LP RT IE - Rapport Stage - Baptiste Lopez - Version Finale - Censuree - Avec Signets PDF

Baptiste Lopez
Groupe Sous Mon Toit - Sige - Olivet

IUT Orlans - Dp. Informatique
Direction des Systmes d'Information
Anne universitaire 2011 - 2012
Gal Acke - DSI (Matre de stage)
Responsable : Grard Roszavolgyi
REMERCIEMENTS
Je tiens remercier M. Acke, mon matre de stage, qui m'a appris beaucoup, en termes de
professionnalisme avec les utilisateurs, de relationnel avec les fournisseurs, et de vision la fois globale
et affine du SI. Il m'a apport parfois un point de vue d'ingnieur, point de vue qui m'a t utile et que
j'ai eu rgulirement l'occasion d'apprcier.
Je souhaite aussi remercier M. Rozsavolgyi, qui m'a soutenu et cout attentivement lors de mes
dmarches pour obtenir mon stage, puis par la suite pour faire le point.
Enfin, je noublie pas les salaris des diffrents services et des diffrentes agences de la socit
Sous Mon Toit, ainsi que ses dirigeants, qui mont accueilli fort chaleureusement ds mon premier jour
de stage, et que jai pu ctoyer depuis. Leur aide, leur convivialit et leur sympathie sont autant de
points positifs de la vie dune entit que je ne peux ngliger et que je me dois dintgrer dans mes
remerciements, car cela contribue au bon droulement du stage que j'effectue la DSI.
SOMMAIRE
REMERCIEMENTS .......................................................................................................................................... 2
SOMMAIRE ................................................................................................................................................... 3
INTRODUCTION............................................................................................................................................. 1
1.
PRSENTATION DE LENTREPRISE ET DU CADRE .................................................................................... 2
2.
ANALYSE DE LEXISTANT : AVANT......................................................................................................... 6
2.1.
ARCHITECTURE GLOBALE ................................................................................................................... 6
2.2.
FONCTIONNEMENT EN AGENCES ET CONNEXION DES AGENCES INTERNET ...................................... 7
2.3.
ARCHITECTURE DU SIGE ET CENTRALISATION ................................................................................... 9
3.
ANALYSE DU PROJET : POURQUOI, POUR QUOI FAIRE ........................................................................ 15
3.1.
PROBLMATIQUE GLOBALE, ET OBJECTIF SPCIFIQUE DU RSEAU VPN............................................. 15
3.1.1.
PROBLMATIQUE GLOBALE INITIALE ET DCLENCHEUR DU PROJET .................................... 15
3.1.2.
OBJECTIFS SPCIFIQUES DU NOUVEAU RSEAU VPN .......................................................... 16
3.1.3.
DISPOSITIF CONCERN EN AGENCE : LA BOX VPN ............................................................... 17
3.2.
FONCTIONNALITS ET INTRTS PARTICULIERS DU NOUVEAU SYSTME VPN.................................... 17
3.3.
CONTRAINTES GNRALES DE LA NOUVELLE ARCHITECTURE ............................................................ 18
4.
RALISATION PROJET, MISE EN PLACE DU NOUVEAU RSEAU : PENDANT ........................................... 20
4.1.
UTILISATION DE LA FIBRE OPTIQUE .................................................................................................. 20
4.2.
INSTALLATION DES BOX EN AGENCE ................................................................................................ 21
4.3.
VRIFICATION DE LA CONFIGURATION, CONTINUIT DACCS ET FINALISATION................................ 22
4.3.1.
DHCP ................................................................................................................................ 22
4.3.2.
CONTINUIT DACCS ET SCHMA FINAL VPN..................................................................... 24
4.4.
5.
MIGRATION DES IMPRIMANTES....................................................................................................... 25

AVENIR DU SYSTME, OPTIMISATIONS ET UTILISATIONS : APRS ........................................................ 26
5.1.
DIFFRENCIATION DES FLUX DE NAVIGATION ET DACCS ................................................................ 26
5.2.
FILTRAGE ASSOCI........................................................................................................................... 26
5.3.
MEILLEURE ISOLATION DU RSEAU DU SIGE FACE LEXTRIEUR ................................................... 34
BILAN ......................................................................................................................................................... 35
ANNEXES .................................................................................................................................................... 36
ANNEXE 1 : MANUEL DINSTALLATION DE LA NBE200 ................................................................................ 36
ANNEXE 2 : SCHEMA DENSEMBLE (ANCIEN SYSTEME INFORMATIQUE)...................................................... 40
ANNEXE 3 : SCHEMA DENSEMBLE (NOUVEAU SYSTEME INFORMATIQUE).................................................. 41
TABLE DES ILLUSTRATIONS .......................................................................................................................... 42
INTRODUCTION
J'ai effectu au sein de la Direction des Systmes d'Information (DSI) du groupe Sous Mon Toit
un stage de seize semaines, du 19 juin 2012 au 19 octobre de cette mme anne, durant lequel jai suivi
les directives de mon matre de stage, Gal Acke.
Le sujet principal du stage, dcrit dans ce rapport, est la mise en place dun rseau VPN 1
oprateur, qui remplace terme lancien schma de rseau.
Ces directives concernent donc la mise en uvre, par la DSI, de dispositifs qui s'inscrivent dans
le cadre de cet amnagement du systme d'information du groupe. Les changements majoritaires
touchent surtout les agences, la partie centralise du SI 2 tant au sige. Il sagit aussi de maintenir et
pouvoir faire voluer par la suite cette nouvelle architecture, que ce soit en partie ou en totalit, par des
composants de rgulation complmentaires.
Conseiller pour, concevoir, raliser et mettre en uvre ces amnagements du systme
d'information constituent donc les objectifs premiers de ce sujet de stage. Pour cela, une partie de mon
rle tait la force de proposition, une autre a t de prendre en compte les diffrentes problmatiques et
de faire le lien avec les utilisateurs, les fournisseurs et les diffrents prestataires impliqus.
Dans le cadre de ce projet, sur laquelle je base ce rapport, j'ai donc mis en application des
techniques diverses. Ce sont principalement les aspects d'volution du SI sur le lieu de stage et ceux vis-vis des agences, surtout informatiques, que je dcris dans ce document, ainsi que leurs rsultats et
consquences.
Tout d'abord, jai pris la mesure de larchitecture dj en place, ainsi que de la problmatique
associe, afin de me rendre compte de mon domaine dintervention. Ensuite, lors de la phase
prparatoire la mise en place des lments du rseau VPN oprateur, jai pu commencer
mimprgner de la mise en place concrte du nouveau schma concernant la partie agence.
Lors de la phase de mise en place, jai t lcoute du prestataire concernant linstallation
proprement dite, tout dabord du lien qui relie le nouveau rseau au sige, et ensuite des box. Jai aussi
particip linstallation de ces box, en informant les utilisateurs des tches quils devaient excuter sous
mon contrle. Jai pu assurer la configuration de certains paramtres, tester et valider ces installations,
en lien avec le prestataire et les techniciens.
Enfin, j'ai assur de mme le suivi post-installation, rsolvant des problmes de tous ordres :
configuration rseau, oublis des utilisateurs par habitude de lancien systme, amliorations, etc.
Virtual Private Network (franais : Rseau Priv Virtuel). Son principe de fonctionnement, et surtout, son
intrt, sont expliqus en 3.2. tant le thme central de ce rapport, il y est voqu tout au long.
2
Cf. DSI
1
1. PRSENTATION DE LENTREPRISE ET DU CADRE

Le Groupe Sous Mon Toit (GSMT) est une socit dont lactivit principale est le service la
personne, allant de la garde denfants au maintien domicile des personnes ges, en passant par le
mnage. Le Groupe est certifi ISO 3 .
Il sagit, dans son cadre juridique et financier, dune holding cre en 2006, dont les parts sont
dtenues hauteur de 70 % par deux actionnaires, Xavier Mura et Daniel Cremades, respectivement
crateur - Directeur Gnral et Prsident du groupe, et leur associ e, la Banque Populaire, pour les 30 %
restants. La Banque Populaire se charge ainsi des oprations bancaires et financires du groupe.
Le groupe est compos de deux entits, n'tant distinctes quasiment que dans leur statut : Sous
Mon Toit (SMT), qui est gre totalement par le groupe, dont le sige social est Mulhouse et qui
englobe environ 30 agences, et Adho Services (Adho), entit dont les responsables d'agence sont des
directeurs associs , actionnaires de leur propre structure. Ils font nanmoins lobjet de facturations
directes et de limposition du matriel par le groupe. Ces directeurs associs, qui ne sont donc pas des
franchiss, sont rmunrs en fonction de leur Chiffre dAffaires. Ce Chiffre dAffaires est comptabilis
en heures de prestations places par mois, et en heures de prestations effectues. Les sites les plus
importants de cette entit sont Le Mans, Rennes, ou bien Colmar, Clermont-Ferrand, Bordeaux, Corbeil,
Marseille.
Trois grands ples dactivit se dtachent, concernant le groupe, ses satellites et dpendances : la
vente de prestations (Sous Mon Toit est une socit de service la personne), le recrutement des
intervenant(e)s (dont le/la responsable/directeur/directrice dagence est charg(e)), et la gestion, pour
laquelle GSMT est un relais entre les entits, leurs agences et le groupe. Le recrutement fait toutefois
lobjet dinformations au niveau du groupe, le rendant assez centralis.
Une des problmatiques, lie au recrutement, est quelque peu lie aussi la gestion, et surtout
la vente : il sagit de trouver les clients, les fidliser, et en assurer le suivi. Sous Mon Toit dispose dun
agrment par dpartement pour ses activits. Avec ladministratif (documents transfrer, contrats
grer, ...), qui choit de mme conjointement au sige, ce sont les champs dapplication du modle
dagences de Sous Mon Toit.
Tous ces ples dactivit, toutes ces problmatiques sont la base des applications mtier du
groupe, utilises la fois par le sige et par les agences. Les utilisateurs sont la fois les personnels des
services autres que la DSI, et les personnels en agence.
International Standard Organization (franais : Organisation Internationale de Normalisation). Lorganisme

international charg des standards et des normes.
3
Le sige du groupe Sous Mon Toit, cest--dire GSMT dans son ensemble, se trouve Olivet
(Loiret), au 563, rue de la Juine. Les diffrents services y sont rpartis dans un btiment deux tages,
le premier hbergeant la quasi- totalit des services :
-
la Direction des Systmes dInformation (DSI), dont le directeur est Gal Acke,
la Direction Qualit (DQ ou DQual), dont la directrice est la seule reprsentante, et qui gre par
exemple les agrments, les audits,
la Direction des Ressources Humaines (DRH), qui emploie deux salaries, et qui malgr son
intitul ne soccupe pas directement du recrutement de tous les personnels, mais de lensemble
des mille collaborateurs du groupe,
le Secrtariat de Direction (SD ou SecDir), qui emploie deux salaries,
la Direction Administratif et Financier (DAF), facturation du groupe et comptabilit

client/fournisseur.
Le deuxime tage abrite la Cellule Support (CS). Cest le ple ddi au support des agences, en
matire de suivi des clients et de leurs rendez- vous, de la prsence des ressources humaines (notamment
des intervenants), et donc en matire de suivi de prestations. La Cellule Support supple galement le
secrtariat de direction, en sa fonction de standard ; par ailleurs, elle est en charge de la prospection
client (numro Azur) et de la gestion partage des plannings des responsables dagence.
La DSI est en charge de la mise en service, de la maintenance et du cycle de vie du matriel

technique (informatique, tlphonique, ). Cest elle qui dfinit les orientations du Systme
dInformation du groupe, en relation avec les fournisseurs de matriels et de prestations informatiques.
Elle est compose de deux puis trois personnes (en me comptant comme stagiaire, plus un autre stagiaire
dveloppeur web arriv en septembre), qui soccupent de ladministration des rseaux et systmes
principalement, mais aussi de ladministration de donnes et web, et de certains dveloppements
logiciels et web. Mon rle consiste donc suppler le DSI 4 sur les diffrents problmes concrets ou plus
conceptuels qui se posent lui. La mise en place des lments de rseau compte parmi ces
problmatiques.
Le service met en place des solutions logicielles et matrielles (rseau, intranet, extranet, ),
entretient et maintient les postes de travail fixes ou portables (diffrentes types dutilisations donc
diffrentes marques, diffrentes factures, etc. ) ainsi que les rseaux et communications (systmes
dexploitation pour tlphones portables ou smartpho nes, ensemble de serveurs, dispositifs rseau,
dispositifs dinterconnexion).
Directeur des Systmes dInformation

