MODULE : Rseaux

PROJET DE CONCEPTION DE RESEAU

Cas : Assurance de Marseille

Ralis par : KHERFALLAH Boubaker

Master 2 IPM
Universit de Lille1

Ce document prsent ltude dune architecture rseau LAN/WAN en rponse a un besoin de

la compagnie assurance de Marseille : Intranet, GED, e-Learning.
1

OBJET DU PROJET
Lobjet du projet est de proposer une solution darchitecture pour le rseau de la compagnie
assurance de Marseille .Ce rseau doit tre dimensionn en fonction des types dutilisation, de
lentit utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles et
des utilisateurs du rseaux

ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATION

LORS DE LA CONCEPTION :
Les bases de ma conception se rsument quatre objectifs fondamentaux :

Extensibilit : Les conceptions de rseau extensibles donnent la possibilit daccueillir de

nouveaux groupes dutilisateurs et de sites distants et peuvent prendre en charge de nouvelles
applications sans affecter le niveau de service fourni aux utilisateurs dj existants.
Disponibilit : Un rseau conu pour tre disponible fournit, 24 heures sur 24 et 7 jours sur 7, des
performances constantes et fiables. En outre, la dfaillance dune seule liaison ou dune partie du
matriel ne doit pas avoir dimpact important sur les performances rseau.
Scurit : La scurit doit tre prvue ds la conception du rseau et non ajoute aprs sa
ralisation. La planification de lemplacement des dispositifs de scurit, des filtres et des pare-feu
est primordiale pour assurer la protection des ressources du rseau.
1

Facilit de gestion : Quelle que soit la qualit de la conception initiale du rseau, le personnel en
charge du rseau doit tre capable de le grer et de le prendre en charge. Un rseau trop complexe
et difficile maintenir ne peut pas fonctionner efficacement.

I-

SIEGE DE MARSEILLE :

ARCHITECTURE PROPOSE
1.1 TOPOLOGIE DE RSEAU:
1.1.1 ARCHITECTURE GNRALE
Larchitecture que je viens de proposer se base sur une conception hirarchique divise en
trois couches :
Cur de rseau : assure la commutation haut dbit (optimisation du transport).
Rseau de distribution : assure une connectivit fonde sur les stratgies.
Accs : permet aux utilisateurs et aux groupes de travail d'accder au rseau.
NB : dans les entreprises de petite taille, il nest pas rare dimplmenter un modle fdrateur,
o la couche de distribution et la couche coeur de rseau se trouvent au sein dune seule et
mme couche.

Dans notre cas : un commutateur de couche distribution joue le rle de fdrateur.

Avantage dun rseau hirarchique :
- volutivit : les rseaux hirarchiques peuvent tre aisment tendus.
- redondance : la redondance au niveau de la couche cur rseau et distribution garantis la
disponibilit des chemins daccs.
- performance : lagrgation des liaisons garantis une vitesse proche de celle de cble
travers le rseau.
- scurit : scurit des ports au niveau de la couche accs rseau et les stratgies au niveau
de la couche de distribution renforcent la scurit de rseau.
-facilit de gestion : la cohrence entre les commutateurs chaque niveau simplifie la
gestion.
-maintenance : via la modularit hirarchique la maintenance devient facile.

1.1.2 LE MATRIEL
Jai choisi duniformiser le type de matriel dploy sur l'ensemble de mon architecture. Cela
aura plusieurs avantages :
1

Tous les quipements sont de mme marque ce qui vite tous problmes de compatibilit
entre les protocoles propritaires. Et mme plus il nous permet dexploiter pleinement les
protocoles dvelopps par le constructeur.
Jai donc choisi de prendre du matriel Cisco puisque ce sont des quipements fiables qui ont
fait leur preuve.
Les quipements dinterconnexion:
Equipement dinterconnexion
Routeurs Cisco 2811
fonctionnalits avances :

Fonctions

Large ventail doptions de

rseau LAN et WAN. possible
volution pour sadapter aux
futures technologies.
Routage

Plusieurs
types finale
demplacements
qui
permettent dajouter des
options de connectivit
et des services mesure que
lentreprise se dveloppe

avec
la
plate-forme
logicielle
Cisco
IOS
Security, permettent de
bnficier de la protection
des liaisons de rseau WAN
et des services VPN.

