MODULE : Rseaux

PROJET DE CONCEPTION DE RESEAU

Cas : Assurance de Marseille

Ralis par : KHERFALLAH Boubaker Master 2 IPM Universit de Lille1

Ce document prsent ltude dune architecture rseau LAN/WAN en rponse a un besoin de la compagnie assurance de Marseille : Intranet, GED, e-Learning. 1

OBJET DU PROJET
Lobjet du projet est de proposer une solution darchitecture pour le rseau de la compagnie assurance de Marseille .Ce rseau doit tre dimensionn en fonction des types dutilisation, de lentit utilisatrice (Marseille, Paris, dunkerques) , de la bande passante, des services disponibles et des utilisateurs du rseaux

ELEMENTS PRIMORDIAL A PRENDRE EN CONSIDERATION LORS DE LA CONCEPTION :

Les bases de ma conception se rsument quatre objectifs fondamentaux :

Extensibilit : Les conceptions de rseau extensibles donnent la possibilit daccueillir de nouveaux groupes dutilisateurs et de sites distants et peuvent prendre en charge de nouvelles applications sans affecter le niveau de service fourni aux utilisateurs dj existants. Disponibilit : Un rseau conu pour tre disponible fournit, 24 heures sur 24 et 7 jours sur 7, des performances constantes et fiables. En outre, la dfaillance dune seule liaison ou dune partie du matriel ne doit pas avoir dimpact important sur les performances rseau. Scurit : La scurit doit tre prvue ds la conception du rseau et non ajoute aprs sa ralisation. La planification de lemplacement des dispositifs de scurit, des filtres et des pare-feu est primordiale pour assurer la protection des ressources du rseau. 1

Facilit de gestion : Quelle que soit la qualit de la conception initiale du rseau, le personnel en charge du rseau doit tre capable de le grer et de le prendre en charge. Un rseau trop complexe et difficile maintenir ne peut pas fonctionner efficacement.

I-

SIEGE DE MARSEILLE :

ARCHITECTURE PROPOSE 1.1 TOPOLOGIE DE RSEAU: 1.1.1 ARCHITECTURE GNRALE

Larchitecture que je viens de proposer se base sur une conception hirarchique divise en trois couches : Cur de rseau : assure la commutation haut dbit (optimisation du transport). Rseau de distribution : assure une connectivit fonde sur les stratgies. Accs : permet aux utilisateurs et aux groupes de travail d'accder au rseau. NB : dans les entreprises de petite taille, il nest pas rare dimplmenter un modle fdrateur, o la couche de distribution et la couche coeur de rseau se trouvent au sein dune seule et mme couche.

Dans notre cas : un commutateur de couche distribution joue le rle de fdrateur.

Avantage dun rseau hirarchique : - volutivit : les rseaux hirarchiques peuvent tre aisment tendus. - redondance : la redondance au niveau de la couche cur rseau et distribution garantis la disponibilit des chemins daccs. - performance : lagrgation des liaisons garantis une vitesse proche de celle de cble travers le rseau. - scurit : scurit des ports au niveau de la couche accs rseau et les stratgies au niveau de la couche de distribution renforcent la scurit de rseau. -facilit de gestion : la cohrence entre les commutateurs chaque niveau simplifie la gestion. -maintenance : via la modularit hirarchique la maintenance devient facile.

1.1.2 LE MATRIEL
Jai choisi duniformiser le type de matriel dploy sur l'ensemble de mon architecture. Cela aura plusieurs avantages : 1

Tous les quipements sont de mme marque ce qui vite tous problmes de compatibilit entre les protocoles propritaires. Et mme plus il nous permet dexploiter pleinement les protocoles dvelopps par le constructeur. Jai donc choisi de prendre du matriel Cisco puisque ce sont des quipements fiables qui ont fait leur preuve. Les quipements dinterconnexion: Equipement dinterconnexion Routeurs Cisco 2811 fonctionnalits avances : Fonctions symbole