3
Pour ce faire, elle est en lien avec des fournisseurs et des prestataires localiss principalement
Mulhouse et sur lagglomration orlanaise. Cela facilite certaines interventions ou demandes locales ;
les interventions sur des sites moins proches sont aussi prises en charge, ventuellement distance, par
les fournisseurs et/ou les prestataires. Il peut sagir pour eux de se substituer directement la DSI, ou
bien de la suppler en cas dimpossibilit pour elle de solutionner seule le problme.
Ces fournisseurs ont une grande importance dans la chane de dcision et de mise en uvre, car
ils lui fournissent, en vertu de contrats (quils ont parfois eux- mmes passs avec dautres fournisseurs),
prcds selon les cas par des devis :
-
les applications mtier, dveloppes en WLanguage (WinDev 12), et utilises par tous les
services du sige et les agences. Elles sont fournies par la socit Apologic (les applications
Lancelot, Perceval et Korrigan par exemple, une partie des applications mtier servant la
comptabilit et la gestion des ressources humaines, elles sont utilises des degrs divers par
lensemble des personnels, y compris le DSI, qui contribue aussi personnellement leur
maintenance et leur volution, en liaison avec Apologic) ;
un hbergement, dit mutualis (OVH), car loffre consiste en un produit mutualis : le

domaine, le site web et les adresses emails sont regroups au sein dun mme produit.
Par
exemple, la messagerie utilise le client de messagerie Outlook (pack Office), pour se connecter
via les comptes de courrier lectronique au serveur de messagerie OVH qui fournit les adresses
de courrier lectronique, et rcuprer les courriers lectroniques des utilisateurs ;
le site web, dans le cas de Leadel, le fournisseur qui le conoit ;
des prestations de fourniture de matriel, maintenance et dvolutivit rseau, tlphonie fixe,

tlphonie mobile et internet : contrats avec Rseaux-com, filiale de SFR, La Chapelle-StMesmin, dans le Loiret), parfois en lien avec dautres filiales SFR - exemple : logiciel et systme
Astra de BackStage (Astreinte tlphonique) ;
des prestations de fourniture de matriel et de maintenance rseau gnrale (contrats avec

Atlantis, qui se trouve Mulhouse) ;
le nouveau rseau oprateur VPN, qui a fait lobjet dune tude de projet pralable par M.
Hamitouche, chef de projet Rgions Ouest dune filiale spcialise de SFR. Cela couvre
plusieurs points, qui ont conduit la mise en place dudit rseau VPN. Ces points sont voqus
plus en dtail dans ce rapport.
du matriel (directement) : Dell
autres fournisseurs de postes et de serveurs : IBM, Lenovo ; de matriel rseau et

dinterconnexion : ZyXEL, (indirectement, par Rseaux-Com et SFR) OneAccess, TeraOptic,
Cisco, Huawei ; dquipements dinfrastructure matrielle et rseau : ESTCI
Concernant la partie logicielle, la DSI, mais aussi lensemble des utilisateurs selon les types de
besoins, utilisent des logiciels libres mais aussi des logiciels plus connus :
-
dvelopps par Microsoft pour leur usage bureautique, comme la suite Office 2007 et 2010,
des antivirus Kaspersky WorkStation (grs par Atlantis), Microsoft Security Essentials (MSE),
et dernirement Avast ! 7 (en test-complment de MSE), ces deux derniers tant en licences
gratuites/familiales
des navigateurs limage de Google Chrome, Mozilla Firefox ou Internet Explorer,
des systmes dexploitation Windows XP Professionnel, Windows Seven Professionnel et Mac

OS5 X, quasiment tous en licences OEM 6 , et des systmes dexploitations libres et gratuits (Cent
OS dans le cas de FAN 7 , Linux dans le cas de ZeroShell)
des distributions : Fully Automated Nagios est ainsi partiellement utilise, et une distribution
ZeroShell est mise en uvre (point abord plus en dtail la fin de ce rapport), tout cela orient
vers un usage professionnel.
Les sauvegardes et les fichiers de travail sont stocks sur diffrents serveurs (initialement, un
serveur nomm MOON, un serveur de stockage en rseau NAS, et un serveur de stockage dlocalis en
ligne) dans la salle serveurs. Dans cette mme salle se trouvent le serveur AD 8 , et le serveur TSE9 .
LAD est lannuaire informatique du groupe pour le rseau, et donc permet la gestion des droits
des utilisateurs et groupes dutilisateurs sur son arborescence de rpertoires et de fichiers. Par
lintermdiaire de partages (dossiers partags) et de lecteurs rseau (accs aux partages en connectant un
lecteur virtuel dessus), il permet deffectuer les transferts de documents, de donnes et dinformations
entre les agences et le sige dune part, et entre les services du sige dautre part.
Quant au TSE, pour simplifier, il lance le service Terminal, son composant serveur coute sur
son port prdfini, et lorsque les utilisateurs se connectent au TSE via le logiciel client Bureau
distance, ils se connectent en fait leur session dessus, dont les identifiants, mots de passe, droits
utilisateur et droits sur larborescence des fichiers sont r gis par lActive Directory. Cela permet laccs
aux applications mtier que le TSE hberge. Un processus est lanc par ouverture dune application,
quel quen soit lutilisateur qui la lanc.
Operating System (franais : Systme dExploitation)
Original Manufacturer Equipment (franais : Fabricant dquipement dOrigine), cest une licence qui va avec
une machine unique et donne, et aucune autre.
6
Fully Automated Nagios, distribution comprenant des outils prinstalls ddis la supervision de rseau, base
sur Cent OS, et pouvant se voir ajouter des logiciels bass aussi sur des distributions Red Hat Enterprise
Linux (RHEL).
8
Active Directory, qui va de pair avec son Systme dExploitation, Windows Server.
Terminal Server Edition, mme systme dexploitation que lActive Directory.

5
Ces deux machines figurent parmi les points les plus nvralgiques du systme dinformation du
groupe, et par extension, du systme informatique. Elles sont dans une baie informatique serveur ,
voque et dcrite ci-aprs, et relie elle- mme un coffret informatique mural. Des onduleurs 10 ,
positionns dans cette baie, sont galement prvus en fonctionnement dans un futur proche, pour
prendre le relais en douceur lors de l'extinction des matriels.
Il y a environ 85 postes informatiques grer sur lensemble du groupe (agences et sige), dont
une vingtaine au sige. Ce chiffre comprend des machines dans des tats de fonctionnement et demploi
diffrents, le parc tant trs htroclite. Le rseau Ethernet 11 du sige ntant pas utilis pour de la
tlphonie/voix sur IP 12 , la tlphonie du sige est compose de postes tlphoniques analogiques
filaires classiques. En revanche, le sige est quip dun autocommutateur tlphonique priv 13 , volutif
nativement vers la VoIP. Celui-ci est exploit aussi dans sa fonction de taxation : il permet danalyser
les appels tlphoniques reus par la Cellule Support, dont on peut tirer des statistiques et des donnes
de facturation des appels, avec des traitements paramtrables.
La prise en main distance gnrique des postes (hors applications mtier, dont le
fonctionnement est dcrit plus haut) se fait grce des logiciels propritaires, avec licences pour les
professionnels ou non : si TeamViewer en est un parfait exemple, dautres sont aussi utiliss pour des
raisons diffrentes (compatibilit avec les systmes dexploitation, processus diffrents, ). Cela
permet aussi de lancer des runions distance. La prsence dagences du groupe sur toute la France rend
ncessaire cette possibilit, utilise notamment pour effectuer les installations de box pour le nouveau
rseau VPN oprateur.
2. ANALYSE DE LEXISTANT : AVANT

2.1.
ARCHITECTURE GLOBALE
Larchitecture globale du systme informatique, prcdant la mise en place du rseau VPN

oprateur, est constitue des parties suivantes :
-
larchitecture du sige
les agences
la centralisation, effectue au sige
10
Machines composes de dispositifs intgrs les uns aux autres (mis en cascade) et destins convertir, stocker
et produire du courant, pour en viter des coupures (prolonges ou non) ou des micro-coupures qui se
produiraient sur le rseau lectrique. Elles sont nommes ainsi par abus de langage, ces machines tant des
Alimentations Sans Interruption (ASI), anglais : Uninterruptible Power Supply (UPS) (source Wikipdia)
11
Norme de rseau informatique cbl (cbles rseau RJ45 Ethernet, catgorie 5e et 6e au sige)
12
Anglais : Telephone on IP (ToIP) / Voice on IP (VoIP)
13
Anglais : Private Automatic Branch eXchange (PABX)

6
2.2.
FONCTIONNEMENT EN AGENCES ET CONNEXION DES AGENCES INTERNET
Les dispositifs dinterconnexion en agence sont des box oprateurs, soit la LiveBox dOrange,
soit la NeufBox de SFR, avec des offres professionnelles de lignes tlphoniques, Internet, Internet
mobile, et tlphonie mobile spcifiques, complmentaires ou de substitution.
Gnralement les quatre voient leurs lignes et contrats respectifs dissocis.
Loffre Internet correspond une liaison ADSL, la connexion en Internet mobile se fait par la 3G
(une cl USB spcifique avec une carte SIM dedans, raccorde lordinateur ; elle utilise les diverses
connexions rseau possibles pour se connecter Internet ; y compris par celles de tlphones portables).
Les box offrent la possibilit de sy connecter soit en Ethernet, soit en WiFi, soit les deux. Elles
sont limites par dfaut dans leur capacit faire office de routeur VPN (ce sont des box grand
public ).
Chaque agence utilise gnralement un ordinateur fixe (PC), parfois en plus, ou au lieu, un
ordinateur portable. Elle dispose dune imprimante, soit une imprimante rseau (connecte ou non la
box selon la configuration des lieux, et/ou lutilisation qui en est faite), soit une imprimante raccorde en
USB lordinateur (ou un des ordinateurs, selon les dotations en cblage informatique et/ou la
configuration des lieux).
La numrisation de documents, autre fonction des copieurs, seffectue de deux manires. Via la
Tlcopie et numrisation Windows, qui envoie le document numris sur le PC reli limprimante
(plutt avec un raccordement PC - imprimante en USB), et/ou via lenvoi du fichier numris par
courrier lectronique, un ou des destinataire(s) pr-paramtr(s) sur limprimante, que lutilisateur
slectionne ensuite sur le panneau de commande du copieur.
PC
Internet
Stagiaire
Assistant(e)
dagence
Ordinateur
portable Ethernet
(WiFi)
et/ou Wifi,
ou cl 3G
SFR
PC
ne
SL
FILTRE
Ethernet et/ou Wifi,

ou cl 3G SFR
USB
g
Li
AD

ou cl 3G SFR
Tlphone
NeufBox / LiveBox
Ethernet

ou cl 3G SFR
Ethernet et/ou WiFi,
ou cl 3G SFR
ou cl 3G SFR
PC
USB
Imprimante/
Copieur multifonction
Impression - Copie
Scan - Fax
Ordinateur
portable
Responsable Agence/
Directeur/Directrice Associ(e)
Ordinateur
portable
Responsable
Secteur/Rgion
Figure 1 : Une agence.

