émissions dans le réseau, la principale méthode de contention en réseaux locaux est le CSMA/CD avec détection de collision. Cette méthode consiste pour une station donnée, au moment de l’émission à écouter si une autre station n'est pas aussi en train d'émettre. Si c'est le cas, la station cesse d'émettre et réémet son message au bout d'un délai fixe. Cette méthode est aléatoire, en le sens qu'on ne peut prévoir le temps nécessaire à un message pour être émis, transmis et reçu. 2.1.1. Ethernet, IEEE 803.3 10 Base 5 La version 10Base5 est la version d’origine d’Ethernet elle offre un débit de 10Mb/s sur câble coaxial d’une distance maximale de 500m par segment, cette version est représentée dans la figure ci-dessous :
  • 30.
    CHAPITRE II :Etude et conception du réseau LAN 30 Chaque station est équipée d’une carte Ethernet (NIC) dite carte transporteur qui assure l’adaptation physique et la gestion de l’algorithme CSMA/CD. Le câble de liaison est constitué de paires torsadées et peut avoir une longueur maximale de 50 mètres. Le câble coaxial est un câble épais de couleur jaune (Ethernet jaune) d'un demi-pouce de diamètre. La longueur totale du réseau peut atteindre 2,5 kilomètres. Cette version d'Ethernet n'est pratiquement plus utilisée que dans les environnements compromis (rayonnement électromagnétique) ou lorsque l'on veut garantir la confidentialité des échanges (pas de rayonnement du câble coaxial). 2.1.2. Ethernet, IEEE 802.3 10 Base 2 La version 10Base2 est la version économique d’Ethernet basé sur un câble coaxial fin, cette architecture est recommandée dans le cas d’un réseau local d’une dizaine de machines. Ce type de réseau Ethernet est représenté ci-dessous : 2.1.3. Ethernet, IEEE 802.3 10 Base T Figure II .2.1.1 : Ethernet version 10Base5 Figure II.2.2.2 : Ethernet version 10Base2
  • 31.
    CHAPITRE II :Etude et conception du réseau LAN 31 Compte-tenu des problèmes de câblage, AT&T a imaginé de réutiliser le câblage téléphonique préexistant dans les immeubles de bureaux pour la réalisation de réseau. Cela imposait deux contraintes : l'une de débit, l'autre de distance. Le réseau ainsi réalisé fonctionnait à 1Mbps, les stations étaient connectées sur des concentrateurs répéteurs (hub) et la distance entre le hub et une station était limitée à 250 mètres. Cette architecture est (802.3 1 base 5 ou Starlan) complètement obsolète aujourd'hui a évolué vers une version 10MBps (802.3 10 base T). La figure suivante présente le réseau 10 base T : Tableaux récapitulatifs des versions d'Ethernet Signe Dénomination Câble Connecteur Débit Portée 10Base2 Ethernet mince Câble coaxial (50 Ohms) de faible diamètre BNC 10Mb/s 185m 10Base5 Ethernet épais Câble coaxial de gros diamètre BNC 10Mb/s 500m Figure II.2.1.3: Ethernet version 10BaseT Tableau II.2.1(a) : Versions d’Ethernet à câble coaxial [3]
  • 32.
    CHAPITRE II :Etude et conception du réseau LAN 32 Signe Dénomination Câble Connecteur Débit Portée 10Base5 Ethernet standard Paire torsadée RJ-45 100Mb/s 100m 10Base-T Ethernet rapide Double paire torsadée RJ-45 100Mb/s 100m 100Base-TX Ethernet rapide paire torsadée RJ-45 100Mb/s 100m 100Base-FX Ethernet gigabit Double paire torsadée RJ-45 1000Mb/s 100m 1000Base-CX Ethernet gigabit paire torsadée (STP)RJ-45 451000Mb/s 25m 10GBase-T Ethernet 10 gigabit Double paire torsadée RJ-45 1000Mb/s 100 m 1000Base-T Ethernet gigabit Double paire torsadée RJ-45 1000Mb/s 100m 10GBase-T Ethernet 10 gigabit Double paire torsadée RJ-45 10Gb/s 100 m Signe Dénomination Câble Connecteur Débit Portée 100Base-FX Ethernet rapide Fibre optique multi-mode type (62,5/125) ST 1000Mb/s 2Km 1000Base-LX Ethernet gigabit Fibre optique multi- mode/monomode SC 1000Mb/s 550/10000m 1000Base-SX Ethernet gigabit Fibre optique multi-mode SC 1000Mb/s 550m 10GBase-SR Ethernet 10gigabit Fibre optique multi-mode LC duplex 10Gb/s 500m 10GBase-LX Ethernet 10gigabit Fibre optique multi-mode LC duplex 10Gb/s 500 1000Base-LH Ethernet gigabit Fibre optique monomode LC 1000Mb/s 10 à 70Km 1000Base-ZX Ethernet gigabit Fibre optique monomode LC 1000Mb/s 50 à 80Km 10GBase-LR Ethernet 10gigabit Fibre optique monomode LC duplex 10Gb/s 10Km 10GBase-ER Ethernet 10gigabit Fibre optique monomode LC duplex 10Gb/s 40Km 10GBase-SW Ethernet 10gigabit Fibre optique multi-mode LC 10Gb/s 300m 10GBase-LW Ethernet 10gigabit Fibre optique monomode SC duplex 10Gb/s 10Km 10GBase-EW Ethernet 10gigabit Fibre optique monomode LC 10Gb/s 40Km Tableau II.2.1(b) : Versions d’Ethernet à paire torsadée [3] Tableau II.2.1(c) : Versions d’Ethernet à fibre optique [3]
  • 33.
    CHAPITRE II :Etude et conception du réseau LAN 33 2.2. Le Token Ring La méthode du jeton consiste a ce que chaque machine doit attendre son rôle pour émettre par le passage d’une configuration particulière de bit dit jeton .Cette méthode est dite déterministe dans le sens ou on peut estimer le temps maximal pour qu’un message puisse attendre sa destination. 2.2.1. Description générale du Token Ring La norme IEEE 802.5 spécifie un réseau local en boucle : c’est-à-dire que chaque station est reliée à sa suivante et à sa précédente par un support unidirectionnel comme le montre la figure suivante : Cette norme fut publiée en 1985 et implémentée en 1986 par IBM le principal acteur du monde du Token Ring. L'implémentation d'IBM diffère quelque peu de la norme d'origine. Notamment, la topologie physique a évolué vers une étoile pour gérer la rupture de l'anneau. Les stations sont reliées à des concentrateurs (MAU Multiple Access Unit). La figure suivante représente ce type de réseau. Figure II.2.2.1(a) : Réseau en boucle Figure II.2.2.1(b) : Implémentation d’IBM
  • 34.
    CHAPITRE II :Etude et conception du réseau LAN 34 Les spécifications du Token Ring sont contraignantes au niveau de l'installation. Les possibilités de connexion, distance et nombre de postes, dépendent du type de câble utilisé. Avec du câble 1 ou 2 (dans la terminologie IBM, paires torsadées blindées d'impédance 150 Ohms) la longueur maximale de l'anneau principal est de 366 mètres, l'anneau principal peut comporter jusqu'à 260 stations, la distance maximale station/MAU est de 101 mètres. 2.2.2. Principe général du Token Ring Le droit d'émettre est matérialisé par une trame particulière " le jeton ou Token ". Celui-ci circule en permanence sur le réseau. Une station qui reçoit le jeton peut émettre une ou plusieurs trames (station maître). Si elle n'a rien à émettre, elle se contente de répéter le jeton (station répéteur). Dans un tel système, les informations (trames) transitent par toutes les stations actives. Chaque station du réseau répète ainsi le jeton ou le message émis par la station maître, il n'y a pas de mémorisation du message, un bit reçu est immédiatement retransmit. Le temps alloué à une station pour la répétition d'un bit correspond à un temps bit (possibilité de modifier bit à bit le message). Chaque station provoque ainsi un temps bit de retard dans la diffusion du message. 2.3. Comparaison entre Ethernet et Token Ring Lorsque l'on compare deux types de réseau, les critères à retenir sont principalement :  Les performances en termes de débit et temps d'accès.  Les types de transferts et applications informatiques envisageables.  L'infrastructure requise et les distances maximales admissibles. 2.3.1. En termes de débit et temps d'accès Lorsqu'il parle du débit un réseau il y a donc deux critères à retenir :  Le débit nominal (débit physique) : effectivement lié au choix du réseau.  Le débit vu des applications : dépend de la charge du réseau et des protocoles empilés.
  • 35.
    CHAPITRE II :Etude et conception du réseau LAN 35 La figure ci-dessus superpose l'évolution des débits en fonction de la charge de chaque réseau. On constate donc que les réseaux de type Ethernet représentent une meilleure efficacité vis-à-vis des couches supérieures ceci a faible débit. En effet, en Ethernet, si le trafic est faible, dès qu'une station veut émettre, elle émet, par contre en Token Ring même en cas de faible une station ne peut pas émettre que lorsqu’il possède le jeton. Dans le cas de forte charge le réseau Ethernet soufre de fortes collisions et d’effondrement de débit par contre le Token Ring le débit utile du support atteint le débit nominal. 2.3.2. En termes d'application Les deux types de réseaux sont utilisés pour des applications de type conversationnel. Le Token Ring, pouvant garantir une bande minimale, pourra être utilisé pour des transferts sous contrainte temporelle moyennement sévère (transfert synchrone). Mais en principe, aucun des deux ne satisfait au transfert isochrone. En pratique, des essais ont montré qu'il était possible, sous faible charge, de réaliser de tels transferts, à condition d'admettre des pertes d'informations pour assurer une compensation temporelle. 2.3.3. En termes d'infrastructure Pour une implémentation sur le 10BaseT la topologie physique du câblage, ainsi que les distances couvertes sont similaire pour les deux réseaux, ils permettent donc de couvrir de vastes immeubles par l’utilisation des techniques de réseaux fédérateurs. Tableau récapitulatif de la comparaison des deux types réseaux : Figure II.2.3.1 : Evolutions du débit en fonction de la charge [4]
  • 36.
    CHAPITRE II :Etude et conception du réseau LAN 36 Ethernet Token Ring débit et temps d'accès Sensible à la charge du réseau même si le débit moyen de chaque station diminue, le débit utile sur le support atteint le débit nominal application transfert isochrone conditionnée transfert synchrone infrastructure topologie physique de câblage et distance couverte sont similaires pour les deux types de réseaux 2.4. FDDI (Fiber Distributed Data Interface) 2.4.1. Présentation de FDDI FDDI est un réseau en double anneau sécurisé l’un pour le transfert de données et l’autre pour la redondance physique de l’anneau principale utilisant la fibre optique multimode offrant un débit nominal de 100Mb/s et une distance de couverture maximale de 100Km, il supporte jusqu’à 1000 stations d’une distance maximale de 2Km l’une de l’autre. Il existe une version de FDDI sur paire torsadée TPDDI offrant un débit de 100Mb/s sur 100m. FDDI ne permet ni le transport de la voix ni celui de la vidéo, il pourra être utilisé comme réseau métropolitain puisqu'il peut supporter jusqu'à 500 stations à une distance dépassant les 150 kilomètres La méthode d'accès est similaire à celle du réseau IEEE 802.5 version 16 Mb/s (ETR, Early Token Release). Pour accéder au support, une station doit posséder le jeton. Elle émet ses données et génère un nouveau jeton. Chaque station retire de l'anneau les données qu'elle y a déposées. Plusieurs trames de données issues de stations différentes peuvent circuler sur l'anneau, mais il n'y a qu'un seul jeton. 2.5. ATM (Asynchrones Transfer Mode) Asynchrones Transfer Mode ou ATM est un protocole réseau de niveau 2 à commutation de cellules, qui a pour objectif de multiplexer différents flots de données sur un même lien utilisant une technique de type TDM ou MRT (multiplexage à répartition dans le temps). Tableau II.2.3 : Comparaison Ethernet et Token Ring
  • 37.
    CHAPITRE II :Etude et conception du réseau LAN 37 ATM a été conçu principalement pour fournir un standard réseau unifié qui pourrait supporter un trafic réseau synchrone (SDH), aussi bien qu'un trafic utilisant des paquets (IP, relais de trames, etc.) tout en supportant plusieurs niveaux de qualité de service. ATM est un protocole asynchrone, qui s'appuie fréquemment sur une couche de transport synchrone. C'est-à-dire que les cellules ATM sont envoyées de manière asynchrone, en fonction des données à transmettre, mais sont insérées dans le flux de données synchrones d'un protocole. La commutation de cellules Les cellules ATM sont des segments de données de taille fixe de 53 octets dont 48 octets sont réservés pour la charge utile et 5 octets pour en-tête),la commutation des cellules allie la simplicité de la commutation de circuits et la flexibilité de la commutation de paquets. Un circuit virtuel est établi soit par configuration des équipements, soit par signalisation, et l'ensemble des cellules seront commutées sur ce même circuit virtuel par commutation de labels. En particulier, le chemin utilisé dans le réseau ne varie pas au cours du temps puisqu'il est déterminé lors de l'établissement du circuit virtuel. Les labels permettant la commutation des cellules sont portés dans l'en-tête de chaque cellule. ATM est donc une technologie assez complexe, dont les fonctionnalités s'appliquent aussi bien aux réseaux globaux des sociétés de télécommunications qu'aux LAN plus réduits. [5] 3. Topologies physiques de réseau 3.1. TOPOLOGIE EN BUS La topologie en BUS est une topologie physique de réseau dans laquelle tous les nœuds du réseau sont liées les uns aux autres, a l’extrémité du BUS est placé un bouchon de terminaison signifiant que le réseau se termine comme sur la figure ci-dessous :
  • 38.
    CHAPITRE II :Etude et conception du réseau LAN 38 Dans une topologie en BUS une seule station émet sur le bus. Lorsque que celle-ci émet, la trame parcourt tout le bus jusqu'à ce qu'elle arrive au destinataire. La topologie BUS s’avère simple et pratique à réaliser mais le problème qui se pose avec cette topologie est que si l'un des nœuds est déconnecté "temporairement" du réseau, c’est le réseau entier qui tombe.[6] Les câbles utilisés sont généralement de type COAXIAL. On retrouve la topologie en BUS sur des réseaux Ethernet 10 base 2, Ethernet 10 base 5, CATV. 3.2 TOPOLOGIE EN ANNEAU - "TOKEN-RING" Dans la topologie en ANNEAU seul le nœud possédant le jeton a le droit d’emmètre, le jeton va donc gérer l’émission sur le support pour éviter les problèmes de collision. En FDDI, comme on a vu dans la partie précédente il y a une deuxième boucle de secours au cas où la première boucle est temporairement indisponible. Les nœuds sont donc disposés sous forme d’un anneau comme le montre la figure ci-dessous : Figure II.3.1 : Topologie BUS
  • 39.
    CHAPITRE II :Etude et conception du réseau LAN 39 Il y a principalement deux technologies utilisant ce système. Le Token Ring d'IBM, son évolution le HSTR (High Speed Token Ring) et le FDDI (Fiber Distributed Data Interface). 3.3 TOPOLOGIE EN ETOILE La topologie en ETOILE se repose sur un équipement central, concentrateur ou hub, qui va diriger toutes les connexions comme le montre la figure ci-dessous : Si le concentrateur tombe en panne, le réseau est indisponible. Par contre on peut retirer ou ajouter une station sans que le réseau entier ne tombe, son inconvénient est que cela demande plus de câbles physiques. Figure II.3.3 : Topologie Etoile Figure II.3.2 : Topologie en Anneau
  • 40.
    CHAPITRE II :Etude et conception du réseau LAN 40 On retrouve cette topologie sur les réseaux StarLan, ArcNet, Ethernet, Fast- Ethernet, Gigabit-Ethernet. Voici quelques avantages du câblage en étoile :  Chaque liaison est indépendante des autres  Extension du système par l’addition de liaisons vers l’extérieur  Permet une mise en œuvre progressive du système  Gestion centralisée  Les changements futurs ne nécessitent pas de modification dans le pré câblage  Permet de manière rapide et économique toutes les modifications de configuration On essaiera de mettre le point sur les avantages et les inconvénients de cette topologie plus tard dans la conception du réseau du Carré Eden [6]. 4. Types et caractéristique de câbles 4.1 Paires torsadés Une paire torsadée est une ligne de transmission formée de deux fils conducteurs enroulés en hélice l’un autour de l’autre comme sur la figure ci- dessous. Cette configuration a pour but de maintenir précisément la distance entre les fils et de diminuer la diaphonie. La distance maintenue entre les fils de la paire définit son impédance caractéristique. Les contraintes géométriques (épaisseur de l’isolant/diamètre du fil) maintiennent cette impédance autour de 100 ohms voici donc l’impédance caractéristique des paires en fonction de son utilisation :  100 ohms pour les réseaux Ethernet en étoile ;  150 ou bien 105 ohms pour les réseaux Token Ring ;  100 ou bien 120 ohms pour les réseaux de téléphonie ; Figure II.4.1 : Paire torsadée [7]
  • 41.