Switch Catalyst 3570

(Pour la couche distribution)

couche

vers la destination

-Prise en charge de la
couche 3
- dbit de transfert lev.
-Ethernet gigabits/ Ethernet
10 gigabits
- composants redondants
-stratgies de scurit/liste
de contrle daccs
-agrgation des liaisons
-qualit de service

-scurit des ports

-rseau locaux virtuel
-Fast Ethernet /gigabit Ethernet

Switch Catalyst 2960

(pour la
rseau)

symbole

accs

Fonctionnalit dun commutateur de couche 3 :

Les commutateurs de couche 3 peuvent excuter des fonctions de routage de la couche 3, ce

qui rduit le besoin de routeurs ddis sur un rseau local. Parce que les commutateurs de
couche 3 disposent dun matriel de commutation spcialis, lacheminement des donnes est
gnralement aussi rapide que la commutation.
Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manire
similaire un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais,
dfaut dexploiter les informations dadresses MAC de couche 2 pour toute dcision en
matire de transmission, un commutateur de couche 3 peut galement exploiter celles des
adresses IP. Un commutateur de couche 3 ne cherche pas uniquement savoir quelles
adresses MAC sont associes chacun des ports ; il peut galement identifier les adresses IP
associes ses interfaces. Il peut alors orienter le trafic sur le rseau sur la base des
informations recueillies sur les adresses IP.

Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites)
-

Switch catalyst Cisco 3750

4 Switch catalyst 2960 de 24 ports

1.1.3 SCHMA DE CBLAGE

Sur le deuxime tage, un local de rpartiteur principal constituera le point central de
raccordement du cblage LAN ainsi que le point de prsence de la connexion WAN. Les
principaux composants lectroniques du rseau, notamment les routeurs et les commutateurs
LAN, seront hbergs cet emplacement.
-

Le cblage horizontal comprendra des cbles paires torsades non

blindes de catgorie 5 et devra accepter un dbit de 100
Mbits/s de norme TIA/IEA-568-B.

Le cblage vertical (backbone) comprendra des cbles fibre optique multimode.

1.2 SERVEURS ET FONCTIONS

1.2.1- Emplacement des serveurs : (batterie des serveurs)
Il est trs difficile dadministrer et de scuriser un grand nombre de serveurs lorsquils sont
distribus sur plusieurs sites dun mme rseau. Cest pourquoi ils sont frquemment centraliss
sous forme de batteries de serveurs (terme utilis par Cisco). Ces batteries de serveurs sont
gnralement regroupes dans un local central. Cisco donne ce stade des recommandations
concernant la sparation des modules fonctionnelles dans un rseau de la faon suivantes :
Campus dentreprise :

cette zone contient les lments de rseau ncessaires une exploitation

indpendante, au sein dun rseau local.

Batterie de serveurs :

composant de campus dentreprise ; la batterie de serveurs protge les

ressources de serveur et fournit une connectivit haut dbit fiable et redondante. (Gnralement
constitue des serveurs principaux et des serveurs de sauvegarde pour lquilibrage de charge, la
redondance et la tolrance de panne).
Priphrie du rseau dentreprise :

lorsque le trafic de donnes arrive au rseau de lentreprise,

cette zone le filtre et le spare des ressources extrieures, pour lacheminer vers le rseau
1

dentreprise. Elle contient tous les composants ncessaires une communication efficace et
scurise entre le campus dentreprise et les sites distants, les utilisateurs distants et Internet.
Avantage dune telle conception du rseau :
La structure modulaire des architectures dentreprise (inspir de larchitecture des entreprises
chez Cisco) offre les avantages suivants en termes de conception :
-

Elle cre un rseau dterministe dot de frontires clairement dfinies entre les modules.
Ces points de dmarcation clairs permettent au concepteur du rseau de savoir exactement
do vient le trafic et o il va.