Les responsables de secteur/rgion peuvent aussi tre responsable dune agence (exemple : Lille, dont
la responsable dagence est galement la responsable de secteur/rgion).
Bien sr, les connexions rseau entre les machines (PC et portables) et linterconnexion (box, Internet)
se font selon le matriel disponible et la disposition des lieux.
Dune manire gnrale, les utilisateurs du systme VPN sont les personnels en agence. Le
systme est bas sur un client VPN ZyXEL, qui pr-paramtre son tunnel avec un fichier de
configuration fourni et au lancement, ltablit avec le sige grce au protocole IPSec. Toutes les donnes
transitent ensuite par ce tunnel VPN jusqu sa fermeture. Les donnes sortent de lagence encapsules
dans le tunnel VPN ZyXEL en passant par la box, encapsulant les donnes qui transitent par le web
(WAN) ; les flux transitent dans les deux sens. Le lancement du client VPN est obligatoire (voir 3.1.1 et
3.1.2.). Chaque agence, dont les ordinateurs sont uniquement connects sur une box, ne peut ouvrir
simultanment quun seul tunnel VPN.
Il y a cinq agences qui font exception, ce systme ne permettant pas de travailler avec les
applications mtier sur plusieurs machines simultanment : Grasse, Lille, Mulhouse, Nantes et Paris.
Ces agences ont un routeur Netgear supplmentaire derrire la box (cest--dire que le Netgear est
raccord la box). Il permet douvrir plusieurs tunnels VPN ZyXEL en mme temps, et ainsi travailler
sur les applications mtier depuis chaque poste de lagence (raccord au routeur Netgear)
simultanment.
En accdant Internet, les agences reoivent leur courrier avec leur compte Microsoft Outlook,
paramtr pour le rcuprer directement depuis le serveur mail dOVH (qui hberge les adresses de
courrier lectronique). Un webmail (bote de courrier lectronique accessible en ligne) permet un accs
dcentralis, palliatif ou complmentaire, au courrier lectronique de tous les utilisateurs du groupe.
Le client VPN ZyXEL se lance aussi sur les ordinateurs portables des agences quand les
utilisateurs sont en dehors de celles-ci. Cest le cas pour celles et ceux qui travaillent ou se connectent
depuis chez eux, dans une forme de tltravail.
BOX
(AUTORISE
TRANSIT DU
TUNNEL VPN)
AGENCE
OU
HORS AGENCE
DONNES
(TRAVAIL
ET
NAVIGATION
WEB)
INTERNET
TUNNEL VPN
CLIENT ZYXEL
(ENCAPSULE
DONNES)
Figure 2 : Schma de fonctionnement du VPN avant passage au rseau VPN oprateur.

La box autorise le transit VPN en tant ququipement rseau dinterconnexion, mais le tunnel est
surtout logiciel (client VPN ZyXEL). Il encapsule lui-mme les donnes de navigation web et de travail
(acheminement des flux dapplications mtier, documents et fichiers mtier). Ensuite, la box passe le
relais Internet pour le transit du tunnel et de ses donnes.
2.3.
ARCHITECTURE DU SIGE ET CENTRALISATION

Le serveur xxx.xxx.xx.xxx est le serveur DNS 14 et DHCP 15 du sige, en plus dtre son AD.
14
Domain Name System (franais : Systme de Noms de Domaine). Systme tablissant la correspondance entre
nom de domaine et adresse IP, et vice-versa. Ces correspondances sobtiennent aussi bien par le DNS lintrieur
dun rseau local, que sur Internet pour associer une adresse IP une URL (et inversement).
Dynamic Host Configuration Protocol (franais, non-officiel : Protocole dAllocation Dynamique des Htes).
Allocation dynamique des configurations IP dans un rseau. Ici, les postes du rseau local du sige sont en
DHCP ; avec le rseau VPN oprateur, le DHCP est fourni par la box VPN qui fait office de relais.
15
Figure 3 : Illustration de la configuration DHCP et DNS (xxx.xxx.xx.xxx) du sige.

La saisie des paramtres DNS sur les postes ne seffectue pas, car le paramtrage du DNS est
automatique (plus exactement, inclus dans la configuration offerte par le DHCP).
Les postes du sige nont pas besoin de se connecter en VPN, puisquils sont directement dans le
rseau local, que ce soit en Ethernet ou en se connectant via la WiFi du sige. Celle-ci est aussi prise en
compte dans le systme ZyXEL (mme marque, do interoprabilit possible).
Nanmoins, la borne WiFi (routeur-borne WiFi ZyXEL ZyAir) du sige ne fonctionne pas trs
bien, ou alatoirement, et le rseau filaire est donc sollicit au sige comme par les agences, au travers
de la retransmission des donnes en arrivant dans le rseau local du sige.
La salle serveurs abrite, outre certains lments dcrits ci-dessus et hbergeant les applications
mtier cits plus haut, le cur de rseau du groupe, linterconnexion entre le sige et les agences. Il
sagit concrtement de linterconnexion du rseau local du sige avec le rseau distant tendu : LAN 16 WAN17 , dans le coffret informatique mural.
Local Area Network (franais : Rseau Local - RL). Cest un rseau de base, taill pour les rseaux de petite
taille et/ou de faible tendue. Ici, le rseau localis au sige (donc le rseau du sige) est un LAN, car sa
dlimitation est restreinte au btiment du sige.
16
17
Wide Area Network (franais : Rseau tendu). Ici, le WAN correspond la sortie sur Internet, qui est
considr au mme comme extrieur au sige, donc au LAN. Le WAN regroupe tout ce qui est derrire le parefeu, du ct extrieur au sige sur le schma, incluant le botier SDSL et son rseau (car adresses publiques, alors
que le LAN est constitu dadresses prives), mme si une partie de ce rseau est prsente au sige. De plus, de
par son tendue, le WAN couvre toutes les agences, donc toute la France, de Brest/Quimper Strasbourg/Colmar
et de Lille Cannes en passant par Olivet. Cest une tendue considrable, justifiant dautant ce statut.
10
Ce coffret possde un commutateur (switch) central qui est rack dessus (cest--dire fix aux rails de
bti de la baie serveur, empil et tag avec dautres), sur lequel sont raccord s et brasss plusieurs
panneaux de brassage.
Sur deux de ces panneaux arrive le rseau Ethernet (raccordement des deux tages du sige, voir
ci-dessous pour plus ample explication). Sur quatre autres arrivent les prises et lignes tlphoniques
(connexion, par un systme de brassage, des prises tlphoniques aux lignes tlphoniques, elles-mmes
relies au PABX).
Figure 4 : La salle serveur et le cur du rseau du sige.

Les trois panneaux PABX sont brasss de la mme manire que le brassage des prises rseau sur les
panneaux de brassage RDC et ETC.
11
Sur la figure ci-dessus :

-
droite : une partie du contenu de la baie serveur (les serveurs, le routeur SDSL)
Sur la gauche : le coffret informatique mural
Les trois liens obliques sur la gauche correspondent au brassage (noir, violet, bleu-vert).
Le vert kaki est le cble reliant la patte LAN de lUSG au switch central.
Le vert est le lien entre le routeur SDSL et lUSG 200.
En bleu, rouge et orange, ce sont les liens directs entre les serveurs et le LAN sur le switch
central.
Le switch de brassage PABX est reli au routeur ONE300, lui- mme reli au PABX et la ligne
(H)SDSL laccompagnant.
Les diffrentes machines et serveurs du sige sont donc raccords de trois faons diffrentes :
brassage : les postes sont raccordes des prises rseau, qui sont relies aux panneaux de
brassage (un pour chaque tage), les panneaux de brassage tant donc brasss sur le switch
central ; ce type de raccordement de machine est assez occasionnel (par exemple, runion),
sur un commutateur (lui- mme raccord sur une prise rseau, brasse comme expliqu ci-dessus,
directement sur le switch central : pour les serveurs notamment, ou certains autres postes (de test
notamment).
Le rseau VPN est en fait le rseau du sige (xxx.xxx.xx.x /24). LUSG 18 , dont une des
fonctionnalits est le support intgr dun dispositif de tunnel VPN, est donc le point central de tout ce
systme ; il est gr par le sige, en termes de localisation et dattribution.
ZyXEL ZyWALL Unified Security Gateway (Passerelle de Scurit Unifie) USG 200. Cest le routeur
(NAT), le routeur VPN (en lien avec le client ZyXEL ZyWALL VPN des agences), le pare-feu, et le journal de
log de connexion-routage LAN et WAN du sige
18
12
Figure 5 : Configuration des passerelles VPN ZyXEL sur lUSG 200.

Cette passerelle fait lobjet dune configuration gnrale pour toutes les agences (cnxVpn, la premire
qui est active), hormis les cinq exceptions.
Cest la passerelle VPN des clients VPN ZyXEL des agences, pour le tunnel VPN les reliant au sige.
Les cinq exceptions sont les passerelles VPN agence[ville agence]ci-dessus.
Dans le sens Internet vers sige, les flux transitent des agences vers le sige par le WAN, puis
passent du WAN au LAN du sige par le biais du routage effectu par lUSG. Ils sont redirigs depuis la
patte du WAN (xxx.x.xxx.xx /29), vers la patte du LAN en xxx.xxx.xx.x /24 (sens inverse de la
translation NAT ci-dessous).
Dans le sens sige vers Internet, le WAN est cr comme une translation (NAT19 ) dadresse
prive du LAN (xxx.xxx.xx.x /24) en une adresse publique (xxx.x.xxx.xx /29) dun rseau fourni par
Rseaux-Com, qui interconnecte le sige et Internet. Ce rseau est une plage de six adresses publiques
(xxx.x.xxx.xx xxx.x.xxx.xx incluses), certaines tant disponibles pour une utilisation par la DSI.
Network Address Translation (franais, non-officiel : Traduction dAdresse Rseau). Procd par lequel une
adresse prive, non-routable la base, est translate puis en adresse publique, routable sur Internet, puis utilise
pour sortir effectivement sur Internet. Le NAT permet donc daccder au rseau web depuis une adresse prive.
19
13
Son adresse est xxx.x.xxx.xx, son masque de sous-rseau /29 (255.255.255.248 en notation
dcimale). Lune de ces adresses est utilise par le botie r SDSL20 (xxx.x.xxx.xx), en tant que passerelle
daccs Internet. Les adresses restantes, hormis celles prises (cas de lUSG avec la . xx), sont
effectivement la disposition de la DSI. Ce routeur est pos dans la baie serveur.
Le schma VPN global consiste en une intgration du poste sur le rseau du sige via le client
VPN ZyXEL. La box de lagence, comme routeur, laisse passer les flux VPN vers Internet, pour simuler
une liaison directe encapsule (tunnel) avec lUSG, routeur VPN du sige.
Comme les agences se connectent directement Internet, en sortant dessus grce leurs box, le
sige ne gre pas ces flux spcifiques de navigation web des agences. En revanche, les flux de travail
transitent par le tunnel VPN (seule possibilit daccs au rseau local du sige), donc aussi par Internet
(qui sert de capsule au tunnel VPN).
Le WAN peut donc se confondre avec les agences, lorsque celles-ci utilisent les applications
mtier, ou quelles tl-travaillent, le VPN changeant seulement de box pour sortir sur Internet.
La limite entre le sige et Internet se situe alors en sortie de lUSG 200. La limite gographique,
elle, se situe la sortie du btiment, aprs le routeur SDSL.
Symmetric Digital Suscriber Line (franais : Ligne dabonn numrique dbit symtrique). Il sagit dune
technique daccs, permettant le transport de donnes haut dbit sur un rseau (jusqu 2 Mbit/s (megabit par
seconde), avec une porte maximale de 2,4 km). Contrairement lADSL (Asymmetric DSL), pour laquelle le
dbit montant (upload) est plus faible que celui descendant (download), les dbits montants et descendants sont
gaux pour les lignes SDSL.
20
14
Figure 6 : LAN, WAN et accs Internet sige