    CHAPITRE II :Etude et conception du réseau LAN 41  90 ohms pour les câbles USB. NB : Plus le nombre de torsades est important, plus la diaphonie est réduite. Il existe en effet plusieurs types de paires torsadées :  Paire torsadée non blindée Unshielded twisted pair (UTP) - dénomination officielle (U/UTP). La paire torsadée non blindée (ou UTP pour unshielded twisted pair) n’est pas entourée d’un blindage protecteur. C’est le type de câble souvent utilisé pour le téléphone et certains réseaux informatiques domestiques.  Paire torsadée écrantée Foiled twisted pair (FTP) ou screened unshielded twisted pair - dénomination officielle (F/UTP). Les paires torsadées ont un blindage général assuré par une feuille d’aluminium. L’écran est disposé entre la gaine extérieure et les 4 paires torsadées. Elle est utilisée pour le téléphone et les réseaux informatiques.  Paire torsadée blindée Shielded twisted pair (STP) - nouvelle dénomination U/FTP. Chaque paire torsadée blindée (ou STP pour shielded twisted pairs) est entourée d’une couche conductrice de blindage, de façon similaire à un câble coaxial. Cela permet une meilleure protection contre les interférences. Elle est communément utilisée dans les réseaux token ring.  Shielded and foiled twisted pair (SFTP) - nouvelle dénomination SF/UTP. Câble doté d’un double écran commun à l’ensemble des paires (feuille métallisée et tresse).  Paire torsadée super blindée Shielded and shielded twisted pair (SSTP) - nouvelle dénomination S/FTP. Câble STP doté en plus d’un écran commun entre la gaine extérieure et les 4 paires.
  • 42.
    CHAPITRE II :Etude et conception du réseau LAN 42 4.2. Les Catégories de câbles : La catégorie du câble est définie à partir des mesures réalisées sur les composant en laboratoire par les constructeurs, on peut donc identifier quatre catégories de câble cat 3, cat 4, cat 5, Cat 5E et deux autres cat6 et cat7 qui sont en cours. Les composants de la catégorie 5 et 5E sont identiques, la différence provient du fait que les composants de cat 5e ont des meilleurs résultats lors des tests en laboratoire. En ce qui concerne la catégorie 6 le standard de la prise reste le format RJ45. Le câble catégorie 6 de classe E est une évolution en termes de gradation des performances du câblage pour les liaisons de type Ethernet utilisant des conducteurs à paires torsadées non blindées. Il est rétro-compatible avec les câbles catégories 5 UTP et 5e FTP de classe D et permet de transmettre des données à des fréquences jusqu'à 250 MHz et à des débits théoriques ne dépassant pas 1 Gbit/s, ce type de câble peut permettre l'utilisation du standard 10GBASE-T -10 Gbits/s- jusqu'à 50m). La catégorie 6a est maintenant la plus récente. Elle est définie jusqu'à 500 MHz et est prévue pour le 10 Gigabit Ethernet (10GBASE-T). Figure II.4.1 : Types de paires torsadées [8]
  • 43.
    CHAPITRE II :Etude et conception du réseau LAN 43 Les caractéristiques des catégories de câbles sont représentées dans le tableau ci-dessous : Catégorie Caractéristiques Catégorie 3 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiés jusqu'à 16 Mhz. Ethernet 10 Mbps, token ring 4Mbps, LocalTalk, Téléphonie. Catégorie 4 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 20 Mhz. Ethernet 10 Mbps, token ring 4Mbps et 16 Mbps, LocalTalk, Téléphonie. Catégorie 5 Câbles 100 , 120 ou 150 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps, token ring 4Mbps et 16 Mbps, ATM 155 Mbps. Catégorie 5 E Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps, token ring 4Mbps et 16 Mbps, ATM 155 Mbps. Catégorie 6 et 6a Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 200 Mhz. Ethernet 10, 100 ou 1000 Mbps, ATM 155 Mbps. Catégorie 7 Câbles 100 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 600 Mhz. Ethernet 10, 100 ou 1000, 10000 Mbps 4.3. Les Classes de câble : Les classes de transmission sont définies à partir des mesures réalisées sur la chaine de liaison, ces mesures sont réalisées sur le terrain lors de l’installation et permettent de donner la classe de la transmission, on peut donc identifier cinq classe d’application classe A, B, C, D et D new, deux autres classes sont en cours ; Classe E et F. Tableau II.4.2 : Catégories et caractéristique de câble [8]
  • 44.
    CHAPITRE II :Etude et conception du réseau LAN 44 Les caractéristiques des classes d’application sont représentées dans le tableau ci-dessous : Classe Caractéristiques Classe A Application Voix et fréquence de transmission des informations jusqu'à 100 KHz. Réseaux bas débit Classe B Application Data et fréquence de transmission des informations jusqu'à 1 Mhz. Réseaux faible débit Classe C Application Data et fréquence de transmission des informations jusqu'à 16 Mhz. Réseaux haut débit Classe D Application Data et fréquence de transmission des informations jusqu'à 100 Mhz. Réseaux très haut débit Classe E Application Data et fréquence de transmission des informations jusqu'à 200 Mhz. Réseaux très haut débit Classe EA Application Data et fréquence de transmission des informations jusqu'à 500 Mhz. Réseaux très haut débit Classe F Application Data et fréquence de transmission des informations jusqu'à 600 Mhz. Réseaux très haut débit Classe FA Application Data et fréquence de transmission des informations jusqu'à 1 GHz. Réseaux très haut débit Après la présentation des classes et catégories de câble voici donc un tableau récapitulatif des distances maximales de lien selon le type et la classe d’application comme définit dans la norme ISO 11 801 : Cat du média Classe A Classe B Classe C Classe D et D new Cat 3 2 km 500 m 100 m Cat 4 3 km 600 m 150 m Cat 5 et 5E 3 km 700 m 160 m 100 m Tableau II.4.3(a): Classes et caractéristiques de câble [8] Tableau II.4.3(b) : Distances opérationnelles des medias
  • 45.
    CHAPITRE II :Etude et conception du réseau LAN 45 5. Conception du réseau du Carré Eden 5.1 Conception de la couche 1 La conception de la couche 1 ou le câblage physique est l’un des éléments les plus importants à prendre en considération lors de la conception d'un réseau , elle comprend généralement le type de câble a utiliser (câble de cuivre ou fibre optique) ainsi que la structure globale du câblage , nous devons donc choisir la topologie physique et logique du réseau ainsi que le type de câble a utiliser pour le câblage. Topologie physique : Avant de choisir la topologie physique, il est nécessaire de prendre en considération la faisabilité de l’installation, à première vue la topologie étoile semble être la plus adapté à l’architecture du réseau du Carré Eden, ci-dessous le tableau récapitulatif des avantages et inconvénients de la topologie étoile : Avantages Inconvénients * Il est très facile à installer et à gérer la topologie de réseau en étoile car il est le plus simple du lot quand il s'agit de la fonctionnalité. * Il est facile de résoudre ce type de réseau que tous les ordinateurs sont tributaires de la plate- forme centrale qui signifie invariablement que tout problème qui quitte le réseau inutilisable peut être attribuée à la plate-forme centrale. * Dans une topologie en étoile, les paquets de données n'ont pas à se frayer un chemin à travers différents nœuds qui permet de s'assurer que le transfert de données est rapide. * Dans le même temps, le fait que les paquets de données que le faire à travers trois points différents afin de garantir que les données sont en sécurité. * Le principal problème avec l'étoile la topologie du réseau est le fait qu'il est très dépendant sur le fonctionnement du noyau central. * La taille du réseau dépend de combien de connexions peuvent être faites sur le moyeu. * Ce type de réseau nécessite plus de câble par rapport à la topologie de bus linéaire ce qui signifie que les dépenses engagées seraient relativement élevés. * La performance de l'ensemble du réseau est directement liée à la performance du moyeu. Si le serveur est lent, cela provoquera l'ensemble du réseau de ralentir. La plupart des inconvénients de la topologie en étoile tourne autour de la dépendance à l'égard de l'ensemble du réseau sur la plate-forme centrale, ce qui signifie que la défaillance du moyeu peut laisser l'ensemble du réseau inutilisable, Tableau II.5.1: Avantages et inconvénients de la topologie étoile
  • 46.
    CHAPITRE II :Etude et conception du réseau LAN 46 on peut donc palier a ce problème par la redondance physique de la plateforme centrale. Un autre point qui est l’aspect évolutif du réseau à concevoir, cette topologie nous permet donc de rajouter ou retrancher l’équipement a l’extrémité sans toucher au fonctionnement du réseau. Topologie Logique : A ce niveau, nous devons choisir une topologie logique parmi celles présentées dans la partie précédente. Notre choix devra être compatible avec la topologie physique ainsi qu’avec le type de câbles que nous allons utiliser. Pour un câblage en paire torsadée, FDDI ne semble pas être adapté du fait qu’il nécessite un câblage en fibre optique, certes que FDDI pourra être utilisé sur paire torsadée mais il ne permettra pas de transporter ni la voix ni la vidéo, en conséquence, on ne pourra pas utiliser FDDI. Comme on a vu dans la partie précédente le réseau Token Ring a des performances intrinsèquement supérieures à celles d’Ethernet, mais il ne semble pas être adapté a notre topologie physique en étoile, dans ce cas on pourra utiliser l’implémentation d’IBM basée sur une topologie en étoile dans laquelle les stations sont reliées à des concentrateurs (MAU Multiple Access Unit), mais cela nécessitera l’ajout d’un nombre important d’équipements. Il est clair que les spécifications du Token Ring sont contraignantes au niveau de l'installation, donc notre choix final sera basé sur Ethernet. 5.1.1 Câblage a paire torsadée : Le câblage à paire torsadée supporte tous les réseaux VDI actuels haut débits et très haut débit, nous l’utiliserons pour les liassions horizontale pour connecter le client final au répartiteur d’étage pour des contrainte de distance et de capacité. Pour le câblage de rocade informatique ou télécoms d’immeuble nous utiliserons des câble 32 paires catégorie 5 / Classe D . Pour la liaison terminale entre les armoires et les prises nous utiliserons des câbles 4 paires torsadée F/UTP catégorie 6a. NB : Le câble cuivre est utilisé pour une distance inférieure à 100 mètres. 5.1.2 Fibre optique
  • 47.
    CHAPITRE II :Etude et conception du réseau LAN 47 Nous utiliserons la fibre optique pour interconnecter les sous-répartiteurs au répartiteur principal. Il est aussi possible de l’utiliser pour le raccordement d’un poste de travail. Avant de choisir le type de fibre optique à utiliser on essaiera de présenter les différents types de fibre optique pour choisir le type le plus adapté à notre besoin. Il existe 2 types de fibre optique la fibre multi-mode qui regroupe 3 catégories (OM1, OM2 et OM3) et la fibre monomode (OS1). Ces fibres sont caractérisées par la taille du cœur, plus le cœur est gros plus la lumière aura plus de chemins possibles pour se propager et plus forte sera la dispersion modale signifiant un risque de perte de bande passante. Caractéristiques des différentes fibres : La fibre OM1 a un cœur de diamètre 62,5 microns (µ) La fibre OM2 a un cœur de diamètre 50 microns (µ) La fibre OM3 a un cœur de diamètre 50 microns (µ) La fibre OS1 a un cœur de diamètre 9 microns (µ) Les distances opérationnelles varient selon le type de fibre, le tableau ci-dessous représente le type de fibre à utiliser selon de débit et la distance opérationnelle : Distance Opérationnelle Débits 300m 500m 2000m 10 Mbps OM1 OM1 OM1 100 Mbps OM1 OM1 OM1 1 Gbps OM1 OM2 OS1 10 Gbps OM3 OS1 OS1 Le tableau ci-dessous représente la longueur de la fibre selon la classe et le débit Tableau II.5.1.2(a) : Type de fibre et distance opérationnelle selon le débit [10]
  • 48.
    CHAPITRE II :Etude et conception du réseau LAN 48 Débits Classe 1 Gbps 10 Gbps OM1 62,5/125µ 2 m à 220 m 2 m à 33 m OM2 50/125µ 2 m à 550 m 2 m à 82 m OM3 50/125µ 2 m à 900 m 2 m à 300 m OS1 9/125µ 2 m à 100 km 2 m à 40 km Le choix de la fibre optique à utiliser est donc fixé sur des fibres optiques multi-mode(OM2) 50/125µ qui se justifie par la longue distance et le débit nécessaire. NB : Pour les longues distances on utilise généralement des fibres monomode (OS1). 5.2. Conception de la couche 2 Apres l’étape de la conception de la couche 1, la deuxième étape consiste à développer une topologie LAN de couche 2, c'est-à-dire à ajouter des équipements de couche 2 à notre topologie dont le but est d'améliorer ses fonctionnalités ainsi que l’augmentation les performances des groupes de travail. Nous utiliserons des commutateurs LAN pouvant attribuer la bande passante par port, pour laisser davantage de bande passante aux câbles verticaux. Le câble vertical acheminera tout le trafic de données entre le répartiteur principal et le répartiteur intermédiaire. Il est donc clair que sa capacité souhaitée est supérieure à celle d’un câble horizontal. 5.2.1 Conception de la couche d’accès La couche accès est le point d'entrée au réseau pour les stations de travail utilisateur. Dans un réseau LAN, nous pouvons uti liser soi t de commutateurs offrant une bande passante commutée soi t des concentrateurs offrant une bande passant partagée. Les commutateurs de la couche accès permettent d’offrir des services comme les VLANs, Leur objectif principal est d’autoriser l’accès des utilisateurs finaux sur le réseau. 5.2.2 Conception de la couche distribution Tableau II.5.1.2(b) : performances des fibres [11]
  • 49.
    CHAPITRE II :Etude et conception du réseau LAN 49 La couche de distribution est le point de regroupement des connexions des locaux techniques intermédiaires, elle permet donc de définir les domaines de diffusion et de diffusion multipoint, le routage des Vlan et finalement la sécurité. Les commutateurs de la couche de distribution doivent être en mesure de supporter la totalité du trafic des équipements de la couche accès, ils doivent avoir des performances plus élevées que les commutateurs de la couche d’accès. Le schéma de câblage de la couche de distribution du réseau du Carré Eden est représenté dans la figure ci-dessous :  Le local technique du niveau R-2 va desservir tout le niveau.  Le local technique du niveau R+2 zone 1 va desservir la zone 1 et la zone 2 du niveau R+2.  Le local technique du niveau R+2 zone 4 va desservir la zone 4, la zone 3 du niveau R+2 et le niveau RDC.  Le local technique du niveau R+3 zone 1 va desservir la zone 1 du niveau R+3  Le local technique du niveau R+3 zone 2 va desservir la zone 2 du niveau R+3  Le local technique du niveau R+3 zone 4 va desservir la zone4 du niveau R+3 Figure II.5.2.2 : Synoptique de câblage des locaux techniques
  • 50.
    CHAPITRE II :Etude et conception du réseau LAN 50  Le local technique du niveau R+4 zone 1 va desservir la zone 1 du niveau R+4 et la zone 1 du niveau R+5.  Le local technique du niveau R+4 zone 2 va desservir la zone 2 du niveau R+4 et la zone 2 du niveau R+5.  Le local technique du niveau R+4 zone 3 va desservir la zone 3 du niveau R+4 la zone 3 du niveau R+5 et la zone 3 du niveau R+3.  Le local technique du niveau R+4 zone 4 va desservir la zone 4 du niveau R+4 et la zone 4 du niveau R+5. 5.2.3 Equipements d’interconnexion Nous devons choisir les équipements d’interconnexion pour la couche d’accès et la couche de distribution dont nous aurons besoin, le tableau représentant les caractéristiques et le prix de trois différentes marques se présente comme suit : Propriétaire Série model POE puissance capacité Prix (MAD) type CISCO Cisco Catalyst 3750-X Series WS-C3750X- 24P-L 370W 715W 24e+1Ge 3 2545 Accès WS-C3750X- 48T-L 370W 715W 48e+4Ge 3 4585 Catalyst 4500 Series Switches Supervisor 7E - - 4x10Ge Up to 384 accès 7 5795 Distribution Supervisor 7LE - - 4x10Ge Up to 240 accès 7 1674 Tableau II.5.2.3 (a) : Caractéristiques de commutateurs Cisco
  • 51.