Elle facilite le travail de conception en rendant chaque module indpendant. Le

concepteur peut alors se concentrer sur les besoins de chaque zone, de manire
individuelle.

Elle amliore lextensibilit du systme en permettant lentreprise de rajouter facilement

de nouveaux modules. Lorsque la complexit du rseau augmente, il suffit au concepteur
dajouter de nouveaux modules fonctionnels.

Elle permet au concepteur dajouter des services et des solutions sans avoir modifier la
structure sous-jacente du rseau.

Donc au sein de notre rseau est segment en deux zones, la zone serveurs et la zone
utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi
segmente de telle sorte avoir un service par vlan. Chaque services ainsi que leurs serveurs
(Ressources humaines, comptabilit, finances ...) se trouvera sur un vlan diffrent afin de
segmenter au mieux notre rseau, d'en faciliter ladministration, grer la bande passante et
d'augmenter la scurit.

Fig. : Schma logique de larchitecture de rseau de sige de Marseille.

Dans ce schma : le nombre des ordinateurs et serveurs nest pas exhaustif, cest juste
schmatisation des frontires de chaque zone.
1.2.2- Fonctions :
Tous les serveurs seront classs en tant que services de type Entreprise ou Groupe de travail et
seront placs dans la topologie du rseau selon leur fonction et le trafic utilisateur prvu.
1- LES SERVEURS DENTREPRISE : (QUI COMPOSENT LINTRANET)
Services de Noms de Domaine (DNS) : Service de rsolution de nom dynamique. Ce
serveur est charg de traduire un nom en adresse IP. il permet d'accder simplement aux ressources
du Web sans avoir noter des adresses IP difficile retenir, il fera la mme chose soit a
l'intrieur de dun rseau soit sur internet.

Serveur active directory (AD) :

Sert pour lauthentification des utilisateurs de la compagnie lors de lexploitation des ressources de
rseau et gre les droits daccs au systme d'information de lentreprise. Ce serveur est le
contrleur de domaine de la compagnie dassurance (service active directory) sous Windows 2003
server.
Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour
communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris
et dunkerque
Serveur Web (HTTP) : ncessaire pour laccs aux ressources web de la compagnie.
Serveur E-Learning : qui hberge la plateforme e-Learning de la compagne, elle est
accessible aussi par les employs des succursales Paris et Dunkerque.
Serveur GED : outils de gestion de documents et changes et partages de fichiers entre
collaborateur de la compagnie.
Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue
automatiquement une adresse IP et toutes les donnes de configuration ncessaires a un bon
fonctionnement a chaque machine au moment de sa mise en service sur le rseau. Plus de liste de
paramtres configurer sur les postes clients.
2- LES SERVEURS DE GROUPE DE TRAVAIL :
SERVEUR D'APPLICATIONS propres a chaque service dentreprise (finance, comptabilit,
contrats dassurance .)
Toutes les applications informatiques seront hberges par un serveur propre chaque service (par
la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications
telles que gestion des contrats dassurances, finance,etc.

1.3 LES DEBITS

A partir de lhypothse que les applications utilises par la compagnie assurance de Marseille sont
gourmandes et consommatrice de la bande passante, jai opt pour des liens de en fibre optique
pour les liaisons verticales et restent volutifs en fonction du nombre de Switch empils.