Large ventail doptions de rseau LAN et WAN. possible volution pour sadapter aux futures technologies. Routage Plusieurs types finale demplacements qui permettent dajouter des options de connectivit et des services mesure que lentreprise se dveloppe avec la plate-forme logicielle Cisco IOS Security, permettent de bnficier de la protection des liaisons de rseau WAN et des services VPN.

vers la destination

Switch Catalyst 3570 (Pour la couche distribution)

-Prise en charge de la couche 3 - dbit de transfert lev. -Ethernet gigabits/ Ethernet 10 gigabits - composants redondants -stratgies de scurit/liste de contrle daccs -agrgation des liaisons -qualit de service

Switch Catalyst 2960 (pour la rseau) couche accs

-scurit des ports -rseau locaux virtuel -Fast Ethernet /gigabit Ethernet

Fonctionnalit dun commutateur de couche 3 :

Les commutateurs de couche 3 peuvent excuter des fonctions de routage de la couche 3, ce qui rduit le besoin de routeurs ddis sur un rseau local. Parce que les commutateurs de couche 3 disposent dun matriel de commutation spcialis, lacheminement des donnes est gnralement aussi rapide que la commutation. Un commutateur de couche 3, tel que le commutateur Catalyst 3570, fonctionne de manire similaire un commutateur de couche 2 (par exemple, le commutateur Catalyst 2960) mais, dfaut dexploiter les informations dadresses MAC de couche 2 pour toute dcision en matire de transmission, un commutateur de couche 3 peut galement exploiter celles des adresses IP. Un commutateur de couche 3 ne cherche pas uniquement savoir quelles adresses MAC sont associes chacun des ports ; il peut galement identifier les adresses IP associes ses interfaces. Il peut alors orienter le trafic sur le rseau sur la base des informations recueillies sur les adresses IP.

Dans notre cas : - 3 routeur Cisco 2811 (pour les trois sites)
Switch catalyst Cisco 3750 4 Switch catalyst 2960 de 24 ports

1.1.3 SCHMA DE CBLAGE

Sur le deuxime tage, un local de rpartiteur principal constituera le point central de raccordement du cblage LAN ainsi que le point de prsence de la connexion WAN. Les principaux composants lectroniques du rseau, notamment les routeurs et les commutateurs LAN, seront hbergs cet emplacement.
-

Le cblage horizontal comprendra des cbles paires torsades non blindes de catgorie 5 et devra accepter un dbit de 100 Mbits/s de norme TIA/IEA-568-B.

Le cblage vertical (backbone) comprendra des cbles fibre optique multimode.

1.2 SERVEURS ET FONCTIONS

1.2.1- Emplacement des serveurs : (batterie des serveurs) Il est trs difficile dadministrer et de scuriser un grand nombre de serveurs lorsquils sont distribus sur plusieurs sites dun mme rseau. Cest pourquoi ils sont frquemment centraliss sous forme de batteries de serveurs (terme utilis par Cisco). Ces batteries de serveurs sont gnralement regroupes dans un local central. Cisco donne ce stade des recommandations concernant la sparation des modules fonctionnelles dans un rseau de la faon suivantes :
Campus dentreprise :

cette zone contient les lments de rseau ncessaires une exploitation

indpendante, au sein dun rseau local.

Batterie de serveurs :

composant de campus dentreprise ; la batterie de serveurs protge les

ressources de serveur et fournit une connectivit haut dbit fiable et redondante. (Gnralement constitue des serveurs principaux et des serveurs de sauvegarde pour lquilibrage de charge, la redondance et la tolrance de panne).
Priphrie du rseau dentreprise :

lorsque le trafic de donnes arrive au rseau de lentreprise,

cette zone le filtre et le spare des ressources extrieures, pour lacheminer vers le rseau 1