    CHAPITRE II :Etude et conception du réseau LAN 51 Propriétaire Série model POE puissance capacité Prix(MAD) type HP HP5500 HI JG311A 141 W 512w 24e-2Ge 11545 Accès JG312A 196 W 512W 48e-2Ge 22433 série10500 JC613A - - 4x10Ge Up to 280 accès 3 8897 Distribution JC612A - - 4x10Ge Up to 196 accès 40000 Distribution Propriétaire Série Model POE puissance capacité Prix (MAD) type AVAYA - Ethernet 2526T-PWR 152W 444w 24e+2Ge 6860 Accès - Ethernet 2550T 187W 512w 48e+4Ge 18587 Accès Switch 8000 Series Switch 8300 6-Slot System - - 4x10Ge Up to 280 accès 3 5500 Distribution Switch 8300 10- Slot System - - 4x10Ge Up to 475 accès 3 7751 Distribution 5.2.4 Choix des matériels : Comme on peut le remarquer les commutateurs Avaya Ethernet 2550T et Ethernet 2526T-PWR répondent bien à nos besoins pour un prix plus bas que celui des deux autres marques (HP, Cisco), nous allons donc opter pour le commutateur Avaya pour la couche d’accès et pour la couche de distribution au niveau de la laquelle on exigence des performances plus élevées qu’au niveau de la couche d’accès. Tableau II.5.2.3 (c) : Caractéristiques de commutateurs Avaya Tableau II.5.2.3 (b) : Caractéristiques de commutateurs HP
  • 52.
    CHAPITRE II :Etude et conception du réseau LAN 52 Nous devons calculer le nombre de port nécessaire pour les répartiteurs intermédiaires et le répartiteur principal pour calculer le nombre de commutateurs nécessaire. Pour cela nous devons avoir une idée sur les désignations de chaque zone et de chaque niveau de l’hôtel, les tableaux ci-dessous représente les désignations de chaque zone et niveau : Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R-2 Z1 25 24 **** 12 **** RDC Z4 12 10 **** 7 **** Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+2 Z1 21 24 **** 4 4 Z2 90 33 9 6 10 Z3 11 5 **** 2 3 Z4 48 22 5 2 6 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+3 Z1 53 52 26 2 8 Z2 37 35 18 2 5 Z3 21 32 17 2 5 Z4 55 47 26 2 8 Tableau II. 5.2.4(b) : Désignation du niveau R+2 Tableau II. 5.2.4(a) : Désignation des niveaux R-2 et RDC Tableau II. 5.2.4(c) : Désignation du niveau R+3
  • 53.
    CHAPITRE II :Etude et conception du réseau LAN 53 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+4 Z1 52 36 26 2 8 Z2 56 35 25 2 7 Z3 31 33 14 2 5 Z4 59 41 24 2 8 Niveau Zone Prise informatique RJ45 Prise téléphonique RJ45 Prise TV RJ45 Sortie de câble camera Sortie de câble Wifi Niveau R+5 Z1 44 35 16 **** 8 Z2 46 33 17 **** 7 Z3 27 17 11 **** 5 Z4 55 35 22 **** 8 Nous pouvons ainsi calculer le nombre de port nécessaire par zones de niveau, Les calculs sont présentés dans le tableau ci-dessous : Zone Z1 Z2 Z3 Z4 Niveau R-2 61 ****** ****** ****** RDC ****** ****** ****** 29 R+2 53 148 21 83 R+3 141 97 77 138 R+4 124 125 85 134 R+5 103 103 60 120 Tableau II. 5.2.4(g) : Nombre de port par zone de niveau Tableau II. 5.2.4(d) : Désignation du niveau R+4 Tableau II. 5.2.4(e) : Désignation du niveau R+5
  • 54.
    CHAPITRE II :Etude et conception du réseau LAN 54 Apres nous pouvons calculer le nombre de ports ainsi que le nombre de commutateur nécessaires pour chaque local technique, on rappelle que le réseau comporte 10 locaux techniques intermédiaires et un local technique principale comme le montre la figure II.5.2.2, à noter que le nombre de prise téléphonique ne sera pas pris en compte pour le calcul du nombre de commutateurs nécessaires. On revient donc sur le schéma de câblage de locaux techniques, à avoir qu’il y a des locaux techniques qui desservent plus qu’une zone. Les calculs sont présentés dans le tableau ci-dessous : Désignation du local technique Z1/R2 Z4/R2 Z1/R3 Z2/R3 Z4/R3 Z1/R4 Z2/R4 Z3/R4 Z4/R4 Z1/R-2 Nombre de ports 201 133 141 97 138 227 228 222 254 61 Commutateur 24 port 1 ***** ***** 1 ***** ***** ***** ***** 1 1 Commutateur 48 ports 4 3 3 2 3 5 5 2 5 1 Apres avoir calculé le nombre de commutateurs nécessaires à la conception du réseau ainsi que la longueur et le type de câble à utiliser, nous pouvons maintenant estimer le cout prévisionnel de notre conception, mais avant, voici un tableau récapitulatif des caractéristique et utilisation du matériel choisi : Equipement Caractéristique utilisation câble 32 paires catégorie 5 / Classe D Câbles 100 , 120 ou 150et connecteurs dont les caractéristiques de transmission sont spécifiés jusqu'à 100 Mhz. Ethernet 10 Mbps et 100 Mbps. Câblage de rocade informatique câbles 4 paires torsadées F/UTP catégorie 6a Câbles 100 , 120 et connecteurs dont les caractéristiques de transmission sont spécifiées jusqu'à 200 Mhz. Ethernet 10, 100 ou 1000Mb /s liaisons terminales entre les armoires et les prises fibres optiques multi- mode(OM2) 50/125µ 2 m à 550 m pour 1Gb /s Interconnexion des répartiteurs intermédiaires au répartiteur principal Tableau II. 5.2.4(h) : Nombre de ports et de commutateurs par local technique Tableau II. 5.2.4(h) : Caractéristiques de et utilisation des câbles
  • 55.
    CHAPITRE II :Etude et conception du réseau LAN 55 Equipement Caractéristique utilisation AVAYA Ethernet 2526T-PWR 24e+2Ge Commutateur de couche d’accès AVAYA Ethernet 2550T 48e+4Ge Commutateur de couche de distribution 5.2.5 : Evaluation financière L’évaluation financière est représentée dans le tableau ci-dessous : Equipement Quantité Prix unitaire Prix totale (MAD) Prises murales Femelle 2000 7,3 14.600 Connecteur 3402 5,4 18.371 Equipement Quantité Prix unitaire Prix total (MAD) câble 32 paires catégorie 5 / Classe D 30000(mètres) 9,4 56 .400 câbles 4 paires torsadées F/UTP catégorie 6a 120000(mètres) 14,5 435.000 fibres optiques multi- mode(OM2) 50/125µ 1500 (mètres) 32 48.000 Equipement Quantité Prix unitaire Prix total (MAD) AVAYA Ethernet 2526T-PWR 24 ports 4 7000 28.000 AVAYA Ethernet 2526T-PWR 48 ports 33 20000 660.000 AVAYA Switch 8300 6- Slot System 3 40000 120.000 Tableau II. 5.2.4(i) : Caractéristiques de et utilisation des commutateurs Tableau II.5.2.5 (c) : Quantité et cout d’achat des commutateurs [13] Tableau II. 5.2.5(a) : Quantité et coût d’achat des prises et des connecteurs Tableau II. 5.2.5(b) : Quantité et coût d’achat des câbles
  • 56.
    CHAPITRE II :Etude et conception du réseau LAN 56 Equipement Prix (MAD) Prix total (MAD) Prises et connecteurs 32.971 1.380.371Câbles 539.400 Commutateurs 808.000 Le coût de la conception du réseau est donc estimé à 1.380.371 MAD. Le coût ainsi calculé n’est pas le coût total de la conception du réseau Lan du Carré Eden, nous devons y ajouter le coût de la main d’œuvre ainsi que des équipements terminaux à savoir les points d’accès et les cameras de surveillance, des documents et des logiciels nécessaires a la finalisation de la conception. 6. Conclusion Le câblage prend aujourd’hui une importance croissante dans la réalisation des réseaux de transmission de l’information. Il est important de bien concevoir le câblage, pour optimiser son coût, tant initial qu’a long terme. C’est là qu’apparaît l’avantage du pré-câblage sur le câblage sur mesure, d’autre part il faut veiller à bien gérer les trafics circulant sur le réseau tant qu’il y a des trafics exigeants en termes de débit et de délais de transmission. Pour bien concevoir notre réseau, il faut penser aussi à déployer un réseau local sans fils WLAN qui permettra aux clients plus de mobilité, le réseau WLAN à déployer devra être de sa part optimal et performant, une bonne planification nous permettra donc de bien concevoir notre réseau WLAN. Le chapitre suivant fera donc l’objet de la planification du réseau WLAN dans lequel on traite les différents paramètres à prendre en compte. Tableau II.5.2.5(d) : Evaluations financière
  • 57.
    57 CHAPITRE III :Etude et planification du réseau WLAN
  • 58.
    CHAPITRE III :Etude et planification du réseau WLAN 58 1. Introduction Le problème de planification radio s’inscrit dans un objectif global d’amélioration des performances du réseau du Carré Eden que nous essayons de concevoir. Quelle que soit sa nature, le réseau WLan doit permettre de transmettre des données le plus rapidement possible tout en garantissant une réception limitant au maximum la perte d’information. Une communication radio ne peut être établie que si le rapport entre la puissance du signal reçu et le bruit environnant est suffisant pour permettre la démodulation du signal par le récepteur. Du fait de la nature du médium radio, il est difficile d’obtenir une qualité de communication semblable à celle obtenue avec les technologies filaires. De ce fait notre planification devra prendre en charge toutes les contraintes pouvant réduire les performances de notre réseau sans fils. Durant ce deuxième chapitre nous essaierons de présenter brièvement les différentes normes du standard 802.11, après nous allons mettre le point sur les problèmes pouvant intervenir durant la planification du réseau sans fils et la présentation de quelques axes d’amélioration, finalement nous allons présenter le résultat de la première application obtenu par le logiciel Surveyor de Airmagnet qui sera présenté par la suite. 2. Standard IEEE 802.11 IEEE 802.11 est un ensemble de normes concernant les réseaux sans fil qui ont été mises au point par le groupe de travail 11 du Comité de normalisation LAN/MAN de l'IEEE (IEEE 802). Le terme 802.11x est également utilisé pour désigner cet ensemble de normes et non une norme quelconque de cet ensemble comme pourrait le laisser supposer la lettre « x » habituellement utilisée comme variable. Il n'existe donc pas non plus de norme seule désignée par le terme 802.11x. Le terme IEEE 802.11 est également utilisé pour désigner la norme d'origine 802.11, et qui est maintenant appelée parfois 802.11legacy. IEEE 802.11 fait partie d'un ensemble de normes édictées sous l'égide du comité de standardisation IEEE 802. Celui-ci constitue un tout cohérent servant de base de travail aux constructeurs développant des équipements et les services chargés de l'implémentation des infrastructures réseaux à liaison filaire et sans fil. 2.1. Les normes
  • 59.
    CHAPITRE III :Etude et planification du réseau WLAN 59 La toute première version de la norme 802.11 a été proposée en 1997. Elle décrit les couches physiques et MAC pour une vitesse de transmission allant jusqu’à 2Mbits/s dans la bande des 900 MHz. Les extensions de cette norme sont les suivantes [14] : 2.1.1. La norme 802.11a La norme IEEE 802.11a (baptisé Wifi 5) est définie en 2001.Elle permet d'obtenir un haut débit (54 Mbps théoriques, 30 Mbps réels). Son avantage par rapport aux normes 802.1 1b/g est qu'elle dispose d'une plus grande bande passante (5 GHz) donc peu encombrée, et offre des débits plus importants que 802.11 b (11 Mbps). I EEE 802.11 a utilise une technique de modulation OFDM. Les inconvénients de cette norme sont sa faible portée (15m) et son incompatibilité avec 802.11b. 2.1.2. La norme 802.11b Le terme Wi -Fi, fait référence à cette norme qui fut la première norme des WLAN utilisée par un grand nombre d'utilisateurs, elle a été approuvée le 16 Décembre 1999 par l'IEEE. La norme WiFi permet l’interopérabilité entres les différents matériels existants, elle offre des débits de 11 Mbps, avec une portée de 300m dans un environnement dégagé. Elle fonctionne dans la bande des 2,4GHz, séparée en plusieurs canaux. Son inconvénient est le risque d'interférence avec les appareils fonctionnant aux mêmes fréquences (four à micro onde, matériel sans fils, ...). 2.1.3. La norme 802.11g Cette norme a été développée en 2003. Elle étend la norme 802.11b, en augmentant le débit jusqu'à 54Mbps théorique (30 Mbps réels). Elle fonctionne aussi à 2,4GHz, ce qui rend les deux normes parfaitement compatibles. Grâce à cela, les équipements 802.11b sont utilisables avec les points d'accès 802.11g et vice- versa. Cependant, 802.11g utilise la technique de modulation OFDM. 2.1.4. La norme 802.11n La norme IEEE 802.11n, ratifiée en septembre 2009, permet d'atteindre un débit théorique allant jusqu'à 450 Mbits/s sur chacune des bandes de fréquences utilisable (2,4 GHz et 5 GHz). Elle améliore les standards précédents : IEEE 802.11a
  • 60.
    CHAPITRE III :Etude et planification du réseau WLAN 60 pour la bande de fréquences des 5 GHz, IEEE 802.11b et IEEE 802.11g pour la bande de fréquences des 2,4 GHz. Amélioration par rapport aux normes IEEE 802.11a/b/g La norme apporte des améliorations par rapport à IEEE 802.11a/b/g grâce aux technologies suivantes :  MIMO qui permet d'utiliser, à la fois, plusieurs émissions spatiales et plusieurs antennes pour les récepteurs et émetteurs.  Le regroupement des canaux radio permettant d'augmenter la bande passante.  L'agrégation de paquets de données qui permet l'augmentation des débits Variante Débit Max Fréquence Canaux Modulation Radio 802.11a 2 Mb/s 2,4 GHz 3 FHSS ou DSSS 802.11a 54 Mb/s 5 GHz 19 OFDM 802.11b 11Mb/s 2,4GHz 3 DSSS ou HR-DSSS 802.11g 54Mb/s 2,4 GHz 3 DSSS ou HR-DSSS ou OFDM 802.11n > 100 MB/s 2,4 GHz ou 5 GHz 3ou 19 DSSS ou HR-DSSS ou OFDM 2.2 LA COUCHE PHYSIQUE 802.11 Comme il a été indiqué précédemment, le standard 802.11 d'origine a défini trois couches physiques de base, FHSS, DSSS, IR, auxquelles ont été rajoutées trois nouvelles couches physiques Wi-Fi (avec deux variantes au sein de la solution 802.11b) et Wi-Fi5 (802.11a/g). Tableau III.2.1.4 : Récapitulatif des caractéristiques des normes [15]
  • 61.
    CHAPITRE III :Etude et planification du réseau WLAN 61 Figure III.2.2 (a): couches physiques du 802.11 [18] Figure III.2.2(b) : débits et portées du 802.11 [18]
  • 62.
    CHAPITRE III :Etude et planification du réseau WLAN 62 2.3 Architecture du WIFI Nous pouvons, dans un premier temps, classer les architectures de réseaux WiFi en deux grandes catégories suivant le type de point d'accès utilisé : point d'accès lourd et point d'accès léger. Un point d'accès lourd est un équipement autonome dans lequel se trouve une intelligence assez importante pour prendre en charge de nombreuses fonctionnalités concernant la gestion, la qualité de service, la sécurité, etc. Les points d'accès légers ont au contraire un nombre très limité de fonctions et les architectures basées sur les AP légers concentrent l'intelligence dans un commutateur.[16] 2.3.1. Avantages et inconvénients des bornes lourdes. Les bornes lourdes sont conçues comme des équipements réseaux Ethernet standard s'interfaçant avec les autres gammes de produit réseaux Ethernet existant. Les équipementiers généralistes, proposant de nombreuses gammes mais aussi les clients dont le réseau est déjà constitué y sont très intéressés. Pour les petits déploiements WiFi, une borne lourde s'interfacera avec un commutateur en place, et ne nécessite aucun équipement complémentaire. 2.3.2. Avantages et inconvénients des bornes légères Avec les APs léger, le déploiement et la maintenance sont simplifiés. La configuration est non rémanente (si l'AP est débranché, la configuration disparaît) ce qui élimine le risque que les paramètres soient obtenus en cas de vol. Les changements de firmware sont propagés automatiquement à partir du commutateur et peuvent être protégés par chiffrement, AES par exemple. Grâce à un couplage fort avec le commutateur, les basculements d'un AP à un autre (handovers), très utiles pour la ToIP, sont gérés rapidement et simplement. Le gros inconvénient des AP légers est d'imposer une architecture propriétaire entre la borne et le commutateur, très contraignante et excluant la cohabitation de matériels hétérogènes. Poussé à l'extrême, l'AP léger ne joue que le rôle d'antenne. L'antenne est reliée à un commutateur/gestionnaire d'antennes. En d'autres termes, nous avons un point de contrôle qui possède des antennes multiples qui couvrent tout un territoire. Cette solution nécessite une remontée des informations vers le contrôleur qui possède donc l'ensemble de toutes les fonctions. Une difficulté étant le manque de traitement de la partie signal et de la partie signalisation au niveau de l'antenne, il faut transporter tous les signaux jusqu'au point de traitement sans que cela soit des réseaux de type Ethernet, ce qui complique assez fortement la partie câblage de l'entreprise qui veut se doter de
  • 63.
