Académique Documents
Professionnel Documents
Culture Documents
Situation Professionnelle
VLAN - VTP
Sofiane Touchani
14
SOMMAIRE
I. Contexte 1) Prsentation StadiumCompany 2) Prsentation du prestataire NetworkingCompagny 3) Renseignement DSI Cahier des charges 1) Cration de besoins 2) Analyse cahier des charges Proposition de solution 1) Solution de mobilit de service 2) Segmentation logique de niveaux 1, 2 ou 3 3) Choix de solution 4) Propagation de configuration VLAN (VTP)
II.
III.
StadiumCompany est une socit qui gre un grand stade : Le Parc des Princes Cest un stade situ au sud-ouest de la ville de Paris, dans le XVIe arrondissement, et sur le priphrique parisien. C'est le quatrime plus grand stade franais. Cest un Stade de 44 053 places normales plus 230 places VIP. Cest une proprit de la Ville de Paris. Il a t construit en 1897. Son club rsident actuel est le Paris Saint-Germain depuis 1974. Il fut inaugur le 18 juillet 1897
StadiumCompany fournit linfrastructure rseau et les installations sur le stade. StadiumCompany emploie 170 personnes temps plein : - 35 dirigeants et responsables - 135 employs - Environ 80 intrimaires sont embauchs en fonction des besoins, pour des vnements spciaux dans les services installations et scurit.
Socit locale spcialise dans la conception de rseaux et le conseil, de la phase 1, la conception de haut niveau. Cest est une socit partenaire Cisco Premier Partner. Elle emploie 20 ingnieurs rseau qui disposent de diverses certifications et dune grande exprience dans ce secteur.
1re SSII dans le secteur des services informatiques en France et est parmi les 5 premiers mondiaux en externalisation. Elle a t cre par Serge Kampf le 1er octobre 1967 Grenoble (France) sous le nom de Sogeti (Socit pour la gestion de l'entreprise et traitement de l'information).
3) Renseignement DSI
StadiumCompany possde plusieurs structures matrielles et de nombreux salaris : Leffectif de StadiumCompany est de 170 employs temps plein et 80 intrimaires selon le besoin. Des services ont t mis en place pour assurer le bon fonctionnement de lentreprise tel quun DNS, DHCP, SMTP sont installs et pour permettre une sauvegarde des donnes traites par les utilisateurs un serveur TFTP a t mis en place.
Un serveur DHCP, DNS pour lattribution dynamique des adresses IP ; Un serveur de partage et de stockage de donnes. Un serveur WEB dynamique o est hberg le site vitrine du stade : www.stadiumcompany.com ; Un serveur SMTP pour grer la rception et lenvoi de mails ; Un serveur pour le service comptabilit/commercial ; Un serveur pour le service RH (ressource humaine);
Les serveurs sont sauvegards tous les soirs sur des bandes. StadiumCompany a mis en place une charte informatique respecter quil est possible de retrouver dans
LANNEXE 6
Adressage et attribution de noms faciles mettre niveau. Un systme de cloisonnement du rseau devra tre test. Les commutateurs devront tre facilement administrables afin de propager les configurations rapidement et aisment. La solution doit se faire avec les quipements rseau CISCO. Les diffrents commutateurs ainsi que le routeur doivent disposer de rglages de base homognes. Les diffrentes configurations doivent pouvoir tre sauvegardes/ restaures rapidement et facilement.
La scurit du systme dinformation devra tre renforce. La solution retenue devra tre administrable distance via un accs scuris.
Possibilit de mettre en place des services rseau plus mobiles et plus intgrs. Dveloppement durable, rduction des consommations d'nergie.
- Configuration gnrale
Description gnrale du rseau local
Larchitecture du rseau doit prendre en compte les lments suivant :
Disponibilit permanente du rseau Dbits levs Gestion simplifi de ladministration
- Equipement fournir :
Les serveurs
Le prestataire devra proposer les serveurs ncessaires lexploitation du rseau. Il devra prciser les caractristiques techniques de chaque solution et leur cot.
Cbles
Chaque cblage comportera son ensemble de connectique complet ainsi que les cordons de brassage correspondants. Le prestataire devra prendre en charge leur valuation hors budget.
Le rseau devra disposer des quipements lectroniques chargs dassurer la rpartition des signaux. (Switchs et/ou Hubs).
Les VLAN fonctionnent au niveau 2 et 3 du modle OSI La communication inter-VLAN est assure par le routage de couche 3 Les VLAN fournissent une mthode de contrle des broadcastes Les VLAN permettent d'effectuer une segmentation selon certains critres Des collgues travaillant dans le mme service Une quipe partageant le mme applicatif
Les VLAN peuvent assurer la scurit des rseaux en dfinissant les nuds rseaux qui peuvent communiquer entre eux.