Le sige dispose ainsi, pour ses accs Internet, dune liaison SDSL de dbit 4 Mo (mgaoctets), dont le dispositif qui permet larrive des changes au sige est le routeur SDSL.
3. ANALYSE DU PROJET : POURQUOI, POUR QUOI FAIRE

3.1.
PROBLMATIQUE GLOBALE, ET OBJECTIF SPCIFIQUE DU RSEAU VPN

3.1.1. PROBLMATIQUE GLOBALE INITIALE ET DCLENCHEUR DU PROJET
La problmatique ayant conduit la cration du projet englobant la mise en place du rseau VPN
oprateur (car cest un sous-projet, cf 3.1.2) est dordre technique. Un des points de cette problmatique
globale concerne plus particulirement les changes entre le sige et les agences.
En effet, il a t constat, et remont par les agences, mais aussi par le sige, que des utilisateurs
des deux cts ont rencontr des problmes lors de leurs travaux ncessitant la mise contribution du
rseau local du sige (touchant notamment les serveurs). L'objectif du projet global mis en chantier par
la DSI, est de fluidifier les flux entre les agences et le sige.
15
Les flux provenant du systme existant peuvent engorger et ralentir le rseau pour trois raisons :
sollicitation excessive du rseau Ethernet en lui- mme (dbit insuffisant) et engorgement dans le filtrage
des flux (ce qui conduit rflchir et agir sur une des possibilits voques plus loin dans ce document),
sollicitation excessive des applications mtier en provenance du sige et/ou des agences (car le TSE est
en rseau, son utilisation lest aussi, et lutilisation des applications mtier lest donc de mme).
Il sagit donc de pouvoir effectuer une premire sparation entre les diffrents types de flux, ceux
de travail (accs aux serveurs, applications mtier, fichiers et documents mtier, ...) ne dpassant pas le
rseau du sige, dans lequel ils sarrtent.
Nanmoins, cela fait passer les flux de navigation Internet par le sige, du fait celui-ci joue en
quelque sorte un rle de fournisseur daccs intermdiaire. Cela induit un besoin davoir une connexion
Internet qui soit adapte ce doublement de trafic, mais aussi de bien la grer.
Cette volution est partie intgrante des contrats passs avec les diffrentes organisations
concernes par le projet, ou susceptibles de ltre (appel doffres).
Dautre part, le systme consistant utiliser un logiciel client VPN es t un systme assez lourd. Il
y a donc un autre objectif, celui de loptimiser et de ne lutiliser dfinitivement plus que pour les
ordinateurs portables, lorsquils sont en dplacement hors des agences, ou au domicile de leurs
dtenteurs/dtentrices.
Lautre objectif est de substituer quasi intgralement les lignes tlphoniques et internet
auparavant en service, par des lignes capables dassurer les deux fonctions (tlphonie et donnes) la
fois.
3.1.2. OBJECTIFS SPCIFIQUES DU NOUVEAU RSEAU VPN

L'objectif spcifique du rseau VPN oprateur est dliminer les problmes de connexion en
VPN quinduisait lancien systme, lors de laccs aux serveurs pour utiliser les applications mtier.
Cest aussi de pouvoir faire en sorte que les utilisateurs se connectent concrtement au rseau du
groupe, plutt que de passer par Internet, pour accder aux applications mtier.
Cela facilite aussi la traabilit des connexions, puisque tout transite par lUSG, qui inclut une
possibilit de sauvegarder des journaux de connexion. Cette solution donne lopportunit au DSI de
surveiller le trafic et de prendre des dcisions sur cette partie du SI en toute connaissance de cause.
Ces objectifs sont rendus permis par la mise en place de la solution rseau VPN oprateur,
retenue par le DSI aprs tude des propositions du chef de projet de SFR, M. Hamitouche.
16
3.1.3. DISPOSITIF CONCERN EN AGENCE : LA BOX VPN

La box retenue pour tre le dispositif intgrant le support complet du VPN est la box SFR VPN
NBE200. Diffrentes terminologies sont employes pour la dsigner, box tant un terme gnrique :
routeur est un autre exemple de terme employ.
Elle est donc nativement configure pour agir comme un routeur, charg de capter les flux
scuriss dans le tunnel VPN leur arrive sur le sous-rseau de lagence, en provenance de lextrieur.
Ensuite elle redirige les flux de donnes dcapsules (ramenes leur tat initial, non-scurises)
lintrieur du rseau de lagence.
De mme, elle encapsule les donnes provenant du sous-rseau de lagence, avant quelles ne
transitent sur le rseau VPN de loprateur, pour arriver au sige sur lUSG (qui fait lui aussi fonction de
routeur VPN), qui retransmet les flux dcapsuls dans le rseau local, au sige.
En outre, ce routeur est Plug and Play (raccordement chaud possible) ; son raccordement initial
est de fait facilit (hors problmes de reprage de ligne tlphonique), y compris pour des personnes
nayant pas beaucoup de connaissance des installations tlphoniques ou Internet.
Son manuel dinstallation figure en annexe (pages 40 43).
3.2.
FONCTIONNALITS ET INTRTS PARTICULIERS DU NOUVEAU SYSTME VPN
Lintrt majeur du concept mme du RPV est de pouvoir faire transiter des donnes de faon
scurise, et somme toute, masque.
En effet, le principe de base de fonctionnement du VPN est lencapsulation des donnes dun
protocole dans un autre protocole de mme couche rseau ou de couche rseau suprieure, le tout
transitant de manire scurise et crypte.
Laspect de tunnel est bas dessus : les donnes transitent par un tunnel, et ne peuvent pas tre
interceptes sur cette partie bien prcise de ce systme, mme si ce tunnel est en fait perc travers la
liaison Internet, qui elle, est peu fiable. Toutefois, les donnes peuvent tre rcupres aux deux
extrmits du tunnel (metteur et rcepteur), raison pour laquelle des filtrages sont prvus, ou dj
existants, ces deux extrmits.
Le but gnral est donc de scuriser les flux de donnes, tout en les faisant transiter par le rseau
du groupe et non plus Internet. Cest dautant plus vrai pour les flux de travail (applications,
documents et fichiers mtier). Cest aussi doter les agences dun systme spcifique et ddi, qui terme
permettra disoler la partie la plus importante du systme informatique et du rseau du groupe, qui se
trouve donc au sige.
En outre, cela laisse des possibilits dextension ou de modification des liaisons, afin de se
tourner vers celles qui sont les plus appropries dun ct comme de lautre des changes.
17
Lvolutivit est donc aussi une fonctionnalit, car ce systme possde des capacits
dintgration de composants qui permettent par exemple de le superviser. En effet, la complexit et
ltendue de ce systme implique la possibilit davoir des moyens informatiques accols afin de
pouvoir le matriser dans sa globalit.
3.3.
CONTRAINTES GNRALES DE LA NOUVELLE ARCHITECTURE
Le systme choisi au pralable a fait lobjet dun contrat avec un oprateur, SFR. Des obligations
contractuelles sont respecter de part et dautre (fournisseur, groupe, voire aussi partenaires).
Linstallation des box ne peut se faire que si la liaison existe sur ce nouveau systme, entre le
sige et le rseau VPN oprateur, le rseau VPN oprateur tant lui reli aux box.
Au vu de la solution retenue pour rpondre ce besoin en VPN (remplacement de lancien

schma dchanges avec le sige par le nouveau), aprs passage dun appel doffres auprs du
partenaire habituel Rseaux-Com (SFR) et dOrange, le lien qui permettra ce nouveau
rseau dtre reli au sige sera de la fibre optique. Les tests nont pu seffectuer tant que la fibre
optique ntait pas installe au sige. Linconvnient majeur de la fibre optique est du mme
acabit que la ncessit de son installation, car il sagit de sa fragilit ; toute coupure ou rupture de
fibre optique cause la coupure des liaisons avec le rseau VPN oprateur, donc plus de
possibilit de jonction du sige par les agences sur ce lien, et vice- versa.
Linstallation des box ncessite aussi linstallation en agence dune ligne tlphonique ddie par
France Tlcom, qui est dgroupe (sparation des parties data et voix) par SFR, la box
sinstallant sur cette ligne devant prendre en compte la partie data. Cette ligne est la ligne
support VPN.
Le processus seffectue sur une ligne SFR dgroupe VPN par loprateur (cest une contrainte,
la circulation des changes sur le VPN oprateur tant un change de donnes, il faut quune
partie de la ligne support soit affecte au transport de donnes).
Il est dvolu Rseaux-com, qui doit aussi intervenir sur les problmes rencontrs dessus :
mauvais numro, lien avec France Tlcom pour les installations physiques des lignes et des
prises tlphoniques en agence, prise en charge de certains tests didentification de lignes...
Ce dgroupage permet de sparer la partie data (donnes) de la ligne installe par loprateur
historique (France Tlcom), de la partie voix des lignes.
Les routes vers les rseaux des agences, autre pralable linstallation des box, doivent tre
cres au niveau de lUSG 200. Il reste le seul dispositif de routage VPN dans le sens du sige
vers le rseau VPN oprateur, qui retransmet aux box.
Les contraintes majeures sont la disponibilit permanente et le bon fonctionnement permanent

des outils pour les utilisateurs. Le bon fonctionnement des applications mtier est donc un point
cl, et une finalit qui ne doit pas changer par rapport lancien systme. Le dlai accord la
russite dune migration est trs court. Et en cas dchec, avant toute nouvelle tentative, lancien
schma doit retrouver sa place pour permettre cette continuit.
18
La continuit de service et la qualit de service sont deux caractristiques essentielles qui sont
dj possibles, et do peuvent dcouler plusieurs contraintes qui sont cites pour la plupart cidessous, point par point. La possibilit dutiliser les outils dpend du fait dtre connect au
rseau du groupe.
Pour rappel, lAD et le TSE, dispensant les comptes et informations de sessions dutilisateurs
TSE, leur arborescence et leur droits pour lun, et hbergeant les logiciels accessibles par
sessions pour lautre, figurent parmi les points vitaux et se trouvent au sige. Ils sont donc dans
le rseau local du sige, avec lobligation de pouvoir joindre ce dernier pour y accder. Et ce, de
quelque manire que ce soit.
Les agences doivent pouvoir travailler plusieurs utilisateurs, tous raccords sur la box VPN. Le
principal dfaut du systme existant, limpossibilit de travailler plusieurs en simultan, lie
aux limitations du VPN des box grand public qui sont en service dans le systme existant, est
ainsi supprim. La box VPN SFR est donc prvue pour remplacer le client VPN ZyXEL dans
son rle dtablissement du tunnel VPN, ainsi que dans celui dencapsulation des donnes.
Toutefois, son interlocuteur du et au sige, lUSG 200, est prvu pour tre conserv.
Le RPV se doit de rester impermable aux flux totalement extrieurs aux activits des agences et
du sige, donc si les agences peuvent, la base, naviguer librement comme auparavant, il reste
cependant ncessaire de garder un il sur les flux venant compltement de lextrieur.
La migration seffectue au fil de leau , ce qui signifie que lon ne migre pas tout le systme
dun seul coup, comme ce serait le cas en one shot (voir le point ci-dessous), et on ne migre
pas non plus toutes les agences en mme temps.
Lancien systme dans son ensemble est conserv dans un premier temps, jusqu dcision
contraire du DSI, afin de comparer concrtement lefficacit des deux systmes, de pouvoir
rebasculer sur lancien systme en cas de problme sur le nouveau, mais aussi davoir une vision
des problmes qui surviennent sur le nouveau systme. Cette conservation, provisoire, se fait
donc notamment des fins de maintenance.
La totalit du rseau informatique du groupe, par lequel les informations transitent, en plus dtre
en toutes circonstances oprationnelle, doit aussi tre adapte au systme dinformation et son
schma tabli. Cest une ncessit abstraite, mais allant dans le sens de lvolutivit, car elle y
prdispose.
Le nouveau schma (concept thorique et schmatique du nouveau rseau mis en place

concrtement) doit permettre ensuite disoler encore plus les serveurs des ventuelles
vulnrabilits, do quelles viennent (agences, sige, extrieur). Cela doit se faire dans un futur
pas trop loign, en sus de la scurit apporte par le nouveau rseau VPN.
19
La fluidification des flux attendue ne doit pas tre remise en cause, quelles que soient les
volutions futures.
4. RALISATION PROJET, MISE EN PLACE DU NOUVEAU RSEAU : PENDANT