    CHAPITRE III :Etude et planification du réseau WLAN 63 cette solution. Nous verrons que des propositions de standardisation sont en cours de définition afin de traiter ce problème. 3. Réseau sans fil et perturbation d’environnement 3.1. Perturbation et sources d’interférence Le bruit peut perturber énormément les communications en provoquant une perte importante de paquets échangés. Si le rapport signal sur bruit n’est pas suffisamment élevé, la communication ne sera tout simplement pas possible, même si le signal reçu a une puissance importante. 3.3.1. Les réseaux voisins La première source de bruit pour le WiFi est le WiFi, c’est-à-à dire que si un voisin a déployé un réseau WiFi et que certains de ses points d’accès utilisent des canaux proches ou identiques à ceux de nos points d’accès, alors nous allons subir, tous les deux, des pertes importantes de débit. La première chose qui doit être faite avant le déploiement est de faire un audit de site qui permettra de vérifier s’il existe des réseaux voisins, sur quels canaux, à quelle puissance, etc. Pour cela, on peut utiliser un analyseur du type NetStumbler ou AirMagnet. Cela va donc nous permettre de savoir si un point d’accès est déployé à proximité, quel canal il utilise et plus généralement quel est le rapport signal sur bruit sur un canal donné. Ensuite, il faut configurer chaque AP sur un canal libre et peu bruyant. Si on va utiliser le 802.11b ou le 802.11g, il faut choisir des canaux assez éloignés de ceux qui sont déjà occupés, car les canaux voisins se superposent, ce problème ne se pose pas avec le 802.11a car tous les canaux sont indépendants comme le montre la figure ci-dessous : il suffit donc de choisir un canal inoccupé. Figure III .3.3.1(a) : Répartition des canaux autour de 5GHz
  • 64.
    CHAPITRE III :Etude et planification du réseau WLAN 64 3.3.2 Le Bluetooth Claviers, souris, imprimantes, PDA, ordinateurs et autres matériels utilisant la technologie Bluetooth peuvent perturber le 802.11b et le 802.11g car ils emploient la même bande de fréquences à 2,4 GHz. Puisque cette technologie repose sur la modulation, l’ensemble des canaux WiFi est touché. Heureusement, la puissance des équipements Bluetooth est en général assez faible, donc le problème ne se pose que si l’on est à proximité (moins d’une dizaine de mètres) d’un équipement Bluetooth. Par ailleurs, l’utilisation de ces équipements est en général ponctuelle : synchronisation d’un PDA avec un ordinateur, échange de cartes de visites électroniques entre ordinateurs et ainsi de suite, donc le problème est souvent si limité dans le temps qu’on ne le remarque pas. Par ailleurs, si un équipement Bluetooth est fréquemment utilisé par vos employés et pendant des durées importantes, comme des oreillettes sans fil permettant de téléphoner sur IP, par exemple, alors les risques d’interférences sont importants. Une solution consiste à définir des règles d’usage des ondes radio au sein de votre entreprise, par exemple en n’autorisant l’utilisation du Bluetooth que pour synchroniser des PDA. Par ailleurs, certains produits Bluetooth savent détecter et éviter les canaux occupés par le WiFi. Une autre alternative est d’utiliser le 802.11a ou le 802.11n à 5 GHz, car à ces fréquences on n’est pas du tout gêné par le Bluetooth. On verra cette partie plus en détails dans les axes d’amélioration. 3.3.3. Les fours à micro-ondes Une autre source de bruit très sérieuse est le four à micro-ondes. En effet, ces fours sont présents chez beaucoup de particuliers et dans de nombreuses Figure III.3.3.1(b) : Répartition des canaux autour de 2.4GHz [17]
  • 65.
    CHAPITRE III :Etude et planification du réseau WLAN 65 cafétérias du centre commercial. Ils provoquent fréquemment des problèmes importants d’interférences avec le WiFi car ils sont extrêmement bruyants sur les fréquences de 2,4 GHz. En outre, on ne les remarque pas toujours pendant l’audit de site, car ils ne sont pas utilisés en permanence. Une fois déployé, le réseau sans fil fonctionne correctement la plupart du temps, mais aux alentours de midi, tous les jours, à plusieurs reprises et sans raison apparente, le réseau sans fil devient extrêmement lent voire indisponible pendant quelques minutes : à cette heure-ci, les employés font chauffer leur repas. Heureusement, la fréquence radio exacte utilisée par un four est en général indiquée à l’arrière du four ou dans sa documentation : on doit essayer d’utiliser les canaux les plus éloignés possibles de cette fréquence. Le plus sûr est de le mettre en marche pendant les tests préalables au déploiement Encore une fois, le 802.11a n’est pas touché, de même que le 802.11n à 5 GHz. 4. Perturbation radio 4.1 L’absorption et la réflexion Lorsqu’un obstacle se situe entre l’émetteur et le récepteur, les ondes radio sont en partie reflétées et en partie (ou en totalité) absorbées par l’obstacle. La portion du signal qui parvient à traverser l’obstacle est donc affaibli. Il faut noter que plus la fréquence de l’onde radio est élevée, moins celle-ci traverse les obstacles. Le 802.11a et le 802.11n à 5 GHz, sont donc moins pénétrants que le 802.11b, le 802.11g ou le 802.11n qui reposent sur le 2,4 GHz. 4.2. La diffraction Le principe de Huygens-Fresnel Un autre phénomène auquel les ondes radio sont sujettes est la diffraction. Elle peut être expliquée brièvement par le principe de Huygens-Fresnel : chaque point par lequel passe une onde peut être considéré comme une nouvelle source de l’onde, émise dans toutes les directions. En l’absence d’obstacles, la somme des ondes émises donne un front d’onde qui se propage normalement, dans une direction, car les ondes émises dans les autres directions s’annulent mutuellement. Toutefois, dès que le front de l’onde se heurte à un obstacle, les ondes émises par les points situés aux extrémités de cet obstacle se propagent dans toutes les directions et ne sont plus annulées par les ondes voisines : l’obstacle peut ainsi être contourné, en particulier si ses bords sont saillants.
  • 66.
    CHAPITRE III :Etude et planification du réseau WLAN 66 4.3. Les chemins multiples (multipath) La réflexion et la diffraction sont utiles pour capter le signal à un endroit où l’émetteur n’est pas visible : on dit qu’on est en condition de Non Line of Sight (NLOS), c’est-à-dire que l’on n’a pas une ligne de vision directe. Mais les réflexions et diffractions peuvent également être nuisibles lorsqu’elles font apparaître de multiples chemins possibles entre l’émetteur et le récepteur (on parle de multipath). Dans ce cas, un même signal peut alors atteindre le récepteur à plusieurs moments différents. Il y a alors trois conséquences néfastes possibles : 1. si le décalage dans le temps est tel que les différentes ondes soient en opposition de phase, le signal est atténué, voire même complètement annulé si les ondes opposées ont une puissance identique ; 2. en arrivant par plusieurs chemins distincts, le signal est étalé dans le temps et le récepteur doit être capable de l’interpréter correctement ; 3. si le décalage est très important, un symbole peut arriver en même temps que le symbole suivant (interférence inter-symboles ou ISI, voir le chapitre 2), ce qui perturbe fortement la communication. Éviter les obstacles 5. Les axes d’amélioration Comment réussir une liaison de point à point à haut débit sur une grande distance ? Quelles antennes choisir ? Comment respecter la limite de puissance légale tout en optimisant la portée ? Comment limiter le nombre de points d’accès Figure III.4.3 : Phénomène de trajets multiples
  • 67.
    CHAPITRE III :Etude et planification du réseau WLAN 67 à installer tout en ayant une bonne couverture radio ? Comment obtenir une grande capacité et gérer de nombreux utilisateurs ? Nous devons donc répondre à ces questions avant de passer à l’étape finale qui est le déploiement. 5.1. Agir sur les antennes Un premier axe d’amélioration consiste à utiliser des antennes directionnelles ou sectorielles pour concentrer le signal vers la zone à couvrir, en essayant d’éviter le débordement vers les cellules voisines. En complément, si l’AP le permet, on peut également diminuer la puissance du signal émis. Il faut toutefois s’assurer que la couverture dans la cellule ne soit pas détériorée. En outre, une station associée à un AP émet sur le canal défini par cet AP. Résultat, si un AP autorise des stations éloignées à s’associer à lui, ces stations seront des sources d’interférences pour les autres AP utilisant le même canal. Ainsi, il peut être intéressant de diminuer la sensibilité de l’AP pour empêcher des stations distantes de s’y associer : elles choisiront automatiquement un AP plus proche d’elles. Si l’AP n’offre pas l’option de réduire sa sensibilité, on peut également utiliser un câble d’antenne à forte perte : cela reviendra à perdre simultanément de la sensibilité et de la puissance d’émission, donc à réduire le rayon de la cellule. C’est une moins bonne solution car la perte est à la fois à la réception et à l’émission : il faut à nouveau faire attention à ne pas détériorer la couverture au sein de la cellule. En outre, on peut choisir d’installer des antennes hélicoïdales, car leur polarisation circulaire permet de limiter l’effet des réflexions comme nous l’avons vu plus haut. 5.2. Utiliser le 802.11a ou le 802.11n à 5 GHz Une autre solution, sans doute la meilleure si l’on souhaite absolument avoir un réseau sans fil très performant : utiliser le 802.11a ou le 802.11n à 5 GHz. En effet, à 5 GHz, on dispose de 19 canaux indépendants. Ceci permet d’espacer bien davantage les AP utilisant un même canal et de limiter ainsi considérablement les interférences. La figure III.5.2 montre à quoi ressemble un déploiement à 5 GHz.
  • 68.
    CHAPITRE III :Etude et planification du réseau WLAN 68 Un autre avantage considérable du WiFi à 5GHz est le fait que cette bande de fréquences est peu encombrée : on ne sera pas gêné par le Bluetooth, les fours à micro- ondes, les téléphones portables, etc. En outre, le WiFi à 5 GHz étant relativement peu répandu en France, contrairement au 802.11b au 802.11g et au 802.11n à 2,4 GHz, il est peu probable que le réseau sans fil de votre voisin sera en Wifi à 5 GHz : cela limite encore les possibilités d’interférences. En revanche, le Wifi à 5 GHz n’a pas que des atouts : ses deux principaux inconvénients par rapport au Wifi à 2,4 GHz sont le prix et le consensus. En effet, les AP et les adaptateurs à 5 GHz sont en général légèrement plus chers que les équipements à 2,4 GHz. D’autre part, le 5 GHz est encore rare en entreprise et il l’est encore plus dans les hotspots. Il y a deux conséquences à cela : d’abord les produits disponibles sont moins nombreux car le marché est plus restreint. Il existe très peu d’ordinateurs portables vendus avec le WiFi à 5 GHz intégré. Ceci commence toutefois à changer. D’autre part, si vous optez exclusivement pour le 5 GHz, les adaptateurs de vos employés ne leur permettront pas de se connecter à la grande majorité des hotspots, ce qui est bien dommage car vous perdrez ainsi une partie de l’intérêt du WiFi : la possibilité pour vos employés de se connecter pendant leurs déplacements, dans des hôtels, des aéroports et tout autre lieu public. Une bonne solution consiste à déployer un réseau à double radio, l’une en 802.11b/g et l’autre en 802.11n à 5 GHz, et d’équiper les employés avec des adaptateurs 802.11a/b/g/n. Ils pourront ainsi se connecter dans tous les hotspots, utiliser le WiFi chez eux avec un routeur WiFi bas de gamme, tout en profitant d’une excellente connexion WiFi en 802.11n à 5 GHz au bureau. 5.3. Réduire les problèmes de NLOS et de réflexion Figure III.5.2 : Maillages à 5GHz [18]
  • 69.
    CHAPITRE III :Etude et planification du réseau WLAN 69 Pour réduire les problèmes de réception en condition NLOS, on peut commencer par positionner les antennes et si possible les obstacles de telle sorte que les interférences soient moins intenses. Un outil d’analyse s’avère alors encore très utile : en déplaçant les antennes et en mesurant, la puissance du signal reçu et le rapport signal sur bruit, on peut parvenir à améliorer la situation considérablement. Pour le problème d’opposition de phase, un déplacement des antennes ou des obstacles, même léger, peut parfois résoudre le problème : les interférences peuvent créer de petites zones d’ombres qu’on peut parfois simplement éviter. On peut également veiller à limiter les surfaces réfléchissantes telles que les surfaces métalliques qui reflètent énormément le signal radio : il suffit parfois de relever les stores en métal pour obtenir un meilleur signal. 6. Audit de site et résultats de planification Maintenant qu’on a une idée sur l’ensemble de problèmes que nous pourrons rencontrer pour le déploiement de notre réseau sans fils et les axes d’amélioration , on peut donc choisir parmi les différentes normes les normes les plus adéquates a notre situation . L’audit de site (Site survey) est une technique qui va nous permettre de planifier précisément et à déployer notre réseau sans fil dans n'importe quel environnement intérieur et extérieur de l’hôtel. L'objectif est donc de fournir une carte fiable de prédiction du signal WiFi et de performance du réseau sans fils que nous allons déployer. Notre méthode consistera donc à balayer la totalité de l’hôtel et à définir l’emplacement le plus approprié des points d’accès. 6.1. Déploiement de multiples AP Pour obtenir une bonne couverture radio et une bonne capacité l’emploi de multiples AP s’avère obligatoire, il nous permettra aussi d’éviter les zones d’ombre et d’offrir aux utilisateurs un débit suffisant pour l’utilisation des services et applications sur le réseau. Il fait aussi faire attention aux problèmes de gestion des points d’accès comme cité précédemment, ce problème pourra être résolu dans un premier temps par l’utilisation d’une architecture de gestion centralisée. [19] 6.2. Les déploiements en trois dimensions Lorsque l’on déploie un réseau sans fil sur plusieurs étages d’un même bâtiment, il faut prendre garde aux problèmes d’interférences qui peuvent provenir des points d’accès des étages voisins. Le problème du positionnement des
  • 70.
    CHAPITRE III :Etude et planification du réseau WLAN 70 points d’accès devient assez complexe lorsque l’on rajoute cette troisième dimension verticale. Une façon de procéder est de disposer les AP en un maillage hexagonal au 1er étage, puis on place les points d’accès du 2eme étage en un maillage hexagonal décalé par rapport à celui du 1er étage de sorte qu’aucun point d’accès ne soit à la verticale directe d’un autre point d’accès. Et ainsi de suite pour chaque étage. Comme on peut le voir, un déploiement en 3D avec seulement trois canaux est presque irréalisable sans interférences. Dans ce contexte, l’avantage du 5 GHz est très important il nous permettra de disposer de plus de canaux pour éviter les interférences. 6.3. L’audit de site Pour savoir combien d’AP installer et où les placer, la solution la plus simple consiste à réaliser ce qu’on appelle un « audit de site » (site survey). Cela consiste à installer un ou plusieurs AP aux endroits qui paraissent les plus adaptés, puis à mesurer le signal en se déplaçant dans les locaux. Il n’est pas nécessaire de connecter les AP au réseau, mais simplement de les alimenter en électricité et de les allumer. Si l’on observe des zones d’ombre, des interférences ou encore un débit insuffisant, il faut déplacer les AP et recommencer. Bien que cela soit une solution assez « artisanale », elle est assez fiable pour s’assurer que la couverture radio soit bonne1. Les outils que l’on peut utiliser pour réaliser l’audit de site sont très nombreux. Nous allons commencer par les plus simples pour aboutir aux plus complets. 6.4. Outil de cartographie radio Surveyor Airmagnet Figure III.6.2 (a): Déploiement des points d’accès en 3D [18]
  • 71.