Politique des VLANs

Un rseau local est dfini par un domaine de diffusion. Tous les htes d'un rseau local
reoivent les messages de diffusion mis par n'importe quel autre hte de ce rseau. Par
dfinition, un rseau local est dlimit par des quipements fonctionnant au niveau 3 (couche
rseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau
2(notamment de rduire le domaine de collision) et de scuriser le rseau.
Lobjectif principal tant de segmenter ce domaine de diffusion pour utiliser efficacement la bande
passante et dassurer la scurit des donnes transitant sur le rseau de la socit, de ce fait
chacun des services de la socit sera cloisonns sur un vlan.

2 ADRESSAGE ET NOMMAGE
2.1 ADRESSAGE :
Le plan d'adressage est la stratgie que l'on va appliquer afin de relier les diffrentes entits de
notre rseau de la manire la plus optimale. C'est--dire afin que le rseau soit le plus rapide
possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne).
Pour ce faire, je suis partis du principe que pour optimiser au maximum les diffrents flux
rseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de
privilgier la limitation des domaines de broadcast l'aide de VLANs.
De plus, on doit prendre en compte certains lments primordiaux pour la ralisation du plan
d'adressage. Tout d'abord, il me faut un plan d'adressage volutif. En effet, on doit pouvoir
s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra tre capable
d'accueillir des nouvelles entits sans subir aucun changement particulier.

A l'intrieur de notre rseau, on ne dfinira pas de sous rseaux pour

les diffrents services mais on utilisera plutt une solution base de VLAN
afin de rduire le nombre de routeur.

2.1.1 Adressage des serveurs et des postes de travail.

Le nombre de postes dans la compagnie Marseille assurance ne dpasse pas les 50 postes donc, jai
opt pour ladressage en classe C.
Nous avons fait le choix dadresser les actifs (routeurs, commutateurs) et les serveurs avec les
adresses dhtes les plus faibles : ce sont des adresses IP fixes.
Les postes de travail seront adresss avec les adresses restantes et se les verront attribuer
Dynamiquement. Le sige de Marseille dispose dun serveur DHCP configur pour distribuer les
adresses aux clients. Tous les ordinateurs des serveurs seront dots d'adresses statiques et les
ordinateurs rservs aux employs via le protocole DHCP.
Donc les machines peuvent tres adresses de 192.168.1.50 192.168.1.100 (mon
hypothse est base sur un nombre de 50 postes dans le sige de Marseille).

2.1.2 Plan dadressage :

Il tait possible de dcouper notre rseau en sous rseaux, mais je suis parti du principe que
pour optimiser au maximum les diffrents flux rseaux, il faut minimiser au maximum le routage
et favoriser la commutation. De ce fait, de privilgier la limitation des domaines de broadcast
l'aide de VLANs.
Il ya une possibilit de regrouper plusieurs service sur le mme serveur matriel, comme on peut
ces services dans des serveurs indpendants (selon laspect cout).
Elment

Adresse IP

masque

de

sous rseaux

Interface

interne

(passerelle)
Serveur DNS

du

routeur 192.168.1.1

255.255.255.0

Serveur

active 192.168.1.2

255.255.255.0

directory (AD) (sur la mme machine)

Serveur web
Serveur de messagerie
Serveur DHCP
Serveur GED
Serveur hbergeant la plate forme e-

192.168.1.3
192.168.1.4
192.168.1.5
192.168.1.6
192.168.1.7

255.255.255.0
255.255.255.0
255.255.255.0

Learning
Les postes utilisateurs

Adresse attribue par le serveur 255.255.255.0

DHCP :
Plage :

192.168.1.50

192.168.1.100
Les serveurs de groupe de travail qui Adresses fixes
hbergent les applications de :
(finance,

comptabilit,

partir

de 255.255.255.0

192.168.1.200
contrats

dassurance)
-

Les serveurs propres chaque service se situent dans leur propre

VLAN.