4.1.
UTILISATION DE LA FIBRE OPTIQUE
La liaison en fibre optique, dun dbit de 6 Mo, relie le sige au rseau VPN oprateur.
Physiquement, cela se traduit dans la salle serveur par un botier spcifique, pos par un technicien
mandat par le fournisseur de la fibre, Medialys, qui dlgue ventuellement cette installation ses
partenaires.
La fibre optique, qui dbouche par larrive France Tlcom dans le sige, court jusqu ce
botier, fix dans la baie serveur, sur lequel elle est raccorde.
La qualification du lien fibre consiste tester la continuit entre larrive France Tlcom, qui se
trouve au dehors, et le botier du sige. La distance entre le POP21 dOrlans et le sige tant denviron
dix kilomtres, cette qualification est essentielle pour sassurer de la non- interruption des signaux en
provenance de ce POP. Cest le test qui permet de vrifier que les changes transitant par la fibre partent
du sige et arrivent bien au sige. La premire tape de ltablissement de la liaison avec les agences est
donc une tape physique, base sur deux lments : installation de la fibre, et vrification de la fibre.
Le test seffectue donc avec une compteuse, qui est un quipement rseau portable comparable
celui que comprend un ordinateur, mais ddi aux tests de ping (test de lenvoi aller-retour de trames
pour vrifier si ces trames obtiennent une rponse). Donc elle possde des tmoins qui indiquent lors du
test si la continuit est correcte ou non.
Dans notre cas, le technicien a raccord sa compteuse au lien fibre sur le botier, et na pas relev
derreur, ce qui lui a permis de valider la qualification. Il reste alors un test de dbit faire.
Suite cela, un switch oprateur (Huawei S5300) est fix pour recevoir la fibre (venant de
lextrieur), et la transmettre dans le rseau au sige. Puis un autre routeur (Huawei S3300) est raccord
par un prestataire ce switch.
Enfin, un routeur oprateur Cisco (permettant linterconnexion du rseau VPN oprateur SFR, et
donc des agences, avec le rseau local du sige) a t rack et raccord aux deux rseaux, sur le port 25
du switch central pour le LAN, et donc sur le switch prcdent, do la fibre repart pour faire transiter
les donnes par le VPN oprateur.
Cette deuxime tape dinstallation de la liaison par fibre optique avec le rseau VPN oprateur
est primordiale, notamment pour pouvoir tester les installations des box lorsquelles sont faites, puisque
sans liaison, pas dchanges possibles avec les agences. Une fois valide, cette tape met fin la
premire phase de lien avec les agences en passant par le VPN oprateur : mise en place du lien
physique avec les agences, entre le sige et le VPN oprateur.
21
Point Of Presence (franais : Point de prsence) : interface rseau entre deux entits de communication
(source : Wikipdia). Une interface rseau est un point de connexion entre deux rseaux (mme source).
20
4.2.
INSTALLATION DES BOX EN AGENCE
Pour installer les box en agence, la premire tape consiste faire raccorder la box la ligne
VPN et au secteur par les utilisateurs (cf. manuel en annexe).
Pour ce faire, un test doit tre effectu dans les agences, pour lesquelles un doute existe quant
la ligne sur laquelle doit tre raccorde la box VPN Le branchement dun tlphone sur une box dj
raccorde, alors que les tests pour identifier la partie donnes (VPN) dune ligne fausse aussi les tests
pour identifier la bonne ligne.
Lautre problme qui peut se poser, est que les utilisateurs ne savent pas toujours quelle est la
bonne ligne, les configurations des locaux naidant pas forcment. De plus, jai pu constater des
problmes avec des rendez-vous pris pour des installations de lignes, qui prenaient du retard, ou pour
dautres causes.
Lorganisation et le planning du personnel peuvent aussi sen mler, rendant parfois obligatoire
le report de cette installation, le retour complet ou partiel vers le systme existant, la prise dun nouveau
rendez-vous.
Ces soucis sont vus avec le responsable du projet pour la partie dploiement du rseau VPN
oprateur, ainsi quavec le responsable Rseaux-com de la partie commande et mise en uvre des lignes
supports.
Le principal problme technique rencontr est donc la mauvaise identification de ligne
tlphonique. Le test associ consiste faire raccorder un tlphone fixe analogique par les utilisateurs,
qui doit donc tre seul sur la prise tlphonique tester. Selon le type dobservations effectues ensuite,
on dtermine sur quelle prise raccorder la box VPN SFR, ou sil y a problme.
Dans ce deuxime cas, plusieurs choses sont vrifies :
-
la prsence ou labsence de tonalit, juste au dcrochage (sans appeler),
possibilit de joindre la ligne suppose et davoir le/la responsable dagence ou son assistant(e)
au bout du fil,
correspondance du bon numro la bonne ligne
Les tests ci-dessus effectus, pour massurer du bon raccordement initial, je demande la
personne qui se trouve sur lagence de vrifier les voyants de la box. Ceux-ci doivent tre vert fixe pour
le voyant central, et clignoter en blanc pour les deux voyants dtat trafic et accs. Ce sont des
indications pralables du bon raccordement initial de la box, et qui servent confirmer la visibilit de la
box par le chef de projet SFR lorsquil doit configurer la box en relais DHCP.
Lorsque cette premire tape est valide et vrifie, je demande au chef de projet par mail ou au
tlphone si la configuration du DHCP est effectue et correcte, et je vrifie avec lui. Je suis son
interlocuteur prfrentiel en cas de problme dessus.
21
4.3.
VRIFICATION DE LA CONFIGURATION, CONTINUIT DACCS ET FINALISATION

4.3.1. DHCP
Jessaie par la suite de prendre la main par TeamViewer, en laissant lancien systme en
parallle, de faon vrifier en direct. Un ventuel problme est vite dtect, la reconnexion
TeamViewer ncessitant Internet. Les postes connects la box sont senss se connecter au nouveau
rseau en trs peu de temps. Si la reprise de contrle nest plus possible aprs la coupure de lancien
systme, le problme doit remonter au chef de projet SFR pour traitement.
Ensuite je regarde si le nouveau rseau remonte bien dans le Centre Rsea ux et partage ou son
quivalent sur Windows XP, Connexions rseau, et dans la liste des rseaux (Windows 7). Si cest le
cas, les paramtres sont a priori corrects puisque le rseau de lagence est trouv et joint par la machine.
Jeffectue ensuite un ipconfig (ou un ipconfig /all) pour vrifier les paramtres rseau, qui
doivent tre corrects vis--vis des plages prvues dans le projet, ainsi que de la configuration du DHCP.
Il doit tre activ, et donc fournir les bonnes adresses dans la bonne plage, sa voir XXX.XXX.x.y, o x
est le numro du sous-rseau de lagence, et y, le numro de lhte. y doit tre dans la plage attribue
par le DHCP, configure entre XX et XXX, .XXX tant limprimante (voir plus bas). Les serveurs DNS
paramtrs sont ceux de SFR (xxx.xx.xx.xxx et xxx.xxx.xxx.xxx).
Figure 7 : Configuration rseau des agences avec le rseau VPN oprateur

Ici, un des postes en agence, certainement une agence possdant plusieurs postes, et donc raccord
probablement sur le port eth1 de la box VPN.
22
Dans le cas dun DHCP qui connaitrait un dysfonctionnement, celui-ci est trait conjointement
avec le chef de projet, qui identifie le problme, le traite si cest de son ressort (mauvaise configuration),
ou nous dirige vers la hotline des box VPN en dploiement du service client, ou le service client
directement (incidents sur les offres donnes SFR) qui nous prend en charge. Selon le type dincident,
SFR fait intervenir France Tlcom, ou intervient avec eux.
Il peut sagir aussi dun problme de route statique qui nest pas paramtre sur lUSG. Ce tout
premier problme, rencontr lors de linstallation de lagence dOrlans, nous a permis de constater
linsuffisance de la configuration existante en matire de routage, car le systme existant est bas sur des
sous-rseaux avec un adressage commun toutes les agences, XXX.XXX.X.x, et la gestion des
changes est base sur le seul routage VPN.
Avec le nouveau rseau VPN oprateur, chaque agence correspond maintenant un sous-rseau,
et chaque sous-rseau ncessite donc lajout dune route statique pour le joindre.
Figure 8 : Un extrait des lignes de routage statiques configures sur lUSG200.

Par ailleurs, le RIP et lOSPF (routage intelligent / automatique) ne sont pas activs.
Tout autre problme quun dysfonctionnement de la configuration du DHCP doit se rgler avec
le support activation des Modems et Routeurs Plug & Play SFR, dont le numro de tlphone figure
dans le manuel de la box, en annexe.
Une fois que cette vrification est effectue, je peux commencer tester laccs Internet. Cet
accs signifie que la messagerie Outlook est galement disponible.
Lorsque le processus dinstallation complet dune box est termin, M. Hamitouche envoie les
fiches de recette des oprations au DSI, et les problmes rencontrs par la suite doivent tre signals la
hotline SFR qui gre le service technique client, dont le numro de tlphone figure dans le manuel. M.
Hamitouche ne soccupe que de la phase de dploiement.
23
Les agences, dont lensemble des flux transitent dsormais par le VPN oprateur en sortant de
leur box, ont maintenant accs Internet par lintermdiaire de celui du sige, tandis que leurs flux
dits de travail sarrtent dans le rseau du sige.
Ligne tl.
(partie voix
de la ligne
dgroupe par
SFR)
(partie
donnes
de la ligne
dgroupe par
SFR)
FILTRE
AGENCE
DONNES
TUNNEL VPN NATIF
(TRAVAIL
(ENCAPSULE
ET
DONNES)
NAVIGATION
WEB)
BOX SFR VPN

NBE200
(TRANSIT
NATIF DU
TUNNEL VPN)
RSEAU VPN
OPRATEUR
(SFR)
Figure 9 : Schma aprs linstallation des box VPN en agences.