dentreprise. Elle contient tous les composants ncessaires une communication efficace et scurise entre le campus dentreprise et les sites distants, les utilisateurs distants et Internet. Avantage dune telle conception du rseau : La structure modulaire des architectures dentreprise (inspir de larchitecture des entreprises chez Cisco) offre les avantages suivants en termes de conception : Elle cre un rseau dterministe dot de frontires clairement dfinies entre les modules. Ces points de dmarcation clairs permettent au concepteur du rseau de savoir exactement do vient le trafic et o il va. Elle facilite le travail de conception en rendant chaque module indpendant. Le concepteur peut alors se concentrer sur les besoins de chaque zone, de manire individuelle. Elle amliore lextensibilit du systme en permettant lentreprise de rajouter facilement de nouveaux modules. Lorsque la complexit du rseau augmente, il suffit au concepteur dajouter de nouveaux modules fonctionnels. Elle permet au concepteur dajouter des services et des solutions sans avoir modifier la structure sous-jacente du rseau.

Donc au sein de notre rseau est segment en deux zones, la zone serveurs et la zone
utilisateurs. Cette segmentation s'effectue au travers de vlans. La zone utilisateurs est elle aussi segmente de telle sorte avoir un service par vlan. Chaque services ainsi que leurs serveurs (Ressources humaines, comptabilit, finances ...) se trouvera sur un vlan diffrent afin de segmenter au mieux notre rseau, d'en faciliter ladministration, grer la bande passante et d'augmenter la scurit.

Fig. : Schma logique de larchitecture de rseau de sige de Marseille.

Dans ce schma : le nombre des ordinateurs et serveurs nest pas exhaustif, cest juste
schmatisation des frontires de chaque zone. 1.2.2- Fonctions : Tous les serveurs seront classs en tant que services de type Entreprise ou Groupe de travail et seront placs dans la topologie du rseau selon leur fonction et le trafic utilisateur prvu. 1- LES SERVEURS DENTREPRISE : (QUI COMPOSENT LINTRANET) Services de Noms de Domaine (DNS) : Service de rsolution de nom dynamique. Ce serveur est charg de traduire un nom en adresse IP. il permet d'accder simplement aux ressources du Web sans avoir noter des adresses IP difficile retenir, il fera la mme chose soit a l'intrieur de dun rseau soit sur internet.

Serveur active directory (AD) : Sert pour lauthentification des utilisateurs de la compagnie lors de lexploitation des ressources de rseau et gre les droits daccs au systme d'information de lentreprise. Ce serveur est le contrleur de domaine de la compagnie dassurance (service active directory) sous Windows 2003 server. Serveur Messagerie : Le courriel est un outil indispensable de l'entreprise pour communiquer aussi bien au sein de site de Marseille au avec des utilisateurs des deux sites de paris et dunkerque Serveur Web (HTTP) : ncessaire pour laccs aux ressources web de la compagnie. Serveur E-Learning : qui hberge la plateforme e-Learning de la compagne, elle est accessible aussi par les employs des succursales Paris et Dunkerque. Serveur GED : outils de gestion de documents et changes et partages de fichiers entre collaborateur de la compagnie. Serveur DHCP : Service de configuration dynamique des clients. Ce serveur attribue automatiquement une adresse IP et toutes les donnes de configuration ncessaires a un bon fonctionnement a chaque machine au moment de sa mise en service sur le rseau. Plus de liste de paramtres configurer sur les postes clients. 2- LES SERVEURS DE GROUPE DE TRAVAIL : SERVEUR D'APPLICATIONS propres a chaque service dentreprise (finance, comptabilit, contrats dassurance .) Toutes les applications informatiques seront hberges par un serveur propre chaque service (par la suite : les serveurs propres a chaque service se situent dans leur propre Vlan). Des applications telles que gestion des contrats dassurances, finance,etc.

1.3 LES DEBITS A partir de lhypothse que les applications utilises par la compagnie assurance de Marseille sont gourmandes et consommatrice de la bande passante, jai opt pour des liens de en fibre optique pour les liaisons verticales et restent volutifs en fonction du nombre de Switch empils.