    CHAPITRE III :Etude et planification du réseau WLAN 71 Pendant un audit de site, certains outils d’analyse sont capables d’enregistrer les paramètres radio et de les associer à un point sur un plan des locaux. Ceci permet à la fois de visualiser la couverture radio, mais aussi de réaliser des simulations. Nous avons donc utilisé le logiciel Surveyor de Airmagnet qui fonctionne de la manière suivante:  L’utilisateur choisit un nouveau projet et spécifie son nom  Apres l’utilisateur doit spécifier les informations du plan à charger Figure III.6.4(a): Chargement de nouveau projet
  • 72.
    CHAPITRE III :Etude et planification du réseau WLAN 72  L’utilisateur doit ensuite spécifier les informations concernant l’environnement du site Figure III.6.4(b): Spécification des informations du site Figure III.6.4(c): Spécification des informations de l’environnement
  • 73.
    CHAPITRE III :Etude et planification du réseau WLAN 73  Apres la spécification des informations le l’environnement du site l’utilisateur doit charger le plan du site qui doit être soit en format image ou AUTOCAD.  L’utilisateur doit choisir le canal et la période de scan Figure III.6.4(d): Chargement du plan du site Figure III.6.4(e): Spécifications des canaux et période de scan
  • 74.
    CHAPITRE III :Etude et planification du réseau WLAN 74  Finalement l’utilisateur doit effectuer un balayage du plan de site en effectuant des cliques sur différents point pour avoir les informations concernant la couverture dans ce point. Avec cet outil, il est également possible d’effectuer quelques simulations : par exemple, que se passerait-il si la puissance d’émission de tel AP était plus faible, ou plus élevée ? Surveyor n’a toutefois pas vocation à être un logiciel de simulation complet : il est impossible de déplacer « virtuellement » un AP, de simuler l’ajout d’une antenne directionnelle ou encore l’impact d’un nouvel obstacle. Pour cela, il faut refaire une mesure sur le terrain. Le plan est un support visuel pour l’utilisateur mais il n’est absolument pas pris en compte par le logiciel pour ses calculs de propagation radio. Le but de ce produit n’est pas de modéliser, mais bien d’analyser. Figure III.6.4(f): Balayage du site
  • 75.
    CHAPITRE III :Etude et planification du réseau WLAN 75 Un autre avantage des logiciels de cartographie est la documentation : les cartes imprimées sont bien plus claires pour tout un chacun qu’une obscure liste de paramètres radio griffonnés sur une feuille de papier. Par ailleurs, il est intéressant de refaire régulièrement la cartographie radio après le déploiement pour observer d’éventuels changements de la couverture radio et de comparer la carte obtenue avec les précédentes, les changements sont plus faciles à remarquer. 6.5. Présentation du site d’audit La figure ci-dessous représente le déploiement des points d’accès au niveau de l’étage 3 sur la zone 1, les résultats obtenus seront donc en fonction des positions indiquées dans la figure ci-dessous. Figure III.6.4(g): Fonctionnement du logiciel Surveyor [20]
  • 76.
    CHAPITRE III :Etude et planification du réseau WLAN 76 Les point d’accès installés sont de type indoor et vont servir pour la couverture des couloirs et des chambres de l’hôtel. La deuxième partie concernant le déploiement en outdoor dans la zone commune n’a pas été traité dans ce chapitre ,il faut noter que cette première planification n’est qu’un premier test d’analyse basé sur un choix des positions des points d’accès arbitraire, le choix final des positions des points d’accès sera en fonction des résultat obtenus. Le choix d’une architecture centralisée basée sur des points d’accès légers est évident, le nombre important de points d’accès (environ 100 APs) à déployer ne sera pas facile à gérer, cela justifie notre choix d’une architecture centralisée. Concernant les normes, on va opter pour la norme 802.11g pour le déploiement en indoor, et le 802.11n pour le déploiement en outdoor. 6.6. Résultats de l’audit de site Figure III.6.5: Positions des points d’accès
  • 77.
    CHAPITRE III :Etude et planification du réseau WLAN 77 Distribution de signal : Comme on peut le voir sur la figure le niveau du signal dans l’ensemble de l’étage est compris en -50dBm et -70dBm, on remarque aussi un niveau de signal élevé au voisinage des point d’accès qui s’affaiblit au fur et à mesure qu’on s’éloigne du point d’accès. Distribution du bruit : Figure III.6.6(a): Distribution du signal
  • 78.
    CHAPITRE III :Etude et planification du réseau WLAN 78 La distribution du bruit pourra être considérée comme uniforme sur l’ensemble de l’étage appart qu’au voisinage des point d’accès, le niveau de bruit est donc compris entre -90dBm et -100dbm, notre environnement pourra être considère comme étant très bruité Distribution du rapport signal sur bruit : Figure III.6.6(b) : Distribution du bruit
  • 79.
    CHAPITRE III :Etude et planification du réseau WLAN 79 Le rapport signal sur bruit est donc compris entre 50dB et 40dB comme on le voit sur la figure, la valeur du rapport étant positive cela signifie que le niveau du signal dépasse celui du bruit. 6.7. Analyse des résultats de l’audit de site Les performances du déploiement d’un réseau local sans fils exige plus que veiller a ce les utilisateurs sont en mesure de se connecter a un point d’accès, la définition d’un rapport signal sur bruit nous permettra donc de définir les limites de performance de notre déploiement. Lors d’un audite de site il est important de définir les limites de la portée d’un point d’accès en se basant sur le rapport signal sur bruit qui le niveau de signal(en dBm) moins le niveau de bruit (en dBm), par exemple un niveau de signal Figure III.6.6(c): Distribution du rapport signal sur bruit
  • 80.
    CHAPITRE III :Etude et planification du réseau WLAN 80 de -57dBm mesuré à proximité d’un point d’accès et un niveau de bruit de 90dBm donne un rapport signa sur bruit (SNR) de 33dB qui représente une valeur saine pour les réseaux locaux sans fil. L’augmentation du nombre d’utilisateur devra être prise en considération, au fur et a mesure que le nombre d’utilisateur augmente le niveau de signal d’un point d’accès diminuera a cause de la perte de l’application de l’espace libre , ce qui va entrainer une diminution du rapport signal sur bruit, ca va de même pour les signaux se propageant à partir du dispositif d’un utilisateur vers un point d’accès .L’augmentation des interférence du aux micro onde comme on avait cité auparavant entrainera une augmentation du niveau de bruit ,ce qui va entrainer également une diminution du rapport signal sur bruit. Le rapport signal sur bruit influe directement sur les performance d’une connexion sans fils, une valeur plus élevée signifie que le niveau du signal est plus fort par rapport au niveau de bruit, ce qui permet des débits plus élevés et moins de retransmission ,ce qui offrira un meilleur débit, l’inverse est aussi vrai. Un rapport signal sur bruit inferieur entrainement un fonctionnement des équipements sans fil à des débits inferieurs, Un SNR de 30 dB, par exemple, peut permettre à un point d’accès 802.11g et un client de communiquer à 24 Mbps, alors qu'un SNR de 15 dB ne peut permettre que 6 Mbps. Pour définir une valeur du rapport signal sur bruit référentielle, nous avons effectué des tests a différents niveau du rapport signal sur bruit, ces test sont basé sur l’impact de la valeur du SNR sur l’association d’un client a un point d’accès et le temps de chargement d’une page web particulière, voici ce que nous avons trouvé : • > 40 dB = excellent signal 5 bars, toujours associé, très vite. • 25dB à 40dB = très bon signal 3-4 barres, toujours associé, très vite. • 15dB à 25dB = Signal faible 2 barres, toujours associée, le plus souvent rapide. • 10dB - 15dB = signal très faible 1 bar, principalement associée; surtout lente. • 5 dB à 10 dB = Aucun signal; aucune association. Sur la base de ces tests, nous recommandons un rapport signal sur bruit environ 20 dB pour définir la limite de la portée de chaque point d'accès. Cela assure une constante d'association avec assez de bonnes performances lors de l'exécution des fonctions de réseau typiques, telles que la navigation Web et la synchronisation e-mail. Comme nous envisageons de déployer d’autres services plus exigeant en termes de débit sur notre réseau local sans fil, alors nous aurons probablement besoin d'un minimum SNR supérieur. Par exemple, Cisco
  • 81.
    CHAPITRE III :Etude et planification du réseau WLAN 81 recommande 25 dB pour leurs systèmes de téléphonie vocale sans fil. En outre, une plus grande marge (à savoir, plus haut SNR), est nécessaire dans notre cas, vu qu’il il ya beaucoup de propagation du signal par trajets multiples et beaucoup de collisions. Gardez à l'esprit que le niveau correspondant de la performance ne se produit que dans la limite de chaque point d'accès. Les utilisateurs associant avec des points d'accès de plus près auront de meilleures performances et un meilleur SNR. Revenons a la distribution du niveau du SNR dans notre cas , une valeur du rapport signal sur bruit comprise entre 40dB et 50dB pourra être considérée comme étant élevée, on s’aperçois donc que notre première planification et assez bonne, mais pour mieux évaluer les performance de notre réseau sans fil nous devons effectuer une simulation de la couverture radio qui pourra être faite a l’aide des outils simulation, comme le logiciel Modeler de la société OPNET (auquel il faut rajouter le module pour les réseaux sans fil) ou encore RingMaster de la société Trapèze Networks . Pour que le résultat de la simulation soit significatif, il est nécessaire de saisir beaucoup d’informations, comme le plan des bureaux, la position des principaux obstacles, le matériau et l’épaisseur des cloisons, etc. Il peut parfois s’agir de l’unique solution possible si un test sur le terrain est impossible : par exemple si le bâtiment est en construction. Ces outils peuvent être utilisés avant l’audit de site pour avoir une idée du nombre d’AP nécessaires et de leur positionnement (au moins approximatif) pour obtenir la meilleure couverture et le meilleur débit, mais il est tout de même fortement conseillé de faire des analyses sur le terrain avant le déploiement proprement dit. Le prix de ces logiciels est assez élevé, ce qui explique sans doute en grande partie pourquoi les audits de site sont encore de loin la solution préférée par les entreprises pour préparer les déploiements. Recommandation Lors de la mesure du rapport SNR, il faut utiliser si possible des cartes wifi et des antennes équivalentes a ceux que les utilisateurs pourront utiliser. Un écart de gain d'antenne entre l'équipement d’études et le dispositif de l'utilisateur, par exemple, se traduira probablement par des utilisateurs ayant des performances différentes que ce que vous avez mesuré au cours de l'étude. En outre, certaines cartes wifi ont de meilleures puissances de transmission et de sensibilité de réception que d'autres, qui peuvent secouer vos résultats si vous n'utilisez pas les cartes wifi que les utilisateurs auront, dans ce cas il est préférable d’utiliser des équipements de performances moyennes pour mieux encadrer les estimations.
  • 82.
    CHAPITRE III :Etude et planification du réseau WLAN 82 Les modifications apportées à l'installation, telles que l'ajout de murs et le mouvement des grandes boîtes affecteront SNR. Ainsi, il est généralement nécessaire de revérifier le SNR de temps en temps, même après que le réseau soit opérationnel. Cela peut se faire facilement avec les outils comme Surveyor de Airmagnet que nous avions utilisé nous même. Si vous trouvez que le SNR est inférieur à la valeur minimale dans certaines zones, envisagez donc d'installer des points d'accès supplémentaires ou déplacer les points d’accès existants pour mieux distribuer les signaux. 7. Conclusion L'utilisation d'une valeur du rapport signal sur bruit particuliers comme une référence pour la couverture du signal est certainement une bonne pratique, mais avant de rendre le système opérationnel, il faut effectuer toujours des tests de vérification approfondis des applications, telles que la navigation Web, e-mail et la téléphonie vocale, en utilisant les machines clientes typiques seront effectivement utiliser le réseau. Cela donne l'assurance que notre réseau sans fil sera en effet satisfaisant à nos exigences de couverture et de performances. Apres la conception de notre réseau Lan et WLAN nous devons impérativement les sécurisés, nous devons donc choisir une politique de sécurité selon nos besoin et nos exigences. Dans le chapitre suivant nous essaierons de présenter deux politiques de sécurité du réseau interne ainsi que les méthodes de sécurité qui devra être mise en place pour sécuriser le réseau sans fils.
  • 83.
    83 CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité
  • 84.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 84 1. Introduction Une bonne compréhension de notre conception du réseau va donc nous aider à bien choisir notre solution d’optimisation et de sécurité. Il nous est essentiel de disposer d’informations précises sur l’infrastructure physique de notre réseau et les problèmes qui peuvent avoir une incidence sur son fonctionnement. En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le choix des solutions pour l’optimisation et la sécurisation de notre réseau. Nous essaierons de présenter de manière détaillée la solution retenue pour l’optimisation des performances de notre réseau ainsi que les politiques de sécurité à mettre en place. L'objectif principal de cette deuxième partie est de mettre en place une solution d'optimisation de la bande passante et de sécurisation du trafic du réseau par la segmentation des domaines de diffusion et la mise en place des politiques de sécurité. 2. Optimisation et gestion de trafic 2.1. Etude critique du réseau du Carré Eden L'étude du réseau du Carre Eden, nous à permis de prévoir un nombre importants de contraintes pourront réduire ses performances. Contraintes :  Augmentation rapide du nombre des utilisateurs  Volume accru du trafic généré par chaque utilisateur  Echange volumineux de fichiers entre utilisateurs.  Applications toujours plus complexes et contraignantes en terme de délais.  Les collisions important dans notre réseau =>Réseau non segmenté Spécification des besoins Suite à l’étude critique que nous avions effectué , plusieurs besoins ont été relevés, il s’agit donc des besoin fonctionnels qui expriment donc une action qui doit être menée sur l’infrastructure à définir en réponse a une demande , Pour se faire nous aurons besoin donc de segmenter le réseau en créant des VLANs.La
  • 85.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 85 raison de cette segmentation se résume dans le but d’isoler le trafic entre les différents segments et d’offrir d’avantage de bande passante par utilisateur et par groupe de travail. Quant aux besoins non fonctionnels on peut donc les regrouper autours des points suivant :  Besoin d'indisponibilité du réseau  Besoin d'administration du réseau.  Besoin d'incompatibilité du commutateur à pouvoir gérer les bandes passantes  Besoin de performance des commutateurs  Besoin de sécurité des commutateurs 2.2. Présentation générale des solutions de segmentation : 2.2.1. Segmentation à l'aide des ponts Les ponts sont des équipements de couche 2 qui transmettent des trames de données en fonction de l'adresse MAC. Les ponts lisent l'adresse MAC de l'émetteur des paquets de données reçus sur les ports entrants pour découvrir les équipements de chaque segment. Les adresses MAC sont ensuite utilisées pour créer une table de commutation qui permet au pont de bloquer les paquets qu'il n'est pas nécessaire de transmettre à partir du segment local. Bien que le fonctionnement d'un pont soit transparent pour les autres équipements, l'utilisation d'un pont augmente de dix à trente pour cent la latence d'un réseau. Cette latence résulte du processus de prise de décision qui a lieu avant l'envoi d'un paquet. Un pont est considéré comme un équipement de type Store-and-Forward, car il doit examiner le champ d'adresse de destination et calculer le code de redondance cyclique (CRC) dans le champ de séquence de contrôle de trame avant l'envoi d'une trame. Si le port de destination est occupé, le pont peut stocker temporairement la trame jusqu'à ce que le port soit de nouveau disponible. 2.2.2. Segmentation LAN à l'aide de routeurs Les routeurs assurent la segmentation des réseaux en ajoutant un coefficient de latence de 20 à 30 % sur un réseau commuté. Cette latence accrue est due au fonctionnement d'un routeur au niveau de la couche réseau qui utilise l'adresse IP pour déterminer le meilleur chemin vers le nœud de destination. Dans la segmentation LAN, les ponts et les commutateurs assurent la segmentation au sein d'un réseau ou d'un sous-réseau. Les routeurs assurent la connectivité entre les réseaux et les sous réseaux.