2.1.3 Plan de nommage :

Nom de domaine :
Serveur web :

marsassurance.fr

www.marsassurance.fr

Serveur messagerie :

mail.marsassurance.fr

Serveur e-Learning :

learn. marsassurance.fr

Le nom de domaine et les FQDN de chaque serveur sont configurer sur le serveur

DNS de la compagne.

3 Scurit :
Mise en uvre dun pare-feu afin de scuriser toutes les applications exposes Internet sur le
routeur Cisco 2811 via ses fonctionnalits intgres :
- Dtection des intrusions (IDS).
- Filtrage des URL
- Les listes de contrle daces (ACL).

II-

Connectivit
Dunkerque)

des

sites

distants

(Paris

et

Les deux sites distants existants, un Paris et lautre situe dunkerque.. Doivent pouvoir
accder la plateforme e-Learning situes sur un serveur lassurance Marseille.
Lun des objectifs prioritaires du nouveau rseau consiste tendre. Voici les deux connexions
distantes supplmentaires prvues :

1- Ladressage dans le rseau WAN :

- Systme NAT
Ladressage priv (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse
considrable dans la conception de leur rseau. Des schmas dadressage pratiques aux niveaux du
fonctionnement et de ladministration peuvent ainsi tre utiliss, et la croissance est plus simple
grer.
Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et quil nexiste pas
suffisamment dadresses publiques pour nous permettre den fournir une chacun de nos htes, les
rseaux ont besoin dun mcanisme pour traduire les adresses prives en adresses publiques la
priphrie du rseau ; ce mcanisme doit pouvoir fonctionner dans les deux sens.
Sans systme de traduction, Les htes privs derrire un routeur dans le rseau de Paris ne
peuvent pas se connecter aux htes privs derrire un routeur dans le rseau de Marseille via
Internet.
Donc on doit configurer un mcanisme de traduction dadresses de rseau qui sappel (NAT) sur
les trois routeurs (Marseille, paris et dunkerque) pour procurer un accs Internet.
Adresses IP de lInterface WAN de routeur

masque de sous rseaux

1

Marseille : 209.165.201.1

255.255.255.224

Paris :

255.255.255.224

209.165.200.225

Dunkerque : 209.165.202.129

255.255.255.224

Puisque la compagnie possde 3 adresses publiques pour grer des dizaines de machines dans
chaque rseau, le type de NAT configurer sur les 3 les routeurs et le NATING par port,

2- Comment scuriser laccs distant ?

Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au rseau de Marseille pour la
plateforme e-Learning. Et ils ont besoin dans certains cas daccder ressources rseau sur le rseau
de Marseille. Cette connexion concerne des informations dun aspect priv, elle doit tre
imprativement scurise.
Donc dans ce cas, Il faut dployer un systme de scurit pour :
Protger les communications inter -sites (Marseille, Paris, Dunkerque)
Autoriser les accs licites distants la plateforme e-Learning et aux services intranet de
Marseille : partir de Paris et Dunkerque.

Il sagit ici dune connexion site--site entre (Marseille-paris) et (Marseille-Dunkerque), la

technologie la plus adapt cette situation VPN site--site est la technologie IPSEC base sur le
tunneling.
Dans ce cas on va crer un rseau priv (celui de la compagnie dassurance) via un rseau
public (internet) .

La configuration de VPN IPSec va se faire sur les trois routeurs des sites
(Marseille, dunkerque et Paris).

3-

Des services supplmentaires sur les sites distants :

Afin de faciliter laccs aux serveurs de site distant de Marseille, jai opt dinstall dans chacun
des sites paris et dunkerque un serveur de noms local peut faire office de cache et rpondre plus
rapidement que l'interrogation du serveur de noms faisant autorit situ sur le site de Marseille.
III-

Schma gnral du rseau.

Configuration
Dunkerque, Paris) :

sur

le

routeur

Cisco

2811

(Marseille,

- Protocole de routage OSPF

- Translation dadresses NAT

- Liste de contrle daccs
- VPN
- firewall IDS