Politique des VLANs

Un rseau local est dfini par un domaine de diffusion. Tous les htes d'un rseau local reoivent les messages de diffusion mis par n'importe quel autre hte de ce rseau. Par dfinition, un rseau local est dlimit par des quipements fonctionnant au niveau 3 (couche rseau). Les VLANs vont nous permettre de segmenter ce domaine de diffusion au niveau 2(notamment de rduire le domaine de collision) et de scuriser le rseau. Lobjectif principal tant de segmenter ce domaine de diffusion pour utiliser efficacement la bande passante et dassurer la scurit des donnes transitant sur le rseau de la socit, de ce fait chacun des services de la socit sera cloisonns sur un vlan.

2 ADRESSAGE ET NOMMAGE 2.1 ADRESSAGE :

Le plan d'adressage est la stratgie que l'on va appliquer afin de relier les diffrentes entits de notre rseau de la manire la plus optimale. C'est--dire afin que le rseau soit le plus rapide possible avec si possible l'architecture la plus simple (ce qui facilite le diagnostic en cas de panne). Pour ce faire, je suis partis du principe que pour optimiser au maximum les diffrents flux rseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilgier la limitation des domaines de broadcast l'aide de VLANs. De plus, on doit prendre en compte certains lments primordiaux pour la ralisation du plan d'adressage. Tout d'abord, il me faut un plan d'adressage volutif. En effet, on doit pouvoir s'adapter et anticiper la croissance de l'entreprise e. mon plan d'adressage devra tre capable d'accueillir des nouvelles entits sans subir aucun changement particulier.

A l'intrieur de notre rseau, on ne dfinira pas de sous rseaux pour

les diffrents services mais on utilisera plutt une solution base de VLAN afin de rduire le nombre de routeur.

2.1.1 Adressage des serveurs et des postes de travail.

Le nombre de postes dans la compagnie Marseille assurance ne dpasse pas les 50 postes donc, jai opt pour ladressage en classe C. Nous avons fait le choix dadresser les actifs (routeurs, commutateurs) et les serveurs avec les adresses dhtes les plus faibles : ce sont des adresses IP fixes. Les postes de travail seront adresss avec les adresses restantes et se les verront attribuer Dynamiquement. Le sige de Marseille dispose dun serveur DHCP configur pour distribuer les adresses aux clients. Tous les ordinateurs des serveurs seront dots d'adresses statiques et les ordinateurs rservs aux employs via le protocole DHCP. Donc les machines peuvent tres adresses de 192.168.1.50 192.168.1.100 (mon hypothse est base sur un nombre de 50 postes dans le sige de Marseille).

2.1.2 Plan dadressage :

Il tait possible de dcouper notre rseau en sous rseaux, mais je suis parti du principe que
pour optimiser au maximum les diffrents flux rseaux, il faut minimiser au maximum le routage et favoriser la commutation. De ce fait, de privilgier la limitation des domaines de broadcast l'aide de VLANs. Il ya une possibilit de regrouper plusieurs service sur le mme serveur matriel, comme on peut ces services dans des serveurs indpendants (selon laspect cout).
Elment Adresse IP masque sous rseaux de

Interface

interne +

du Serveur

routeur 192.168.1.1 active 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.5 192.168.1.6 192.168.1.7

255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0

(passerelle) Serveur DNS

directory (AD) (sur la mme machine) Serveur web Serveur de messagerie Serveur DHCP Serveur GED Serveur hbergeant la plate forme eLearning Les postes utilisateurs

Adresse attribue par le serveur 255.255.255.0 DHCP : Plage : 192.168.1.50 1

192.168.1.100 Les serveurs de groupe de travail qui Adresses fixes hbergent les applications de : (finance, dassurance)
-

partir

de 255.255.255.0

192.168.1.200 contrats

comptabilit,

Les serveurs propres chaque service se situent dans leur propre

VLAN.