  • 86.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 86 En outre, les routeurs n'envoient pas de diffusion, tandis que les commutateurs et les ponts doivent transmettre des trames de diffusion. 2.2.3. Segmentation LAN à l'aide de commutateurs La commutation LAN réduit les pénuries de bande passante et les goulots d'étranglement sur le réseau, comme ceux qui se produisent entre plusieurs stations de travail et un serveur de fichiers distant. Un commutateur divise un réseau LAN en micro segments afin de réduire la taille des domaines de collision. Cependant, tous les hôtes connectés au commutateur restent dans le même domaine de diffusion. Dans un LAN Ethernet commuté parfait, les nœuds d'émission et de réception opèrent comme s'ils étaient les seuls nœuds du réseau. Lorsque ces deux nœuds établissent une liaison, ou circuit virtuel, ils accèdent au maximum de bande passante disponible. Ces liaisons offrent un débit plus important que les LAN Ethernet connectés via des ponts ou des concentrateurs. Figure IV.2.2.2 Réseau segmenté par routeur
  • 87.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 87 2.3. Choix d'une solution Le réseau du Carré Eden est un réseau commuté Ethernet. La solution de segmentation LAN à base de commutateurs, en implémentant le VLAN de niveau 1 réduira considérablement la taille des domaines de diffusion. Cette solution est attrayante du point de vue gestion du réseau et de bande passantes. Elle pourra répondre à notre besoin d'optimisation du réseau dans l'utilisation de ses services (voix/données/images). 2.3.1 Méthodes d'implantation des VLANs On distingue généralement trois techniques pour construire des VLAN, en fonction de leurs méthodes de travail, nous pouvons les associer à une couche particulière du modèle OSI. VLAN de niveau 1 ou VLAN par port : Cette technique consiste à affecter chaque port des commutateurs à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc affectés statiquement à un VLAN. Les ports des commutateurs sont associés à des VLANs comme le montre la figure ci-dessous :  Ports 1,2 et 3 appartiennent au VLAN 1  Ports 4,5 et 6 au VLAN 2  Ports 7 et 8 au VLAN 3 Figure IV.2.2.3 Réseau segmenté par commutateur
  • 88.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 88 VLAN de niveau 2 ou VLAN MAC : Cette technique consiste à affecter chaque adresse MAC à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par son adresse MAC. En faite il s'agit à partir de l'association Mac/VLAN d'affecter dynamiquement les ports des commutateurs à chacun des VLAN. VLAN de niveau 3 ou VLAN d'adresses réseaux : Cette technique consiste à affecter un protocole de niveau 3 ou de niveau supérieur à un VLAN. L'appartenance d'une carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu'elle utilise. En faite il s'agit à partir de l'association protocole/VLAN d'affecter dynamiquement les ports des commutateurs a chacun des VLAN. Le tableau ci-dessous représente les différents types de VLans et leurs caractéristiques : Figure IV.2.3.1(a) : Vlan par port Figure IV.2.3.1(b) Vlan par adresse MAC
  • 89.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 89 Types de VLANs Description VLAN niveau 1 Basé sur le port  Configuration la plus courante.  Ports affectés individuellement à un ou plusieurs VLANs  Facile à mettre en place.  Couplé à DHCP, les VLAN par ports offrent une bonne flexibilité.  Les interfaces de gestion des commutateurs permettent une configuration facile. VLAN niveau 2 Basé sur l'adresse MAC  Rarement utilisé.  L'adresse MAC détermine l'appartenance à un VLAN  Les commutateurs s'échangent leurs tables d'adresses MAC ce qui peut ralentir les performances.  Difficile à administrer, à dépanner et à gérer. VLAN niveau 3 Basé sur le protocole  Pas utilisé aujourd'hui à cause de la présence de DHCP  L'adresse IP (sous-réseau) détermine l'appartenance à un VLAN 2.4 Etude de la solution retenue Avant d'arriver à la conception technique globale de la solution retenue, nous ferons une étude détaillée sur les fonctionnalités des VLANs et des équipements retenus pour notre infrastructure. Celle-ci nous permettra de définir à travers ces fonctionnalités, une meilleure planification du déploiement. 2.4.1. Généralités Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel (logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un département, etc.), sans se heurter à Tableau IV.2.3.1 : type de Vlans
  • 90.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 90 des contraintes physiques (dispersion des ordinateurs, câblage informatique inapproprié, etc.). Les propriétés offertes par les VLAN sont :  support des transferts de données allant jusqu'à 1Gb/s.  peut couvrir un bâtiment, relier plusieurs bâtiments ou encore s'étendre au niveau d'un réseau plus large.  une station peut appartenir a plusieurs VLAN simultanément. C'est un sous réseau de niveau 2 construit à partir d'une technologie permettant de cloisonner des réseaux par usage de filtres de sécurité. Cette technologie balise le domaine de diffusion auquel ces machines appartiennent de telle sorte que le trafic intra-domaine ne puisse pas être vu par des tiers n'appartenant pas à ce domaine de diffusion. 2.4.2 Avantages offerts par les VLANs Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi de nombreux avantages et permet de nombreuses applications intéressantes. Parmi les avantages liés à la mise en œuvre d'un VLAN, on retiendra notamment: La flexibilité de segmentation du réseau. Les utilisateurs et les ressources entre lesquels les communications sont fréquentes peuvent être regroupés sans devoir prendre en considération leur localisation physique. Il est aussi envisageable qu'une station appartienne à plusieurs VLAN en même temps; La simplification de la gestion. L'ajout de nouveaux éléments ou le déplacement d'éléments existants peut être réalisé rapidement et simplement sans devoir manipuler les connexions physiques dans le local technique; L'augmentation considérable des performances du réseau. Comme le trafic réseau d'un groupe d'utilisateurs est confiné au sein du VLAN qui lui est associé, de la bande passante est libérée, ce qui augmente les performances du réseau;
  • 91.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 91 Une meilleure utilisation des serveurs réseaux. Lorsqu'un serveur possède une interface réseau compatible avec le VLAN, l'administrateur a l'opportunité de faire appartenir ce serveur à plusieurs VLAN en même temps. Cette appartenance à de multiples VLAN permet de réduire le trafic qui doit être routé (traité au niveau du protocole de niveau supérieur, par exemple IP) "de" et "vers" ce serveur; et donc d'optimiser ce trafic. Tout comme le découpage d'un disque dur en plusieurs partitions permet d'augmenter les performances (la fragmentation peut être diminuée) de son ordinateur, le VLAN améliore considérablement l'utilisation du réseau. Le renforcement de la sécurité du réseau. Les frontières virtuelles créées par les VLAN ne pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des communications est renforcée. La technologie évolutive et à faible coût. La simplicité de la méthode d'accès et la facilité de l'interconnexion avec les autres technologies ont fait d'Ethernet une technologie évolutive à faible coût quelles que soient les catégories d'utilisateurs. La régulation de la bande passante. Un des concepts fondamentaux des réseaux Ethernet est la notion d'émission d'un message réseau vers l'ensemble des éléments connectés au même commutateur. Malheureusement, ce type d'émission augmente sérieusement le trafic réseau au sein du composant de connexion. Même si les vitesses de transmission ne cessent d'augmenter, il est important de pouvoir contrôler ce gaspillage de capacité de trafic (bande passante). Ici encore, le VLAN offre à l'administrateur les moyens de réguler l'utilisation de la capacité de trafic disponible au sein de l'infrastructure. 2.4.2. Les différents VLANs à implémenter Après l’analyse des trafics, nous avons défini sept VLANs repartis comme suit :  VLAN ADMINISTRATION : Vlan 10 Dans ce Vlan, nous retrouverons toutes les machines de l’administration.·  VLAN Chambre standard : Vlan20
  • 92.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 92 Ce Vlan est destiné aux clients dans les chambres Standard.  VLAN CHAMBRE DELUXE: Vlan 30 Ce Vlan est destiné aux clients dans les chambres Deluxe.  VLAN SUITE JUNIORE: Vlan 40 Ce Vlan est destiné aux clients dans les SUITE JUNIOR.  VLAN VOIP: Vlan 50 Ce Vlan est destiné au trafic de la voix sur IP circulant sur notre réseau.  VLAN TELEDISTRIBUTION: Vlan 60 Ce Vlan, est destiné au trafic de la télédistribution.  VLAN CAMERA DE SURVEILLANCE: Vlan 70 Ce Vlan, est destiné au trafic des cameras de surveillance. 3. Solutions de sécurité informatique 3.1. Les ingrédients de l'insécurité Les éléments qui favorisent et entretiennent un incendie sont: l'oxygène, la chaleur et les produits inflammables (essence, gaz, mazout, etc.). L'enlèvement d'un élément de ce triangle a comme effet la disparition de l'incendie. En matière de sécurité informatique, on joue aussi avec trois éléments:  Ceux qui attaquent (par exemple les hackers),  Les vulnérabilités des systèmes et des logiciels,  Les ressources et/ou les informations ciblées. On peut en déduire que sans ceux qui attaquent, les protections n'ont plus de sens. Il en va de même pour les vulnérabilités des systèmes et des logiciels, etc. 3.2. Classification des hackers : 3.2.1 Les hackers internes à l’administration
  • 93.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 93 La protection contre la malveillance interne est difficile à détecter et à assurer, notamment dans le cas des administrateurs de systèmes disposant par définition de beaucoup de droits d'accès. Les attaquants internes sont plus dangereux car ils connaissent les places des données sensibles (cahiers de charges, appels d'offres, documents sensibles des policiers, etc.) et parmi leurs motivations on peut citer:  Le mécontentement par rapport à leur travail, à leur rémunération, etc.  Le sabotage envers leurs collègues,  La jalousie et des problèmes psychologiques, Le besoin de reconnaissance ou de valorisation de leurs compétences, etc. 3.2.2. Les hackers externes à l’administration La majorité des solutions de sécurité protègent les systèmes contre des attaquants externes. Ceux-ci ciblent des systèmes ou des applications des entreprises et des organisations. Les motivations de leurs auteurs peuvent être:  Le désir de montrer leurs compétences dans la maîtrise d'un système ou d'une application. Certains peuvent être "gentils" car ils ne détruisent rien mais laissent simplement des traces de leur passage et conseillent d'appliquer plus de règles de sécurité.  Des raisons "professionnelles" (dans le cas de ceux qui font un métier de la cybercriminalité) ayant comme but de:  Récolter un maximum d'informations sensibles dans les domaines économique, politique, etc.  Détruire des systèmes afin de mettre en difficulté des sociétés concurrentes, etc. Le désir de sabotage orienté vers un service, vers une société ou vers un réseau. Des attaques Dos ont mis à l'arrêt des services fournis par Internet, parfois en paralysant les communications d'un pays entier. 3.3. Les vulnérabilités Les vulnérabilités sont les faiblesses d'un système ou d'un logiciel. Ces faiblesses sont exploitées par des hackers pour obtenir un accès à une ressource
  • 94.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 94 (CPU, réseaux, etc.) ou à une information. Les faiblesses se trouvent au niveau des services, des applications et des utilisateurs: Les services: en général, ces services sont l'e-mail, le Web ou toute autre application qui communique avec une autre application. On citera par exemple les attaques contre IIS en 2001 qui ont permis la diffusion duver CodeRed. Les vulnérabilités des services sont très dangereuses car elles ne nécessitent pas une intervention humaine. Les applications: les vulnérabilités des applications nécessitent souvent une intervention humaine: par exemple l'utilisateur qui active un virus par un clic de souris. Quoi de plus alléchant que des mails avec le sujet "I love you" ou avec un contenu informant que vous êtes l'heureux gagnant d'une énorme somme d'argent? Un simple clic et on se retrouve victime d'un virus, worm ou spyware. Les actions des utilisateurs: les utilisateurs peuvent engendrer des vulnérabilités sur des systèmes ou des logiciels par des configurations mauvaises ou incorrectes. Un utilisateur peut reconfigurer un système ou un logiciel et ouvrir ainsi des portes à des hackers. Dans ce cas, même le système de sécurisation le plus performant, s'il est mal configuré, offre une brèche de sécurité. 3.4. Mesures de protection et stratégie de sécurité Les mesures de protection consistent à utiliser:  Un firewall  Des logiciels antivirus,  Des outils de détection des vulnérabilités,  Des VLAN pour séparer et filtrer le trafic réseau,  Des systèmes IDP (détection et prévention d'intrusion),  Des systèmes host intrusion prévention (des outils de détection et prévention des attaques sur des systèmes/serveurs critiques),  Un système de monitoring proactif,  Des systèmes de contrôle d'accès (l’authentification, les permissions, etc.),  Le cryptage des fichiers contenant des données sensibles.
  • 95.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 95 L'éducation des utilisateurs aux bonnes pratiques de sécurité sera également essentielle. 3.4.1 Sécurité du réseau Ethernet interne La sécurité du réseau interne dépend principalement des moyens qui lui sont alloués. Il faut donc peser le pour et le contre et trouver le juste équilibre entre le coût de la sécurisation des données et les risques que ferait courir un éventuel piratage. Lors de la mise en place d’une politique de sécurisation du réseau interne, il faut toujours garder à l’esprit que la sécurité du réseau doit être au service des utilisateurs et ne doit pas les gêner dans leur travail. Par ailleurs, il ne faut pas oublier qu’en plus de sécuriser l’accès aux données, la politique de sécurité doit aussi s’assurer de la protection physique des données et de l’outil de production contre des évènements destructeurs tels que l’incendie, le vol etc. Pour qu’une telle sécurité soit fiable, plusieurs démarches ont été envisagées. Celles-ci sont capitales. Il faut penser à la protection des locaux à travers une bonne politique de sécurité, tel que des filtrages à l’accès au réseau de l’entreprise, la mise à l’écart du matériel sensible (serveurs, routeurs, Switchs). Les sauvegardes doivent également être délocalisées, ce qui empêchera la perte des données en cas d’incendie ou vol. Retenons par ailleurs qu’une politique de sécurité du réseau local ne doit pas se limiter à la protection du matériel, mais aussi à la protection des données elles- mêmes. Il est alors important de faire un transfert ou une copie des données vers un site extérieur afin de prévenir un quelconque événement néfaste. L’anticipation est une des règles d’or de la sécurité dans un réseau interne. On doit penser tout d’abord à utiliser des serveurs aux services redondants qui assurent la continuité du service. Ensuite, il faut configurer un contrôleur de domaine (CD) qui va surveiller le réseau et les accès. Il faut impérativement penser à faire une copie de ce dernier vers l’additionnel contrôleur de domaine (ACD) situé sur un autre serveur. De ce fait, en cas de problème avec le serveur principal, toutes les données ne sont pas perdues. Toutes les nouvelles mises à jour sont répliquées toutes les 15 minutes vers l’ACD. En cas de panne ou d’arrêt brusque du contrôleur de domaine, l’additionnel contrôleur de domaine pourra prendre le relais. Pour que le matériel fonctionne en permanence, sans interruption brusque, il faut prévoir des solutions contre des microcoupures et coupures de courant pour éviter un arrêt non sécurisé des serveurs. Pour ce faire, nous avons par exemple des onduleurs, des injecteurs, qui permettent d’éviter un redémarrage long des
  • 96.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 96 services et ainsi favorisent une utilisation continue du matériel y compris durant la coupure de courant. Freiner l’accès au réseau interne L’accès à un réseau interne est très facile quand la politique de sécurité n’est pas bien définie ou lorsqu’il y a négligence de la part de l’administrateur du réseau. Pour éviter tout accès à un réseau interne, plusieurs règles de bases doivent être respectées :  Désactiver les prises réseaux non utilisées de sorte à éviter les connections imprévues et l’écoute du réseau (les mots de passe peuvent circuler en clair, comme bon nombre d’informations stratégiques).  Restreindre l’allocation dynamique d’adresse IP de sorte à ne pas simplifier la tâche d’un éventuel pirate.  Utiliser au maximum des équipements de commutation (Switch) de telle sorte à limiter les possibilités d’écoute sur le réseau.  Séparer le réseau interne de l’accès externe en utilisant des éléments dédiés à cela, comme par exemple le firewall qui joue un rôle très important dans un réseau local. Son but est de protéger le réseau contre toute attaque venant de l’extérieur. Une question alors : La fuite des données ou les actes de piratages proviennent- ils uniquement de l’extérieur? Nous ne pouvons nous limiter à la sécurisation du réseau contre les attaques extérieures car il est plus facile pour un pirate en tant qu’utilisateur local d’accéder aux données sécurisées. Il y a ainsi des règles qu’applique le firewall telles qu’effectuer des filtrages à l’accès d’un réseau externe ou ne pas donner à un utilisateur local l’accès à certaines données. Il est à noter qu’aucune manipulation du firewall ne doit se faire en présence de tout utilisateur local, celui ci pourrait être un espion. Les mesures de sécurité, par exemple des mots de passes alpha numériques, sont également conseillées pour tout accès au firewall et aux différents serveurs. Mais même en ayant une politique de sécurité de réseau interne fiable grâce à la protection de ses locaux, données, logiciels, et de ses mises à jours, un pirate ne trouvera-t-il pas toujours une faille dans le système ? C’est le défi auquel l’administrateur réseau est, et sera toujours confronté : savoir anticiper mais aussi savoir faire preuve d’une très grande réactivité. 3.4.3 Précautions
  • 97.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 97 Pour éviter tout problème de perte ou de gestion des missions par les employés c’est préférable de restreindre la responsabilité de chaque mission en mettant des firewalls logiciel comme IPtables et des antivirus pour chaque machine du VLAN administration ainsi qu’un système d’authentification KERBEROS si nécessaire. L’implémentation d’un système de sauvegarde des données est recommandée afin de faciliter la restauration en de pertes. L’absence de maîtrise d’un produit, quelles que soit ses qualités intrinsèques, peut conduire à remettre en cause sa sécurité, par exemple suite à une erreur d’administration, ou à l’absence d’application des mises à jour par crainte des pannes. La bonne maîtrise dans le temps d’un produit repose naturellement sur l’adéquation entre son niveau de complexité (fonctionnalités, architecture) et les capacités (effectifs et compétences techniques) de l’équipe chargée de le mettre en œuvre. Elle est de plus facilitée par un certain nombre de facteurs intrinsèques au produit, notamment la qualité de sa documentation et de ses interfaces de paramétrage (qui, idéalement, ne doivent pas permettre la définition d’une configuration non sécurisée), la disponibilité d’un mécanisme de mise à jour robuste et documenté, et celle d’outils pertinents d’aide à la résolution de problèmes (journaux, validation de configuration, etc.).[21] 3.5. Architecture de sécurité 3.5.1 Architecture basique L’architecture la plus simple que l’on puisse proposer est présentée sur la Figure 1. L’interconnexion se résume ici à un simple pare-feu. Les serveurs applicatifs et les dispositifs de stockage sont directement connectés au LAN. Les flux applicatifs considérés ici sont représentés par les schémas. Il s’agit ici :  des flux de consultation internet depuis le LAN.  des flux d’interaction des internautes depuis internet avec les machines internes.  des flux de mise à disposition de contenu sur le web depuis le LAN.