En rouge, le trait symbolise le trajet suivi par les donnes sur la ligne ADSL depuis la box, qui sont
spares de la voix par le filtre, puis sortent par la boucle locale vers le rpartiteur tlphonique.
Cela passe ensuite par le DSLAM (multiplexeur des lignes xDSL de la boucle locale qui lui viennent du
rpartiteur).
Le DSLAM les multiplexe (transforme) en Ethernet vers le BRAS, qui le retransmet dans le rseau VPN
oprateur (SFR).
4.3.2. CONTINUIT DACCS ET SCHMA FINAL VPN

Ds lors quelles ont accs Internet, les agences doivent avoir aussi accs aux applications
mtier et aux serveurs. Cest ce que je vrifie ensuite, afin de permettre aux agences de travailler dans la
foule de linstallation.
Le schma VPN est finalis avec cette deuxime tape. Les box permettent ltablissement de la
jonction avec le sige, supprimant la ncessit douvrir le tunnel VPN via le client ZyXEL lorsque les
machines sont connectes aux box VPN, et permettant aux utilisateurs daccder plusieurs en mme
temps sur le TSE pour travailler.
24
AGENCES
LIMITE
GOGRAPHIQUE
INTERMDIAIRES
SIGE
FLUX
NAVIGATION
WEB
INTERNET
(WAN)
<==>
EXTRIEUR
RSEAU VPN
OPRATEUR
(SFR)
INTERMDIAIRES
Routeur
Cisco 800 SFR
Fibre
optique
LAN
SIGE
(LAN)
LIM
EXT
ITE
RIE
GO
UR
GRA
SIG
PHIQ
E
UE
WAN
INTERMDIAIRES
WAN
FLUX
TRAVAIL
<==>
Routeur SDSL
FLUX
NAVIGATION
WEB
<==>
ARRT
FLUX
TRAVAIL
<==>
Figure 10 : Schma final des liaisons VPN et des flux agence - sige avec les limites gographiques.
Toute la partie des agences jusqu la limite darrt des flux de travail (qui est lUSG 200, dans les
faits) est constitue de tunnel VPN.
4.4.
MIGRATION DES IMPRIMANTES
Aprs la vrification de laccs rseau des postes, il faut configurer les imprimantes. Je configure
les paramtres dadressage fixe de limprimante via les interfaces web (adresses IP, DNS), lorsque les
paramtres existants ne correspondent plus aux nouveaux paramtres adopter.
Je peux aussi faire appel un technicien envoy par le fabricant du copieur, soit pour paramtrer
de nouveau la machine, soit pour linitialiser (cas des agences nouvellement installes dans leurs locaux,
ou venant de recevoir leur copieur). Pour certaines agences, je lai fait faire directement par le ou la
responsable dagence, ou par son assistante, en leur indiquant les manipulations effectuer sur le
panneau de commande du copieur.
Ladressage des copieurs est fixe, toutes les imprimantes ayant une adresse en
XXX.XXX.x.XXX, o x est le sous-rseau propre chaque agence.
25
terme, lobjectif quant aux imprimantes des agences est de les raccorder en Ethernet, pour
quelles soient toutes prsentes sur le rseau. Une autre optimisation optionnelle, laque lle jai
contribu, est leur configuration sur le serveur TSE, afin de les mutualiser dessus (par partage et
mappage), une fois leur adresse IP attribue, la liaison rseau tablie et les droits attribus.
Ce mappage causant des dysfonctionnements en agenc e, lorsquon essaie de connecter les
imprimantes partages sur le TSE depuis les sessions Windows des postes, les imprimantes locales sont
paramtres telles quelles sur ces sessions (sans se connecter sur le partage du serveur TSE et connecter
les imprimantes). Il est donc utilis seulement pour les applications mtier sous session TSE. Le
raccordement en USB reste possible, mais uniquement en cas dabsence dautres solutions suite un
problme.
La partie scan est configure de pair avec la partie email des paramtres si ncessaire (certains
copieurs Canon), autrement seuls les paramtres demail ncessaires au scan vers mail sont configurs
(Konica, autres Canon, Toshiba).
5. AVENIR DU SYSTME, OPTIMISATIONS ET UTILISATIONS : APRS

5.1.
DIFFRENCIATION DES FLUX DE NAVIGATION ET DACCS
Il sagit ici de sparer les flux de navigation des agences, qui reprsentent 20 % du total du trafic
rgulirement observ, et ceux qui correspondent des accs rseau pour les applications mtier (80 %).
Plusieurs solutions sont envisageables pour mettre en place cette priorisation de flux. Lune
delles est dutiliser celle offerte par ZeroShell (Quality of Service QoS). ventuellement, pour
renforcer laffectation des flux et leur rpartition, et ne pas trop modifier le schma en place la suite de
la mise en uvre du filtrage sur ZeroShell, linstallation dune nouvelle liaison ADSL, qui sera ddie
spcifiquement aux flux de navigation des agences, peut tre tudie.
Jai donc commenc me renseigner sur la possibilit dutiliser une des adresses IP disponibles
sur le botier SDSL, pour que cette partie du systme qui subsiste arrive dessus.
Ces deux parties, la priorisation de flux et le filtrage associ au sige, concerneront donc le
rseau du sige et sa liaison directe avec le rseau VPN oprateur.
5.2.
FILTRAGE ASSOCI
Suite la diffrenciation voque ci-dessus, il sera ncessaire de filtrer les flux pour atteindre
lobjectif de contrle du trafic.
Cela se fera derrire le botier SDSL, cest--dire dans le rseau du sige. Un systme ZeroShell
est mis en uvre pour rpondre cette problmatique, tant la meilleure solution trouve qui
corresponde aux critres et aux fonctions requises par le DSI (simplicit dutilisation, simplicit
dinsertion dans le rseau, matriel pouvant prendre cette fonction en charge, ).
26
De plus, ZeroShell prenant en charge le SSH, on dispose dun moyen daccs aux journaux du
systme et du filtrage. Cela peut se faire par linterface web (comme pour lUSG), ainsi que par des
logiciels et services complmentaires chargs de les rcuprer (KiwiSyslog, NTSyslog et WinSCP, pour
ne citer queux), ou offrant la possibilit de les visionner depuis la machine physique.
Ce systme peut tre mis en place de deux faons : la premire en lanant la distribution
ZeroShell comme une machine virtuelle avec le logiciel VMWare, et la deuxime en linstallant sur une
machine physique, en utilisant directement les cartes rseau de cette machine pour ZeroShell.
Le transfert de partages de fichiers du serveur de fichier Moon vers le serveur AD a permis de
librer Moon et de le rendre disponible pour tenter cette deuxime solution.
Cela sest fait en parallle la migration et la mutualisation par mappage des imprimantes du
sige et des agences (configuration des imprimantes sur le serveur TSE, en les partageant dessus ; les
agences se connectent sur ces imprimantes mutualises, configures par dfaut pour limpression des
documents dapplications mtier).
Nanmoins, loption retenue na pu tre valide, visiblement cause dun problme de
configuration matrielle : la configuration IRQ de la machine physique (serveur rackable IBM System
x3650) pose problme Linux, dont ZeroShell est une distribution.
Car les pilotes de cartes Ethernet et SCSI ne peuvent grer des interruptions, occasionnant des
conflits IRQ 22 , et une erreur SIOCSIFFLAGS No such device laffichage des cartes rseau sur
linterface de dmarrage, et No such file or directory lorsque lon essaie de localiser prcisment
lerreur dans les rpertoires correspondants de la distribution.
Une solution ventuelle tait de paramtrer les priphriques posant problme comme used by
an ISA 23 device (utilis par un priphrique ISA) dans le BIOS24 .
Mais les tentatives effectues en recherchant ce paramtre dans le BIOS du serveur IBM se sont
soldes par des checs.
Je me suis donc tourn vers IBM pour leur demander la manipulation exacte du BIOS
effectuer, mais le serveur ntant plus sous garantie, toute question devait faire lobjet dun devis puis
dune rponse, ainsi payante. Jai abandonn cette option, un serveur Dell devant tre command en
urgence pour sortir de cette impasse. Il est prvu dviter cet cueil sur ce serveur.
Interruption ReQuest (franais : Interruption matrielle, ou Demande dinterruption) : demande dinterruption

(arrt temporaire dun programme informatique par le microprocesseur pour en excuter un autre), dclenche par
une
ligne
dentre-sortie
matrielle
dun
microprocesseur
(source :
Wikipdia,
http://fr.wikipedia.org/wiki/Interruption_matrielle http://fr.wikipedia.org/wiki/Interruption_(informatique))
22
23
Industry Standard Architecture : standard de bus informatique interne utilis pour connecter des cartes
d'extension la carte mre d'un ordinateur, remplac par le Peripheral Componant Interconnect (PCI) depuis. Si
les connecteurs ISA ont disparu des cartes mres, les bus ont subsist. (source : Wikipdia
http://fr.wikipedia.org/wiki/Industry_standard_architecture).
Basic Input-Output System (franais : Systme lmentaire dEntre/Sortie) : ensemble de fonctionnalits
lances lamorage dune machine (mise en tension), qui permettent notamment linitialisation, lidentification
et la mise en ordre de lancement des priphriques et du Systme dExploitation. Le BIOS a gnralement une
interface graphique pure permettant de le configurer, avant le lancement effectif du SE.
24
27
Faute de temps disponible, je me suis repli vers linstallation dune machine virtuelle sur la
machine physique, avec VMWare Player (version gratuite du logiciel dmulation, pour une machine
virtuelle utilisable la fois). Cette solution de virtualisation pose toutefois un autre problme, voqu un
peu plus loin.
Lors de linstallation de VMWare Player, il faut copier le dossier network.cab depuis le
rpertoire temporaire de lutilisateur, et le dcompresser dans le rpertoire dinstallation du logiciel une
fois linstallation termine. Ceci est ncessaire pour pouvoir configurer par la suite le mappage
(affectation) des cartes rseau virtuelles sur les cartes rseau de la machine physique. Cette fonction
nest pas active par dfaut lors de linstallation sinon.
Ensuite, la dernire machine virtuelle ZeroShell sous image iso disponible, la version 1.0.beta16,
se lance partir de VMWare. Jajoute une carte rseau virtuelle (mule par VMWare elle aussi) dans la
configuration de la machine virtuelle, paramtre en bridge (cest--dire connecte directement au
rseau local) comme la premire.
Les deux cartes rseau physiques de la machine sont elles paramtres en adresses IP fixes :
-
carte Ethernet Broadcom BCM5708C NetXtreme II GigE (nom : Interne) :

-
adresse IP : xxx.xxx.xx.xxx (adresse prcdemment attribue par le DHCP du sige
masque de sous-rseau (celui du rseau LAN du sige) : 255.255.255.0 (= /24)
passerelle (lUSG 200, sur sa patte LAN) : xxx.xxx.xx.x
adresse serveur DNS (celui du sige) : xxx.xxx.xx.xxx
Moon)
carte Ethernet Broadcom BCM5708C NetXtreme II GigE 2 (nom : SDSL) :