2.1.3 Plan de nommage :

Nom de domaine : Serveur web :

marsassurance.fr
mail.marsassurance.fr

www.marsassurance.fr

Serveur messagerie :

Serveur e-Learning :

learn. marsassurance.fr

Le nom de domaine et les FQDN de chaque serveur sont configurer sur le serveur

DNS de la compagne.

3 Scurit :
Mise en uvre dun pare-feu afin de scuriser toutes les applications exposes Internet sur le routeur Cisco 2811 via ses fonctionnalits intgres : - Dtection des intrusions (IDS). - Filtrage des URL - Les listes de contrle daces (ACL).

II-

Connectivit Dunkerque)

des

sites

distants

(Paris

et

Les deux sites distants existants, un Paris et lautre situe dunkerque.. Doivent pouvoir accder la plateforme e-Learning situes sur un serveur lassurance Marseille. Lun des objectifs prioritaires du nouveau rseau consiste tendre. Voici les deux connexions distantes supplmentaires prvues :

1- Ladressage dans le rseau WAN : - Systme NAT

Ladressage priv (de type 192.168.1.0 par exemple) offre aux entreprises une souplesse considrable dans la conception de leur rseau. Des schmas dadressage pratiques aux niveaux du fonctionnement et de ladministration peuvent ainsi tre utiliss, et la croissance est plus simple grer. Mais avec ces adresses on ne pourra pas acheminer ces adresses sur Internet et quil nexiste pas suffisamment dadresses publiques pour nous permettre den fournir une chacun de nos htes, les rseaux ont besoin dun mcanisme pour traduire les adresses prives en adresses publiques la priphrie du rseau ; ce mcanisme doit pouvoir fonctionner dans les deux sens. Sans systme de traduction, Les htes privs derrire un routeur dans le rseau de Paris ne peuvent pas se connecter aux htes privs derrire un routeur dans le rseau de Marseille via Internet. Donc on doit configurer un mcanisme de traduction dadresses de rseau qui sappel (NAT) sur les trois routeurs (Marseille, paris et dunkerque) pour procurer un accs Internet. Adresses IP de lInterface WAN de routeur masque de sous rseaux 1

Marseille : 209.165.201.1 Paris : 209.165.200.225

255.255.255.224 255.255.255.224 255.255.255.224

Dunkerque : 209.165.202.129

Puisque la compagnie possde 3 adresses publiques pour grer des dizaines de machines dans chaque rseau, le type de NAT configurer sur les 3 les routeurs et le NATING par port,

2- Comment scuriser laccs distant ?

Les utilisateurs de Paris et Dunkerque doivent pouvoir se connecter au rseau de Marseille pour la plateforme e-Learning. Et ils ont besoin dans certains cas daccder ressources rseau sur le rseau de Marseille. Cette connexion concerne des informations dun aspect priv, elle doit tre imprativement scurise. Donc dans ce cas, Il faut dployer un systme de scurit pour : Protger les communications inter -sites (Marseille, Paris, Dunkerque) Autoriser les accs licites distants la plateforme e-Learning et aux services intranet de Marseille : partir de Paris et Dunkerque.

Il sagit ici dune connexion site--site entre (Marseille-paris) et (Marseille-Dunkerque), la technologie la plus adapt cette situation VPN site--site est la technologie IPSEC base sur le tunneling. Dans ce cas on va crer un rseau priv (celui de la compagnie dassurance) via un rseau public (internet) .

La configuration de VPN IPSec va se faire sur les trois routeurs des sites
(Marseille, dunkerque et Paris).

3-

Des services supplmentaires sur les sites distants :

Afin de faciliter laccs aux serveurs de site distant de Marseille, jai opt dinstall dans chacun des sites paris et dunkerque un serveur de noms local peut faire office de cache et rpondre plus rapidement que l'interrogation du serveur de noms faisant autorit situ sur le site de Marseille.
III-

Schma gnral du rseau.

Configuration Dunkerque, Paris) :

sur

le

routeur

Cisco

2811

(Marseille,

- Protocole de routage OSPF

- Translation dadresses NAT - Liste de contrle daccs - VPN - firewall IDS