  • 98.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 98 Les flèches représentées correspondent aux flux logiques. Il est évident que les échanges réels sont bidirectionnels. Toutefois la flèche indique quelle est l’entité à l’origine de la création du flux (point de départ de la flèche) et celle qui n’est pas à l’initiative du flux mais qui en est destinataire (pointée par la flèche). Identifier les flux et leur sens est primordial. La plupart des pare-feux modernes sont aujourd’hui contextuels (stateful). Ils sauront donc identifier les paquets provenant du WAN dont l’émission n’a pas été sollicitée par une machine du LAN et les filtrer en conséquence. Cette architecture souffre de plusieurs problèmes de conception : Problème 1 : les flux depuis Internet vers le client traversent systématiquement le LAN. Ce point est extrêmement problématique. La moindre erreur risque donc de permettre à un internaute quelconque d’adresser un paquet initialement destiné au client vers n’importe quelle machine du LAN. Un attaquant pourrait tirer parti d’une telle erreur pour adresser un paquet d’attaque à l’une des machines du LAN. A partir de l’une des machines du LAN, il est généralement relativement aisé de prendre contrôle de la majeure partie des composants du réseau interne. Problème 2 : le pare-feu est un point névralgique de l’architecture. Si l’attaquant parvient à le compromettre où à le rendre complètement traversant (il ne fait alors que router des paquets entre ses interfaces), il peut alors accéder à l’ensemble du réseau cible. Ici encore, la compromission multiple de machines s’avère relativement aisée. 3.5.2 Architecture « accès DMZ via le pare-feu » Le premier problème peut être aisément corrigé en connectant directement les serveurs et machines de l’administration sur une des interfaces réseau du pare- feu. L’architecture obtenue est représentée sur la Figure ci-dessous. Figure IV.3.5.1 : architecture basique et identification des flux
  • 99.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 99 Note importante : dans ce cas, seuls sont déplacés les serveurs devant être accessibles de l’extérieur. Les serveurs à usage interne (serveurs de fichier, base de données par exemple) doivent rester quant à eux connectés directement au LAN et accessibles uniquement depuis ce dernier. [22] Les clients sont situes dans la zone DMZ, cela protège les machines de l’administration d’une attaque provenant e l’intérieur du LAN. Cette architecture corrige correctement le premier problème (les flux à destination des clients ne circulent plus au travers du LAN) mais pas les deux autres dans la mesure où le pare-feu constitue toujours un point critique de l’architecture et où aucune protection spécifique n’est mise en place pour prendre en compte le risque de défiguration des machines clients. Donc la deuxième architecture est la plus correspondante dans notre cas pour définir une architecture de sécurité du réseau d’hôtel.[22] 4. Sécurité du réseau sans fil Installer un réseau sans fil sans le sécuriser peut permettre à des personnes non autorisées d'écouter, de modifier et d'accéder à ce réseau. Il est donc indispensable de sécuriser les réseaux sans fil dès leur installation. Il est possible de sécuriser son réseau de façon plus ou moins forte selon les objectifs de sécurité et les ressources que l'on y accorde. La sécurité d'un réseau sans fil peut être réalisée à différents niveaux : configuration des équipements et choix des protocoles. 4.1. Sécurité des points d'accès Figure IV.3.5.2 : architecture « accès DMZ via le parefeu »
  • 100.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 100 Changer la configuration par défaut des points d'accès est une première étape essentielle dans la sécurisation du réseau sans fil. Pour cela il est nécessaire de changer les mots de passe par défaut (notamment administrateur) par des mots de passe plus forts. Modifier la configuration Par défaut (adressage privé utilisé avec DHCP ou adresse de l'interface par exemple) :  Désactiver les services disponibles non utilisés (SNMP, Telnet...) ;  Régler la puissance d'émission du point d'accès au minimum nécessaire. Il est également important de mettre à jour le firmware de son point d'accès dès que le constructeur propose une mise à jour (résolution d'un problème de sécurité sur un des services disponibles par exemple). Cette mise à jour suppose des tests préalables poussés afin de vérifier la compatibilité avec l'existant une fois la mise à jour effectuée. Changer le SSID par défaut est une bonne pratique, largement recommandé dans la plupart des cas. Il est judicieux de ne pas choisir un SSID attractif. La plupart des points d'accès donne la possibilité de désactiver la diffusion du SSID. Il ne s'agit nullement d'une mesure de sécurité car une personne informée pourra obtenir le SSID très facilement : le SSID est une donnée qui est visible lors de l'association d'un client. Ensuite, il s'agit de configurer le point d'accès en activant les options de sécurité répondant aux objectifs choisis en matière de sécurité. Les différents protocoles relatifs à la sécurité des réseaux sans fil sont exposés dans la suite de ce document. L'activation de la journalisation de l'activité du point d'accès est nécessaire. Exporter ces journaux vers une machine de confiance, sécurisée dans cette optique, est largement recommandé. Enfin, au-delà de la sécurité logique, il est nécessaire de prendre en compte la sécurité physique des points d'accès. Une protection des points d'accès doit être mise en place afin de contrer un utilisateur mal intentionné ayant un accès physique aux bornes (connexion de l'attaquant par câble croisé ou câble série, modification matérielle de la totalité ou d'une partie du point d'accès ...).[18]
  • 101.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 101 4.2. Sécurité des protocoles liés aux réseaux sans fil De nombreuses évolutions protocolaires ont rythmé la sécurité des réseaux sans fil. Les objectifs sont les suivants :  Garantir la confidentialité des données ;  Permettre l'authentification des clients ;  Garantir l'intégrité des données. 4.2.1. Chiffrement L'absence de chiffrement dans un réseau sans fil laisse l'ensemble des données qui transitent sur ce réseau à la merci d'une personne munie d'une carte Wifi et située dans le périmètre de réception des ondes émises par les autres équipements. En raison de la propagation des ondes, il est nécessaire de protéger son réseau par un chiffrement approprié. Le protocole initialement proposé pour le chiffrement des communications entre éléments d'un réseau sans fil est le WEP (Wired Equivalent Privacy). Le WEP est une option proposée dans le standard IEEE 802.11 et, en plus de chiffrement, traite de l'authentification et de l'intégrité. Le principe du chiffrement WEP est un chiffrement par flot utilisant l'algorithme RC4 et nécessitant un secret partagé encore appelé clef. Cette clef peut être de longueur 64 ou 128 bits (compte tenu de l'utilisation d'un vecteur d'initialisation de 24 bits, la longueur réelle du secret partagé est de 40 ou 104 bits). Le chiffrement proposé par le protocole WEP s'est révélé rapidement inapte à offrir un niveau de sécurité suffisant pour la plupart des utilisateurs. En effet, il est possible en écoutant une quantité suffisante de trafic (cela peut prendre plusieurs heures selon l'activité du réseau), de casser une clef WEP en quelques secondes. Une documentation abondante est disponible sur l'Internet sur le sujet. Plusieurs outils d'attaque publics permettent de faire cela facilement, sans matériel spécialisé, dans un temps raisonnable. En plus de la faiblesse de la mise en œuvre du chiffrement, le chiffrement WEP introduit des problèmes de gestion de clefs qui rapidement dégradent la sécurité du réseau, en plus d'être extrêmement difficile à mettre en place selon une politique rigoureuse. Afin d'augmenter la sécurité fournie par le chiffrement WEP, il est nécessaire de changer les clefs sur une base de temps à définir (dépend de la taille du réseau, du nombre d'utilisateurs, du trafic engendré...). Il faut également changer les clefs lors du départ d'un employé, du vol d'un portable...
  • 102.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 102 Enfin, il faut également garder à l'esprit que tous les utilisateurs d'un réseau Wi-Fi protégé avec le chiffrement WEP partagent la même clef WEP. Ainsi, tout utilisateur peut écouter les autres utilisateurs comme si aucun chiffrement n'était en place. L'évolution du chiffrement dans les réseaux sans fil est apparue avec le standard WPA (Wi-Fi Protected Access). Cette norme était initialement une norme intermédiaire en attendant la finition et la ratification de la norme IEEE 802.11i, devant apporter un niveau de sécurité satisfaisant pour l'ensemble des exigences en matière de chiffrement, authentification et intégrité. Le WPA introduit le protocole TKIP (Temporal Key Integrity Protocol), qui sera repris par la norme IEEE 802.11i. Ce protocole permet de remédier aux faiblesses du chiffrement WEP en introduisant un chiffrement par paquet ainsi qu'un changement automatique des clefs de chiffrement. L'algorithme de chiffrement sous-jacent est toujours le RC4 utilisé avec des clefs de 128 bits, mais contrairement au WEP, il est utilisé plus correctement. Des méthodes d'attaques ont cependant été publiées en novembre 2008 ; elles permettent sous certaines conditions de déchiffrer quelques trames arbitraires émises par le point d'accès vers une station et d'injecter de nouvelles trames (empoisonnement de table ARP par exemple). Les bulletins d'actualité CERTA-2008-ACT-045 et CERTA-2008-ACT- 047 abordent ces problèmes.[18] Le standard WPA définit deux modes distincts : WPA-PSK Mode : repose sur l'utilisation d'un secret partagé pour l'authentification ; WPA Enterprise Mode : repose sur l'utilisation d'un serveur RADIUS pour l'authentification. Le mode WPA-PSK est vulnérable à des attaques par dictionnaire. Il est donc très important de choisir un secret (passphrase) fort afin de limiter ces risques. Cependant, en ce qui concerne le chiffrement dans les réseaux sans fil, le WPA apporte un niveau de sécurité supérieur à celui fourni par le WEP. Il permet aujourd'hui de se prémunir contre la plupart des attaques cryptographiques connues contre le protocole de chiffrement WEP. La dernière évolution en date de juin 2004, est la ratification de la norme IEEE 802.11i, aussi appelé WPA2 dans la documentation grand public. Ce standard reprend la grande majorité des principes et protocoles apportés par WPA, avec une différence notoire dans le cas du chiffrement : l'intégration de l'algorithme AES (Advanced Encryption Standard - FIPS-197). Les protocoles de chiffrement WEP et
  • 103.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 103 TKIP sont toujours présents. Deux autres méthodes de chiffrement sont aussi incluses dans IEEE 802.11i en plus des chiffrements WEP et TKIP : WRAP (Wireless Robust Authenticated Protocol) : s'appuyant sur le mode opératoire OCB (Offset Codebook) d’AES ; CCMP (Counter Mode with CBC MAC Protocol) : s'appuyant sur le mode opératoire CCM (Counter with CBC-MAC) d’AES ; Le chiffrement CCMP est le chiffrement recommandé dans le cadre de la norme IEEE 802.11i. Ce chiffrement, s'appuyant sur AES, utilise des clefs de 128 bits avec un vecteur d'initialisation de 48 bits. Ces mécanismes cryptographiques sont assez récents et peu de produits disponibles sont certifiés WPA2. Le recul est donc faible quant aux vulnérabilités potentielles de cette norme. Même si ce recul existe pour l'algorithme AES, le niveau de sécurité dépend fortement de l'utilisation et de la mise en œuvre de AES. De plus, WPA2 pose aujourd'hui des problèmes de compatibilité pour les clients d'un réseau sans-fil. En plus du matériel non encore répandu, tous les systèmes d'exploitation n'intègrent pas la norme WPA2 ou IEEE 802.11i. A ce jour, compte tenu de la disponibilité du matériel, des problèmes de compatibilité et en l'absence de recul suffisant, la solution la plus sûre d'un point de vue cryptographique reste l'utilisation simultanée d'IPSEC. Contrairement au standard IEEE 802.11i, IPSEC bénéficie d'un recul certain quant à la qualité de la sécurité offerte. Le coût de mise en œuvre est sans doute plus élevé. Néanmoins l'absence de recul concernant la norme IEEE 802.11i oblige à être prudent lorsque l'on désire un chiffrement d'un niveau éprouvé.[18] 4.2.2. Authentification La norme 802.11 initiale spécifie deux modes d'authentification : ouvert ou partagé (open ou shared). L'authentification ouverte signifie l'absence d'authentification et l'authentification partagée signifie l'utilisation d'un secret partagé, en l'occurrence une clef WEP dans un mécanisme challenge/réponse. Il est vite apparu que ce mode d'authentification était très largement insuffisant, induisant même une dégradation du chiffrement par l'intermédiaire du challenge/réponse donnant de la matière à des attaques cryptographiques. La plupart des équipements donnent la possibilité de filtrer les adresses MAC ayant le droit de s'associer avec le point d'accès. Cette liste doit être reproduite sur chaque point d'accès du réseau sans fil si l'on désire garder toute la mobilité du réseau.
  • 104.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 104 Ce seul mécanisme d'authentification s'avère souvent inefficace. En effet, il est toujours possible pour un utilisateur mal intentionné de changer son adresse MAC afin d'usurper l'identité d'un client valide. L'adresse MAC est censée servir d'identifiant unique au niveau de la couche 2, cependant tous les systèmes d'exploitation actuels permettent à un utilisateur mal intentionné de modifier cette donnée très facilement. A ces problèmes d'authentification, une solution plus robuste est apportée par la norme IEEE 802.1X. Le standard IEEE 802.1X est utilisable en environnement sans fil comme en environnement filaire. IEEE 802.1X définit une encapsulation d’EAP (Extensible Authentication Protocol) au dessus du protocole IEEE 802.11. L'équipement d'accès au réseau sans fil (point d'accès) relaie les trames entre le client et le serveur d'authentification (serveur RADIUS), sans connaître le protocole EAP utilisé. Dans le cas où le protocole d'authentification prend en charge la gestion des clefs, celles-ci sont transmises à l'équipement d'accès puis au client dans le cadre du chiffrement. Dans le cadre de l'authentification en environnement sans fil basée sur le protocole 802.1X, différentes variantes d’EAP sont disponibles aujourd'hui : Protocole EAP-MD5 (EAP - Message Digest 5) ; Protocole LEAP (Lightweight EAP) développé par Cisco ; Protocole EAP-TLS (EAP - Transport Layer Security) crée par Microsoft et accepté sous la norme RFC 2716 ; Protocole EAP-TTLS (EAP - Tunneled Transport Layer Security) développé par Funk Software et Certicom ; Protocole PEAP (Protected EAP) développé par Microsoft, Cisco et RSA Security ... Certaines de ces variantes se sont révélées trop faible pour prendre en charge une authentification de qualité satisfaisante. Ainsi EAP-MD5 et LEAP sont peu à peu abandonnés car ils sont sujet à des attaques par dictionnaire et des attaques de type homme du milieu (man-in-the-middle).La norme IEEE 802.1X est incluse dans les standards WPA et WPA2 (IEEE 802.11i). Il est évident que les recommandations de sécurité portent également sur le serveur d'authentification (serveur RADIUS) qui devra être à jour en ce qui concerne les vulnérabilités. En plus de la sécurité logicielle, une attention particulière devra être prise quant à l'insertion du serveur RADIUS dans son architecture réseau. 4.2.3. Intégrité
  • 105.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 105 Le standard IEEE 802.11 définit un mécanisme sommaire d'intégrité des trames basé sur le CRC (Control Redondancy Check). Cette valeur est appelée ICV (Integrity Check Value) et est de longueur 4 octets. Les propriétés du CRC sont telles que le niveau de sécurité atteint est très faible. Il est ainsi possible pour un utilisateur mal intentionné de modifier une trame tout en mettant à jour le CRC afin de créer une trame modifiée valide. Le standard WPA introduit un mécanisme d'intégrité beaucoup plus robuste appelé MIC (Message Integrity Check - aussi appelé Michael dans le cadre du WPA et WPA2). Ce champ a pour longueur 8 octets et permet de se prémunir contre le rejet (qui consiste à réémettre une trame interceptée de telle sorte qu'elle soit valide au sens cryptographique). Le standard WPA2 ou IEEE 802.11i utilise également ce mécanisme d'intégrité. L'utilisation de MIC est recommandée afin d'obtenir un niveau de sécurité plus élevé que l'utilisation d'une simple valeur de type CRC, présentant des propriétés cryptographiques trop faibles pour assurer l'intégrité des trames dans un réseau sans fil. 4.4. Sécurité après la mise en place du réseau sans fil Afin de conserver un niveau de sécurité satisfaisant de son réseau sans fil, il est nécessaire d'appliquer les mêmes procédures que pour les réseaux filaires, à savoir :  Informer les utilisateurs : la sécurité d'un réseau passe avant tout par la prévention, la sensibilisation et la formation des utilisateurs ;  Gérer et surveiller son réseau : la gestion et la surveillance d'un réseau sans fil peut, elles aussi, s'effectuer à deux niveaux. La surveillance au niveau IP avec un système de détection d'intrusions classique (prelude, snort, ...) et la surveillance au niveau physique (sans fil) avec des outils dédiés (Kismet, ...).  Auditer son réseau : l'audit d'un réseau sans fil s'effectue en deux parties. Un audit physique pour s'assurer que le réseau sans fil ne diffuse pas d'informations dans des zones non désirées et qu'il n'existe pas de réseau sans fil non désiré dans le périmètre à sécuriser. Un audit informatique, comme pour les autres réseaux, pour mesurer l'écart entre le niveau de sécurité obtenu et celui désiré. La sécurité d'un réseau sans fil comprend aussi sa gestion. Gérer un réseau sans fil nécessite de s'appuyer sur une équipe ayant une bonne connaissance des réseaux et de la sécurité des systèmes d'information.