- adresse IP : xxx.x.xxx.xx (idem que celle de ZeroShell sur ETH01, mme
fonctionnement, mais sans passerelle dans le rseau WAN)
- masque de sous-rseau (celui du rseau dadresses publiques, donc le rseau WAN) :
255.255.255.248 (= /29)
- passerelle (le routeur SDSL, puisquon doit le traverser en NAT pour sortir sur
Internet) : xxx.x.xxx.xx
- adresses serveur DNS : les deux adresses de serveur DNS SFR (xxx.xx.xx.xxx et
xxx.xxx.xxx.xxx)
Les deux cartes rseau virtuelles sont ensuite mappes, avec le programme de configuration
rseau VMWare mentionn ci-dessus (VM Network Config), sur les deux cartes rseau de la machine
physique, avec deux adaptateurs (VMNet Adapter 0 et 1). La premire, ETH00, est mappe avec
VMNet Adapter 0 sur la carte Ethernet Interne . La deuxime est mappe de la mme manire avec
VMNet Adapter 1 sur la carte Ethernet SDSL .
28
Figure 11 : Le mappage en bridge des deux cartes rseau virtuelles, par les adaptateurs VMNet, sur
les deux cartes rseau physiques.
Ceci entrine leur propre configuration IP dans le rseau local, comme machines indpendantes sur le
rseau : elles sont mappes sur les deux cartes (elles les utilisent physiquement), mais sont
indpendantes du point de vue de la prsence sur le rseau.
Une fois cette machine virtuelle-support de distribution lance, ZeroShell se voit donc affecter
deux cartes rseau virtuelles, ETH00 et ETH01.
ZeroShell possde une configuration initiale en xxx.xxx.x.xx. On lattaque (on y accde) par
linterface web sur cette adresse, pour une configuration plus aise du reste.
Ensuite on fixe cette configuration par la cration dun profil avec les cartes rseau ETH00 et
ETH01, configures respectivement en xxx.xxx.xx.xxx, et xxx.x.xxx.xx plus xxx.x.xxx.xx. La premire
sert placer ZeroShell dans le rseau du sige (comme prvu dans le schma dfinitif), les deux
adresses IP de la deuxime servent placer ZeroShell comme passerelle dans le rseau dadresses
publiques, et disposer dune adresse propre dans ce rseau, pour faire du NAT directement sur
ZeroShell.
Le NAT intgr ZeroShell, que lon peut configurer pour traduire les adresses une par une, ou
par plusieurs la fois, est activable sur une ou plusieurs de ses cartes rseau ETH. On ne lutilise pas
dans le schma mis en place pour les raisons dj voques ci-dessus.
29
Figure 12 : Configuration rseau initiale de ZeroShell.

tant bridges , les deux cartes ETH00 et ETH01 reprsentent chacune une machine virtuellement
indpendante sur le rseau, mme si pour cette prsence elles utilisent les cartes physiques sur
lesquelles elles sont mappes.
Ce systme propose, une fois la configuration initiale effectue, un dispositif de pare-feu, de

routage et de filtrage web (proxy transparent avec antivirus), qui sont ajouts lutilisation de lUSG
200, et ajustables en tenant compte de la configuration de lUSG.
Le pare- feu est utilis en redirection et en rgulation dentre sur ZeroShell, depuis le rseau du
sige et depuis lextrieur, qui lui parvient de lUSG par le routage, rudimentaire : une ligne de
routage pour dfinir la route automatique par dfaut en xxx.xxx.xx.x.
Cela se fait via la configuration de la passerelle par dfaut de ZeroShell (faisable aussi depuis la
configuration du routeur). Une fois configure, un redmarrage simpose pour la prise en compte.
ZeroShell route depuis et vers le LAN, tout en routant depuis et vers lUSG, car ils sont tous les deux
dans le LAN. Le routeur filtrant que constitue ZeroShell officie ainsi directement pour le sige.
Il utilise par ailleurs le NAT de lUSG 200 pour sortir sur Internet. Cette sortie fait partie des
conditions requises pour que le proxy de ZeroShell, HAVP, soit effectivement transparent .
Un proxy est dit transparent , lorsquil na pas besoin dtre paramtr sur les postes cibles du
filtrage (dans les navigateurs notamment, pour lesquels les paramtres de proxy se trouvent dans les
Options Internet de Windows). Cela permet dviter que les utilisateurs soient tents de le contourner,
ou de ne pas lutiliser (le paramtrage cit ci-dessus tant la porte de lutilisateur qui aurait envie de
le modifier).
30
Le paramtrage de ZeroShell comme routeur et/ou passerelle (selon le schma adopt) est une
autre de ces conditions. Ici, il est utilis simplement comme routeur intermdiaire, le routeur final avant
Internet tant lUSG 200.
Initialement, le routeur Cisco SFR est paramtr avec lUSG 200 comme passerelle.
Figure 13 : Aprs la mise en place de ZeroShell, avant le changement de passerelle du switch Cisco
SFR.
Les traits pleins et en pointills en rouge indiquent le NAT.
Afin de capturer directement les flux des agences, sans ncessairement passer par lUSG 200,
une demande est effectue auprs de SFR, pour que la passerelle de leur routeur Cisco au sige soit
ZeroShell. Ce routeur avait lUSG 200 comme passerelle depuis la mise en place du VPN oprateur,
pour laccs au rseau du sige depuis les agences, il se rfrait donc celui- ci pour laccs Internet
des agences.
31
Figure 14 : Aprs le changement de passerelle du switch Cisco SFR.

Les traits pleins et en pointills en rouge indiquent toujours le NAT.
ZeroShell route depuis le routeur Cisco 800 SFR vers lUSG 200 tout en filtrant ce qui passe par ses
interfaces.
Un tandem est cr, qui permettra aussi den faire un relais, sur lequel lon pourra basculer en
cas de problmes avec lUSG, tout en gardant la possibilit de repasser uniquement sur lUSG si cest
uniquement ZeroShell qui dysfonctionne.
Cela ncessiterait toutefois une demande au service client SFR, pour reconfigurer la passerelle
par dfaut du routeur Cisco de xxx.xxx.xx.xxx xxx.xxx.xx.x.
Pour la partie filtrage, on commence par dfinir des listes dURL placer dans la blacklist (liste
noire, sites interdire) partir de catgories de sites reconnus dangereux ou ne rentrant pas dans le
cadre de lactivit professionnelle ou lusage professionnel.
La whitelist (liste blanche) comporte les sites qui ne seront pas bloqus. On sauvegarde chaque
fois avant de quitter la fentre du paramtre ajout ou chang.
32
Le filtrage proprement dit se fait sur la base des flux capturs, pour lesquels on peut configurer
linterface concerne, ladresse IP ou la plage dadresses IP mettrice, ladresse IP ou la plage
dadresses IP de destination. On peut, de mme, ne pas capturer depuis ou vers certaines sources ou
destinations.
Dans le cas prsent, on filtre les deux interfaces ETH00 et ETH01 (ce qui filtre tout par dfaut).
Ensuite on dfinit des adresses IP du sige, dont les flux ne sont pas capturer, et qui chappent donc au
filtrage. Il est prvu que seules les adresses IP des machines de la DSI et celle du DG ne soient pas
captures, mais en phase de test des exceptions ont pu tre accordes.
Figure 15 : Le filtrage ZeroShell activ.

On voit les deux interfaces qui sont filtres par dfaut, le sous-rseau public qui lest aussi, et la liste
des adresses IP exclues du filtrage (Not capture).
La blacklist est dsactive pour ne laisser que les sites autoriss.
Les logs HAVP enregistrent tous les accs, pas seulement les URL suspectes de contenir des virus. Les
contrles de lantivirus sont limits deux par jour, avec un miroir en France, pour limiter limpact sur
le dbit.
Une fois les listes et les machines concernes dfinies, on active le tout, la prise deffet tant
immdiate.
Un des dfauts du filtrage est de ralentir les accs aux pages web demandes, aussi bien au sige
quen agences. Face a, on ne peut gure que rduire le nombre de contrles de lantivirus coupl au
proxy, ainsi que configurer HAVP pour que le filtrage nenregistre dans les logs que les URL25
contenant des virus.
25
Uniform Resource Locator (franais : adresse rticulaire, ou adresse universelle). Adresses des pages web,
comportant diverses informations sur le protocole employ, la localisation de la ressource (page), le nom de
domaine concern, etc.
33
Figure 16 : Accs aux rpertoires et fichiers de ZeroShell par WinSCP.

Comme ZeroShell est une machine virtuelle, et bien quune partition lui soit affecte (sur laquelle les
profils sont), les fichiers de configuration, notamment ceux de HAVP, sont bien souvent en lecture seule
gnrale.
5.3.
MEILLEURE ISOLATION DU RSEAU DU SIGE FACE LEXTRIEUR
Le rseau du sige, qui est prvu pour voluer vers lajout de diffrents serveurs, aura besoin
dune meilleure isolation des machines et serveurs importants.
En effet, il est plus encore llment central que lorsquil cohabitait seulement avec le systme
existant, car il faut rappeler que dornavant, les utilisateurs passent directement par le rseau du sige
via le rseau VPN oprateur pour les applications mtier. Il est donc pris entre deux feux , celui
provenant des agences, et celui venant dInternet.
Cest pourquoi je me suis pench sur la possibilit dune DMZ, voque par le DSI comme
solution pour une meilleure protection des points nvralgiques prsents et venir du sige. Il sagit
aussi, dans le mme temps, de leur assurer une meilleure disponibilit, en les dbarrassant dventuels
flux parasites. Cela offre la possibilit de faciliter un accs partiel aux lments qui seront placs
dedans, tout en contrlant les accs en question par le biais de pare- feux.
34
BILAN
Jai appris beaucoup de ce stage. Tout dabord, sur moi- mme et mon rapport aux utilisateurs,
quil a fallu adapter, car il y a un certain nombre dutilisateurs, qui nont pas le mme niveau de
connaissance informatique. La communication avec les utilisateurs et les gestionnaires, majoritairement
mon matre de stage, fut donc un aspect de travail pour moi. Cela sest vu notamment lorsque les
utilisateurs ont t impacts par les diffrents changements apports larchitecture.
Les prises de contacts avec les partenaires techniques ont t une dcouverte, qui sest rvle
instructive, tant sur les points de gestion de la relation client - prestataire, que sur les points et avances
techniques dont nous tions amens discuter ensemble.
Les quelques retards de la part des prestataires dans certaines tapes importantes ont t traits,
en ce qui me concerne, dans le respect du principe de rfr hirarchique , qui appelait celui
d escalade auprs des fournisseurs et de leurs sous-traitants.
Ensuite, jai galement eu la possibilit de minformer sur des concepts et des schmas que je ne
connaissais pas, tels linstallation de la fibre optique, larchitecture en LAN combine avec un WAN.
Jai galement acquis des connaissances sur des lments plus techniques et matriels, comme
les serveurs dans leur cadre dutilisation dans les structures dveloppes, lutilisation dapplications
mtier pour un regroupement de services.
Sur le plan des connaissances rseau et systmes dexploitation, jai pu rviser des lments de
base au travers de leur mise en uvre concrte, comme les interconnexions, les commandes rseau et
organisation de fichier des mondes Windows et Linux.
Le fait de tester des intgrations dans des schmas existants en production ma beaucoup amen
surmonter lapprhension que javais de le faire, tant habitu tester dans un environnement
spcialement ddi, hors production.
Jai donc pu mimprgner de principes ayant largement cours dans les organisations prives, qui
sont diffrents de mes prcdents stages, au cours desquels je navais pas une vision aussi tendue et
globale.
Durant ces quatre mois, limmersion a t totale. Cest la conclusion majeure, et qui constitue
comme un point dorgue de ce stage.
35
ANNEXES
Annexe 1 : Manuel dinstallation de la NBE200
9IPnet - Prise Eco Fdlan - Accs ADSL Light - Page 1
Manuel dinstallation
du NBE200
Lenvoi des quipements est effectu par SFR soit :
-
Sur chaque site, suite lactivation de la ligne ADSL ;

