Le document décrit l'architecture physique et logique d'un réseau complexe avec plusieurs bâtiments interconnectés, des serveurs et l'utilisation de VLAN pour la gestion des sous-réseaux. Il aborde également la nécessité de sécuriser les services avec des outils tels que DHCP, DNS, et des systèmes d'authentification comme LDAP et RADIUS. Enfin, il mentionne des services supplémentaires comme un proxy de cache, un firewall, un système VPN, et l'hébergement web pour les utilisateurs.

1. MiNET et ses services
Maisel INT NETwork par définition
28 Septembre 2010

2. Bienvenue
✤ Architecture physique
✤ Architecture logique
✤ Services en pagaille
✤ Et si on cassait tout ?

3. Architecture physique
✤ 700 chambres reliées en ethernet dans des salles de brassage (une
dans chaque batîment)
✤ 6+1 batîments reliés à un routeur en fibre optique
✤ 1 salle serveurs avec 20 lames Sun (Dual Opteron/2Go/60Go)
✤ 2 serveurs TV au U6

5. Architecture logique
✤ DISI nous donne 157.159.40.x jusqu’à 157.159.47.255 (2048 IPs)
✤ Diviser pour règner : chaque batîment Ui se voit attribué la plage
157.159.4i.0 à 157.159.4i.255
✤ Protéger les services : créer un réseau interne pour les administrer
(192.168.1.0 par exemple)
✤ Mettre du WIFI (172.16.x.x), etc..

6. Un peu le bazar...

7. Rangement en VLAN
✤ VLAN, pour Virtual LAN
✤ Dans le routeur on définit des sous-réseaux qui seront
automatiquement propagés aux autres équipements
✤ On définit sur le switch ensuite vers quel VLAN orienté l’ordinateur
connecté sur un port

8. Il habite à l’U4 donc VLAN 44
Il est connecté sur le
port 42 du RCOM 1

9. !
interface FastEthernet0/42
description 4594
switchport access vlan 44
switchport mode access
dot1x pae authenticator
dot1x port-control auto
dot1x host-mode multi-host
dot1x violation-mode protect
dot1x timeout tx-period 2
dot1x timeout supp-timeout 5
dot1x guest-vlan 15
dot1x auth-fail vlan 15
spanning-tree portfast
!

10. interface Vlan44
ip address 157.159.44.1 255.255.255.0
ip helper-address 192.168.1.3
ip helper-address 192.168.1.5
ip wccp web-cache redirect in
ip pim version 1
ip pim sparse-mode
ip sap listen
end

11. Et d’autres VLANs
!
interface Vlan100
description Admin
ip address 192.168.1.1 255.255.255.0
ip access-group vlan_admin in
ip access-group vlan_admin out
no ip redirects
no ip unreachables
no ip proxy-arp
no ip route-cache cef
no ip route-cache
no ip mroute-cache
end
!
interface Vlan10
description Vlan WiFi
no ip address
ip pim version 1
ip pim sparse-mode
ip sap listen
end
!
qui ne sont pas routés sur Internet

12. Texte

13. OK !
On peut tous se connecter mais c’est pas très automatique tout ça

14. Gros mots
✤ LDAP
✤ RADIUS
✤ DHCP
✤ DNS
✤ Proxy

15. LDAP
Là où sont stockées toutes vos données

16. Chaque service en a besoin.
S’il tombe, tout tombe !

17. RADIUS
autorise l’adhérent à utiliser le réseau

19. Oups... mauvais mot de passe !
...
dot1x guest-vlan 15
dot1x auth-fail vlan 15
...

21. Et si ça marche, on entre dans le VLAN 4i

22. Can I haz IP ?

23. DHCP

24. Oh hai ! I’m still here

26. OK!
Le réseau se configure automatiquement,
on va voir si Google marche.

27. Quel IP se cache derrière le domaine google.fr ?

28. $ nslookup google.fr
Server:! ! 157.159.40.55
Address:! 157.159.40.55#53
Non-authoritative answer:
Name:!google.fr
Address: 66.249.92.104

29. Il n’y a plus qu’à se connecter sur cette IP pour obtenir ma page.
Comme elle n’appartient pas à mon réseau, pour l’atteindre,
je passe par la passerelle par défaut.

30. Qui a fait l’association domaine/IP ?
Bind

31. options {
! directory "/var/cache/bind/";
! // Port de sortie 53
! query-source address 157.159.40.55 port 53;
! listen-on {
! ! 157.159.40.55;
! ! 192.168.1.55;
! ! 127.0.0.1;
! ! 172.16.0.55;
! };
!
! allow-query { any; };
forwarders {
! ! 8.8.8.8;
! ! 157.159.10.12;
! ! 157.159.10.13;
! ! 157.159.11.13;
! };
};

32. Plus vite, plus vite !
Faisons du cache avec un proxy (transparent) !

33. SQUID
garde en cache les pages web
sait ce que vous regardez sur Internet

34. Vous en voulez encore ?
✤ Firewall
✤ VPN
✤ Nagios et serveur de logs

35. Bonus (à découvrir sur imagine.minet.net)
✤ Hébergement Web pour les adhérents et les assoces
✤ Mail @minet.net
✤ Listes de diffusion

36. Maintenant, on casse tout
✤ LDAP c’est has-been
✤ NoSQL, Document-store, Rails