  • 106.
    CHAPITRE IV :Optimisation du LAN et études des politiques de sécurité 106 5. Conclusion : La segmentation du réseau d'une part permettra à l'administrateur d'être plus à l'aise dans la gestion de son réseau, d'autre part elle nous permettra de bien dimensionner notre bande passante par priorité de segment et d’isoler les trafics entre les différents segments pour des raisons de confidentialité et de sécurité. Malgré des problèmes de sécurité intrinsèques, les réseaux sans fil continuent et continueront probablement à se développer. Il est donc important de bien connaître les problèmes liés à la mise en place de ce type de réseaux afin d'en limiter les effets néfastes. Il est également important de déterminer le niveau de sécurité souhaité afin de mettre en place une solution en adéquation avec ce choix.
  • 107.
    107 Conclusion Générale Le travailréalisé dans le cadre de ce projet de fin d’étude mène à la conception d’un réseau Lan et Wlan d’une part et l’optimisation et la sécurisation d’une autre part. En partant du fait que notre conception devra répondre aux exigences dans le cahier de charge délivré par le bureau d’étude, nous nous sommes particulièrement focalisés sur les techniques de conception et de dimensionnement du réseau Lan et WLan qui s’adapte aux contraintes de chaque service. Ces systèmes ainsi conçus permettront aux utilisateurs du réseau un accès aux services fiable et sécurisé. Pour répondre à cette problématique, nous avons commencé tout d’abord par recueillir toutes les informations nécessaires à la conception d'un réseau local , en commençant par l'aperçu de l'étude effectué par le bureau d’étude, mais en effectuant des recherches supplémentaires au besoin. Pour réaliser adéquatement la conception du réseau local de l’hôtel du Carré Eden, nous avons effectuez les tâches suivantes :  Une documentation contenant les exigences des utilisateurs (interprétation de l'aperçu de l'étude)  Un document global de conception, qui renferme la conception du réseau local logique (topologie logique) et une conception physique complète (topologie physique) qui comprend :  Détails se rapportant à tous les répartiteurs principaux et intermédiaires qui seront installés dans les locaux techniques,  Le nombre de ports de commutation d'interconnexions horizontales, verticales et de réseau local nécessaires pour appuyer la croissance actuelle et future.  Liste des équipements électronique du réseau local : matériel (concentrateurs, commutateurs, routeurs, serveurs et autres) exigés  Caractéristiques concernant le type et la quantité de média pour les parcours de câbles verticaux et horizontaux  Caractéristiques portant sur la sécurité, les réseaux locaux virtuels et la séparation des réseaux du personnel et des clients.  Une analyse des avantages et des inconvénients de la conception proposée pour le réseau local Voici dons un récapitulatif des medias et matériel dont nous allons nous service pour la réalisation du réseau local : Câble 32 paires catégorie 5 / Classe D : Câblage de rocade informatique
  • 108.
    108 Câbles 4 pairestorsadée F/UTP catégorie 6a : liaisons terminales entre les armoires et les prises. Fibres optiques multi-mode(OM2) 50/125µ : Interconnexion des répartiteurs intermédiaires au répartiteur principal. AVAYA Ethernet 2526T-PWR pour la couche d’accès. AVAYA Ethernet 2550T pour la couche de distribution. Pour la planification du réseau Wlan, nous avons eu recours au logiciel Surveyor de Airmagnet pour réaliser l’audit de site qui va nous permettre d’avoir une idée sur la distribution du signal et du bruit dans les zones de l’hôtel, le choix des position des points d’accès était arbitraire et il pourra être modifié selon les modifications futures concernant dans un premier temps les constructions et les modifications de l’environnement. Le déploiement du réseau sans fils est basé sur l’utilisation des point d’accès légers 802.11g en indoor et les point d’accès légers 802.11n en outdoor. La mise en place du Réseau Local Virtuel (VLAN), nous permettra de segmenter le réseau du Carré Eden pour isoler les différents flux d’une par et sécuriser l’accès aux ressource d’une autre part. Par nos connaissances universitaires associées à la pratique de l'entreprise et notre volonté de relever ce défi, et afin de satisfaire l'ensemble des utilisateurs du réseau du carré Eden dans l'utilisation des services du réseau convenablement, nous avions proposé d’implémenter la solution de VLAN permettant l'augmentation considérable des performances du réseau. Ce travail non exhaustif offre quelques perspectives que nous présentons ci- après. L’étude établit dans ce travail ne comprend pas une analyse approfondi des flux et trafics qui pourront circuler sur le réseau, l’existence des flux exigent en terme de bande passante et de délais nécessitera la mise en place des mécanismes de qualité de service. Les commutateurs étant des outils de base de la conception d'architecture réseau, il est important de noter aujourd'hui, pour concevoir correctement une architecture réseau, il faudra considérer : les besoins en application, les schémas de trafic et la composition des groupes de travail afin de garantir la bande passante délivrée par port de ces équipements qui contribue fortement au développement des réseau locaux. Lors de travaux futurs, il est envisageable d’étudier en détail la logistique d’installation en établissant tous les documents techniques relatifs à chaque
  • 109.
    109 système. Cela permettrad’effectuer une étude technico-économique approfondie sur l’ensemble du réseau du Carré Eden. Etudier la faisabilité de mettre en œuvre des réseaux de nouvelle génération tel que les réseaux optiques permettant d’atteindre des débits de 5Tbps à un coût relativement faible.
  • 110.
    110 BIBLIOGRAPHIE [1] : REFERENTIELTECHNIQUE ‘Voix - Données – Images CABLAGE BANALISE MULTIMEDIA’ Version 3.2.1 mars 2009 [2] : Site officiel de google https://maps.google.com/maps?hl=en&tab=wl (Mars 2013) [3] : Site officiel de Wikipedia http://docwiki.cisco.com/wiki/Ethernet_Technologies ,(Mars 2013), [4] : Nathalie Bruneaut et Thomas TAM ‘ Les réseaux Ethernet, Token Ringet FDDI’ guill.net Mars 2011 [5] : Bachar Salim HAGGAR, ‘Conception de réseaux de campus’ octobre 2009 [6] : Site officiel de Wikipedia https://en.wikipedia.org/wiki/Asynchronous_Transfer_Mode (Mars 2013). [7] : Site officiel de Wikipedia http://fr.wikipedia.org/wiki/Paire_torsad%C3%A9e [8] : Cours ‘câblage VDI’ BAC-PRO SEN POITIERS 2009 [9] : SIEMON Nouveau Guide du Câblage Informatique des Bâtiments (2010) [10] : Master GETEL ‘UV Technologie de l'optique guidée’ Version Septembre 2007 [11] : AFNOR ‘Réseau locaux sur fibre optique’ Version 1990 [12] : Site officiel de marocventes http://www.marocventes.com/Informatique (avril 2013) [13] : Site officiel de http://www.touslescables.com/bobine-aide.html (avril 2013) [14] : Site officiel de memoireenligne http://www.memoireonline.com/07/09/2324/m_Les-technologies-sans-fil-Le-Wi- Fi-et-la-Securite1.html (avril 2013) [15] : Site officiel de Wikipedia http://fr.wikipedia.org/wiki/IEEE_802.11 (avril 2013)
  • 111.
    111 [16] : CiscoMag‘Migration des Access Points autonomes vers Cisco Unified Wireless ‘ Mars 2008 [17] Site officiel de Wikipedia http://fr.wikipedia.org/wiki/Liste_des_canaux_Wi-Fi Mais 2013 [18] Aurleien Geron ‘Wifi professionnel La norme 802.11 Le déploiement et la sécurité’ 3eme édition DUNOD [19] Katia RUNSER PHD ‘Méthodologie de planification de réseau locaux sans-fil’ [20] Fluke network Fiche technique ‘AirMagnet Survey’ 2010 [21] : www.memoireonline.com – «sécurité et télécommunications » (Mai 2013) [22] Site officiel de Agence nationale de la sécurité des systèmes d’information http://www.ssi.gouv.fr/ – «sécurité-des-réseaux » « date de visite : 15/05/2013 ».
  • 112.
    112 EIA/TIA 568 ISO/IEC11801 EN 50173 TSB 36 TSB 40 TSB 67 IEC 1156-1 IEC 1156-2 IEC 1156-3 IEC 1156-4 EN 50167 EN 50168 EN 50169 US INTERNATIONAL EUROPEEN EEIIAA//TTIIAA556688 IISSOO//IIEECC1111880011 EENN 5500117733 TTSSBB 3366 TTSSBB 4400 TTSSBB 6677 IIEECC 11115566--11 IIEECC 11115566--22 IIEECC 11115566--33 IIEECC 11115566--44 EENN 5500116677 EENN 5500116688 EENN 5500116699 TSB 36 TSB 40 TSB 53 TSB 67 IEC 1156-1 IEC 1156-2 IEC 1156-3 IEC 1156-4 ANNEXE A : Normes de câblage US INTERNATIONAL EUROPEEN EIA/TIA 568 ISO/IEC 11801 EN 50173 EN 50167 EN 50168 EN 50169 EIA/TIA : Au niveau américain l’EIA/TIA a défini le standard EIA/TIA 568, composé de bulletins techniques définissant les composants à utiliser :  TSB 36 A : câble de distribution horizontale (câble à paires torsadées 100),  TSB 40 : prise murale : connectique RJ 45, raccordement par contact auto dénudant (CAD),  TSB 53 : câbles blindés 150 et connecteurs hermaphrodites,  TSB 67 : test des liens 100 installés. ISO 11801 : La première édition de la norme fût votée en juillet 1974. Elle définit une installation de câblage complète :  Architecture,  Composants,  Performances. Elle traite de manière plus approfondie les problèmes de blindage et de mise à la terre. EN 50 173 : Figure 1 : Normes de câblage
  • 113.
    113 La norme EuropéenneEN 50 173 suit les spécifications de la norme ISO 11 801 avec quelques précisions régionale. On retrouve également des précisions comme :  EN 50 167 : câbles de distribution horizontale avec quelques spécifications supplémentaires (Gaine zéro Halogène, impédance),  EN 50 168 : Câbles pour cordons,  EN 50 169 : Câbles de distribution verticale ANNEXE B : Bande de fréquences LES BANDES DE FREQUENCES Les cinq couches radio du standard IEEE 802.11/a/b/g utilisent des fréquences situées dans des bandes dites sans licence. Il s'agit de bandes libres, qui ne nécessitent pas d'autorisation de la part d'un organisme de réglementation. Les deux bandes sans licence utilisées dans 802.11/a/b/g sont : la bande ISM (Industrial, Scientifique and Médical) la bande U-NII (Unlicenced-National Information Infrastructure). La bande ISM La bande ISM utilisée dans 802.11/b/g correspond à une bande de fréquence située autour de 2.4 GHz, avec une largeur de bande de 83.5 MHz (2.4 MHz – 2.483 5 MHz). Cette bande ISM est reconnue par les principaux organismes de réglementation, tels que la FCC au Etats-Unis, l'ETSI en Europe, l'ART en France. Figure 1 : Bandes de fréquences
  • 114.
    114 La bande U-NII Labande sans licence U-NII est située autour de 5 GHz. Elle offre une largeur de bande de 300 MHz (plus importante que celle de la bande ISM qui est égale à 83.5 MHz). Cette bande n'est pas continue mais elle est divisée en trois sous-bandes distinctes de 100 MHz. Dans chaque sous bande la puissance d'émission autorisée est différente. La première et la deuxième sous bande concernent des transmissions en intérieur. La troisième sous-bande concerne des transmissions en extérieur. Comme pour la bande ISM, la disponibilité de ces trois bandes dépend de la zone géographique. Les Etats-Unis utilisent la totalité des sous- bandes, l'Europe n'utilise que les deux premières et le Japon la première. Les organismes chargés de réguler l'utilisation des fréquences radio sont : l'ETSI (European Telecommunications Standards Institute) en Europe, la FCC (Federal Communications Commission) aux Etats-Unis, le MKK (Kensa-kentei Kyokai) au Japon . ANNEXE C : Protocole LWAPP Historique Nous avons vu que dans l'architecture centralisée, les points d'accès abandonnaient certaines fonctions au profit des contrôleurs, et qu'ils étaient pilotés par ceux-ci. Pour communiquer entre elles, ces entités utilisent un protocole d'échange : il s'agit de LWAPP (LightWeight Access Point Protocol). Celui-ci a d'abord été introduit en 2002 par la société Airespace, rachetée par Cisco en 2005. Le protocole LWAPP est une solution propre à Cisco (mais non propriétaire), qui n'est pas compatible avec les matériels d'autres constructeurs. LWAPP - Une solution basée sur un Protocole Ouvert La solution Cisco est basée sur le protocole LWAPP – LightWeight Access Point Protocol – qui est public et a servi de base de travail pour le groupe de normalisation CAPWAP de l’IETF, dont les travaux sont encore en cours. L’objectif de LWAPP est de définir un protocole de contrôle et de transport des données entre les points d’accès radio et le contrôleur WiFi (figure 1). Le point d’accès radio est entièrement piloté par le contrôleur, il n’est plus vu comme une ressource administrable individuellement, mais comme un élément du réseau Wireless, administrable centralement depuis le point unique qu’est le contrôleur.
  • 115.
    115 Figure 1 :Architecture de contrôle de transport Le protocole LWAPP est routable et il permet donc aux différents points d’accès radio de se trouver dans différents sous-réseau IP, tout en offrant un service identique en tout point du réseau (figure 2). Figure 2 : Répartition en sous-réseaux et contrôle Dans son fonctionnement traditionnel, le protocole LWAPP utilise deux canaux entre le point d’accès radio et le contrôleur. Le premier, utilisant le port UDP 12223, transporte les flux de contrôle, comme les demandes d’associations, d’authentification, les informations concernant l’environnement radio, etc.
  • 116.
    116 Ce canal estchiffré en AES, les données transitant par lui pouvant contenir des informations critiques en ce qui concerne la sécurité Le second canal, utilisant le port UDP 12222, transporte le flux des utilisateurs jusqu’au contrôleur Wifi, où ils seront ensuite envoyés vers le réseau filaire en fonction des règles associées au client radio et après avoir passé des filtrages de sécurité éventuels (figure 3). Figure 3 : Fonctionnement du protocole LWAPP Le partage des tâches entre les points d’accès radio et le contrôleur peut être résumé de la façon suivante : • Tout ce qui est « temps réel » est traité par le point d’accès. Par exemple les acquittements des trames radio, la gestion de la QoS dans les buffers d’émission, le chiffrement et le déchiffrement des trames radio en AES ou l’émission des beacons toutes les 100 ms. • Tout ce qui demande du traitement et un échange protocolaire plus important, comme la phase d’association, l’authentification du client auprès d’un serveur RADIUS ou l’analyse de l’environnement radio, sera traité par le contrôleur.