Par lot en un point centralis, charge au Client de les envoy er ou de les installer sur site.
Si, durant linstallation, une difficult se prsente (les lumires du CPE ne s allument pas, il manque des cordons,
etc.), le support activation des Modems et Routeurs Plug & Play SFR est disponible au :
0805.02.01.02
Ouverture du lundi au jeudi : 9h - 17h30
Et le vendredi de 9h - 16h
1. PACKAGE DU MODEM ROUTEUR NBE200

Le pack routeur NBE200 comprend les lments suivants :
Dsignation
Modem rout eur NBE200
Cble tlphonique RJ11/RJ11
Cble Ethernet
Bloc alimentation 220V
Filtres ADSL
Document dinstallation Plug&Play
1.1
Quantit
1
1
1
1
2
1
Commentaires
Cble de raccordement la ligne FT
Cble de raccordement au PC / cble droit
Le prsent document
Raccordement
Le raccordement du NBE200 est visualis par la figure suivante :

1.2 Etapes de la connexion
1) Mise en place de lalimentation
-
Branchez la prise du bloc dalimentation sur la face arrire du routeur

Branchez le bloc dalimentation dans une prise secteur 220V
2) Mise en place de la connexion ADSL

-
Branchez une extrmit du cble tlphonique dans la prise A DSL du routeur

branchez lautre extrmit dans le filtre ADS L (filtre en forme de pris e Gigogne)
Enlevez toutes les prises de la prise tlphonique murale de la ligne
Enfichez le filtre ADS L dans la prise tlphonique murale
Enfichez toutes les prises tlphoniques, fax, modem, dans le filtre A DSL (attention : 2 appareils au
maximum).
Si dautres appareils y compris alarme sont branc hs sur dautres prises de la mme ligne, mettre un filtre
chaque prise murale.
3) Mise en place de la connexion au rseau local

-
Branchez une extrmit du cble rseau RJ45 sur un port Fast Ethernet Eth 0 du routeur ADS L.
Branchez lautre extrmit sur la carte rseau de vot re ordinateur.
2. INDICATEURS LUMINEUX DU NBE200

Les Leds de la face avant permettent de suivre le statut du NBE200 et permettent de raliser un premier
diagnostic en cas de dysfonctionnement.
Les voyants disponibles sur le dessus sont les suivants :
Fig1 Vue de dessus du NBE200
Fig2 Vue latrale du NBE200

Label
Accs DSL
Couleur
Bleu
PPP/Power
Allum
Vert fonc
Bleu
Jaune
Rouge
Bleu
LED Verte
LED orange
Trafic
ETHERNET (2 LEDS)
Fonction
Clignote lorsque le modem se synchronise
Allum fixe si le lien ADSL est synchronis
si le modem est aliment
la connexion PPP lISP est tablie
Firmware en mode rescue
La connexion PPP est DOWN
Bootloa der ou flash d'un firmware.
clignote sil y a transmission de trafic DSL
Allum si la connexion est tablie
Clignote sil y a une activit rseau (transmission du
data)
3. PRE-REQUIS NECESSAIRE AVANT DE FAIRE APPEL A LA HOTLINE

Une foi s le routeur raccord sur la ligne dgroupe, si la connexion ne fonctionne pas :
Vrification du routeur :
-
faire un arrt/marche
tat des voyants : PPP/Power, Accs DSL, Trafic, Ethernet (2 Leds)
Ltat des voyants sera demand par le techni cien de la Hotline.

Si pas de synchroni sation de la ligne sur le routeur, il faut :
Vrifier le cblage entre le routeur et le c onjoncteur tlphonique. Un filtre est obligatoire et tout quipement
tlphonique (tlphone, fax, etc.) doit tre raccord sur le filtre.
Vrifier quun filtre est install sur toutes les prises en parallle de votre ligne tlphonique si des
quipements y sont raccords.
Dmont er chaque conjoncteur de votre ligne tlphonique et y supprimer les condensateurs. Ces derniers
ont t installs par France Telec om pour pouvoir procder des mesures distance. Avec leur propre
quipement ADSL, ces condensateurs ne posaient pas de problmes, mais sur nos propres quipements, ils
peuvent pert urber le fonctionnement du service de SFR.
Vrifier le bon fonctionnement de la ligne tlphonique. Labonnement aux services tlphoniques est
votre charge et une dgradation du signal tlphonique ou son non fonctionnement pert urbe le bon
fonctionnement du service SFR. Le test consiste faire un appel sortant et constater la qualit de la
conversation. En cas de dysfonctionnement ou de fonctionnement dgrad de la ligne appelez le 1013.
Vrifier votre desserte interne qui correspond au cblage aprs le point de livraison de la ligne tlphonique
par France Tlcom (normalement une tte de cble pour un immeuble) la premire prise tlphonique dans une
maison individuelle) et qui est de votre res ponsabilit.
Annexe 2 : Schma densemble (ancien systme informatique)
Annexe 3 : Schma densemble (nouveau systme informatique)
TABLE DES ILLUSTRATIONS
Figure 1 : Une agence.................................................................................................................................... 8

Figure 2 : Schma de fonctionnement du VPN avant passage au rseau VPN oprateur. .................................... 9
Figure 3 : Illustration de la configuration DHCP et DNS (xxx.xxx.xx.xxx) du sige. ......................................... 10
Figure 4 : La salle serveur et le cur du rseau du sige................................................................................ 11
Figure 5 : Configuration des passerelles VPN ZyXEL sur lUSG 200. ............................................................. 13
Figure 6 : LAN, WAN et accs Internet sige ........................................................................................... 15
Figure 7 : Configuration rseau des agences avec le rseau VPN oprateur.................................................... 22
Figure 8 : Un extrait des lignes de routage statiques configures sur lUSG200. ............................................. 23
Figure 9 : Schma aprs linstallation des box VPN en agences...................................................................... 24
Figure 10 : Schma final des liaisons VPN et des flux agence - sige avec les limites gographiques. ............... 25
Figure 11 : Le mappage en bridge des deux cartes rseau virtuelles, par les adaptateurs VMNet, sur les deux
cartes rseau physiques................................................................................................................................ 29
Figure 12 : Configuration rseau initiale de ZeroShell................................................................................... 30
Figure 13 : Aprs la mise en place de ZeroShell, avant le changement de passerelle du switch Cisco SFR......... 31
Figure 14 : Aprs le changement de passerelle du switch Cisco SFR. .............................................................. 32
Figure 15 : Le filtrage ZeroShell activ. ........................................................................................................ 33
Figure 16 : Accs aux rpertoires et fichiers de ZeroShell par WinSCP........................................................... 34

LP RT IE - Rapport Stage - Baptiste Lopez - Version Finale - Censuree - Avec Signets PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

LP RT IE - Rapport Stage - Baptiste Lopez - Version Finale - Censuree - Avec Signets PDF

Transféré par

Droits d'auteur :

Formats disponibles

Baptiste Lopez

Groupe Sous Mon Toit - Sige - Olivet

PRSENTATION DE LENTREPRISE ET DU CADRE .................................................................................... 2

ANALYSE DE LEXISTANT : AVANT......................................................................................................... 6

ARCHITECTURE GLOBALE ................................................................................................................... 6

FONCTIONNEMENT EN AGENCES ET CONNEXION DES AGENCES INTERNET ...................................... 7

ARCHITECTURE DU SIGE ET CENTRALISATION ................................................................................... 9

ANALYSE DU PROJET : POURQUOI, POUR QUOI FAIRE ........................................................................ 15

PROBLMATIQUE GLOBALE, ET OBJECTIF SPCIFIQUE DU RSEAU VPN............................................. 15

PROBLMATIQUE GLOBALE INITIALE ET DCLENCHEUR DU PROJET .................................... 15

OBJECTIFS SPCIFIQUES DU NOUVEAU RSEAU VPN .......................................................... 16

DISPOSITIF CONCERN EN AGENCE : LA BOX VPN ............................................................... 17

FONCTIONNALITS ET INTRTS PARTICULIERS DU NOUVEAU SYSTME VPN.................................... 17

CONTRAINTES GNRALES DE LA NOUVELLE ARCHITECTURE ............................................................ 18

RALISATION PROJET, MISE EN PLACE DU NOUVEAU RSEAU : PENDANT ........................................... 20

UTILISATION DE LA FIBRE OPTIQUE .................................................................................................. 20

INSTALLATION DES BOX EN AGENCE ................................................................................................ 21

VRIFICATION DE LA CONFIGURATION, CONTINUIT DACCS ET FINALISATION................................ 22

CONTINUIT DACCS ET SCHMA FINAL VPN..................................................................... 24

MIGRATION DES IMPRIMANTES....................................................................................................... 25

DIFFRENCIATION DES FLUX DE NAVIGATION ET DACCS ................................................................ 26

MEILLEURE ISOLATION DU RSEAU DU SIGE FACE LEXTRIEUR ................................................... 34

1. PRSENTATION DE LENTREPRISE ET DU CADRE

International Standard Organization (franais : Organisation Internationale de Normalisation). Lorganisme

le Secrtariat de Direction (SD ou SecDir), qui emploie deux salaries,

la Direction Administratif et Financier (DAF), facturation du groupe et comptabilit

La DSI est en charge de la mise en service, de la maintenance et du cycle de vie du matriel

Directeur des Systmes dInformation

un hbergement, dit mutualis (OVH), car loffre consiste en un produit mutualis : le

le site web, dans le cas de Leadel, le fournisseur qui le conoit ;

des prestations de fourniture de matriel, maintenance et dvolutivit rseau, tlphonie fixe,

des prestations de fourniture de matriel et de maintenance rseau gnrale (contrats avec

du matriel (directement) : Dell

autres fournisseurs de postes et de serveurs : IBM, Lenovo ; de matriel rseau et

des navigateurs limage de Google Chrome, Mozilla Firefox ou Internet Explorer,

des systmes dexploitation Windows XP Professionnel, Windows Seven Professionnel et Mac

Operating System (franais : Systme dExploitation)

Terminal Server Edition, mme systme dexploitation que lActive Directory.

2. ANALYSE DE LEXISTANT : AVANT

Larchitecture globale du systme informatique, prcdant la mise en place du rseau VPN

la centralisation, effectue au sige

Anglais : Telephone on IP (ToIP) / Voice on IP (VoIP)

Anglais : Private Automatic Branch eXchange (PABX)

FONCTIONNEMENT EN AGENCES ET CONNEXION DES AGENCES INTERNET

Ethernet et/ou Wifi,

Ethernet et/ou Wifi,

Ethernet et/ou Wifi,

Figure 1 : Une agence.

Figure 2 : Schma de fonctionnement du VPN avant passage au rseau VPN oprateur.

ARCHITECTURE DU SIGE ET CENTRALISATION

Figure 3 : Illustration de la configuration DHCP et DNS (xxx.xxx.xx.xxx) du sige.

Figure 4 : La salle serveur et le cur du rseau du sige.

Sur la figure ci-dessus :

Sur la gauche : le coffret informatique mural

Le vert est le lien entre le routeur SDSL et lUSG 200.

Figure 5 : Configuration des passerelles VPN ZyXEL sur lUSG 200.

Figure 6 : LAN, WAN et accs Internet sige

3. ANALYSE DU PROJET : POURQUOI, POUR QUOI FAIRE

PROBLMATIQUE GLOBALE, ET OBJECTIF SPCIFIQUE DU RSEAU VPN

3.1.2. OBJECTIFS SPCIFIQUES DU NOUVEAU RSEAU VPN

3.1.3. DISPOSITIF CONCERN EN AGENCE : LA BOX VPN

FONCTIONNALITS ET INTRTS PARTICULIERS DU NOUVEAU SYSTME VPN

CONTRAINTES GNRALES DE LA NOUVELLE ARCHITECTURE