Vlan de niveau 1
Mappage par port
Les Vlans par port associent un port d'un switch un numro de Vlan. On dit alors que le port est tagu suivant le Vlan donn. Le switch entretien ensuite une table qui lie chaque Vlan au port associ. Le taggage des ports peut se faire de manire statique ou de manire dynamique (voir la norme 802.1q)
Vlan de niveau 2
Mappage par Adresse MAC
Le Vlan de niveau segmente le rseau en fonction de l'adresse MAC de l'utilisateur. On associe ainsi des adresses des Vlans pour permettre un utilisateur de se dplacer sans pour autant changer de profil. Ce type de Vlan est gnralement utilis pour regrouper les utilisateurs par service.
Principe
Optimale
Le Vlan par port permet une tanchit maximale des Vlans. Une attaque extrieur ne pourra se faire qu'en branchant le PC pirate sur un port taggu. Le pirate a donc besoin d'avoir accs la machine physique pour pntrer le Vlan.
Moyenne
Les Vlans de niveau 2 permettent une scurit au niveau de l'adresse MAC. Le Vlan de niveau 2 offre une scurit moindre que le Vlan par port de par la possibilit de spoofer l'adresse MAC. De plus, il n'y a pas de contrle de flux prvu ce qui ncessite un bon dimensionnement du rseau.
Scurit
Moyenne
Administration plus complexe du fait dun paramtrage par @MAC si problmes surviennent (Problme de connexion, on doit rgler le problme de manire logique)
Admin
Faible
Configuration lourde et contraignante sur chaque switch. A chaque dplacement de poste, il faut modifier les switchs correspondant pour maintenir une qualit de service. Le mcanisme de Vlan par port ne possde pas d'architecture centralise qui pourrait permettre d'viter la lourdeur de la configuration. Chaque switch possde sa table de correspondance indpendamment du contenu des autres switchs.
Moyenne
Les Vlans de niveau 2 offrent des possibilits de centralisation des tables Vlans adresses MAC notamment par le protocole VTP. Chaque Switch interroge ensuite cette table pour connaitre les informations ncessaires une adresse MAC donne.
Adaptabilit
Vlan de niveau 3
10 Mappage par IP Les Vlans de niveau 3 permettent de regrouper plusieurs machines suivant le sous rseau auxquels elles appartiennent. La mise en place de Vlan de niveau 3 est conditionne par l'utilisation d'un protocole routable (IP, autres protocoles propritaires ...). L'attribution des Vlans se fait de manire automatique en dcapsulant le paquet jusqu'a l'adresse source. Cette adresse va dterminer quel Vlan appartient la machine.
Principe
Faible La scurit est beaucoup plus faible par rapport aux Vlans de niveau 1 / 2. Les Vlans de niveau 3 sont restreints par l'utilisation d'un protocole de routage pour avoir l'identifiant niveau 3, et ainsi se joindre au Vlan correspondant.
Scurit
Complexe mais polyvalente L'avantage du Vlan de niveau 3 est qu'il permet une affectation automatique un Vlan suivant une adresse IP. Par consquent, il suffit de configurer les clients pour joindre les groupes souhaits. Il est aussi possible de sparer les protocoles par Vlan...
Admin
Optimale
Adaptabilit
Les Vlans de niveau 3 souffrent de lenteur par rapport aux Vlans de niveau 1 et 2. En effet, le switch est oblig de dcapsuler le paquet jusqu l'adresse IP pour pouvoir dtecter quel Vlan il appartient. Il faut donc des quipements plus couteux (car ils doivent pouvoir dcapsuler le niveau 3) pour une performance moindre. Mais il facilite grandement la mobilit notamment sil ya beaucoup de postes mobiles la lourdeur de la configuration. Chaque switch possde sa table de correspondance indpendamment du contenu des autres switchs.
11
En rsum, le serveur VTP distribue et synchronise des informations VLAN aux commutateurs compatibles VTP sur le rseau commut, ce qui minimise les problmes provoqus par des configurations incorrectes ou incohrentes. Le protocole VTP mmorise les configurations VLAN dans la base de donnes VLAN appele vlan.dat.
12
ANNEXE 1
Cration et attribution de port VLAN sur le Switch_Serveur
vlan 11 name administration exit interface vlan11 ip address 172.20.0.2 255.255.255.0 no shutdown exit interface fa0/1 switchport mode access switchport acces vlan 11 no shutdown exit vlan 12 name equipes exit interface fa0/2 switchport mode access switchport acces vlan 12 no shutdown exit vlan 13 name vip-presse exit interface fa0/3 switchport mode access switchport acces vlan 13 no shutdown exit vlan 14 name fournisseur exit interface fa0/4 switchport mode access switchport acces vlan 14 no shutdown exit
ANNEXE 2
13
vlan 15 name restaurant exit interface fa0/5 switchport mode access switchport acces vlan 15 no shutdown exit vlan 101 name wifi exit vlan 102 name securite exit
ANNEXE 3
14
ANNEXE 2
VTP
Switch_Serveur:
switch_serveur(config)#hostname switch_serveur switch_serveur(config)#vtp mode server switch_serveur(config)#vtp version 2 switch_serveur(config)#vtp domain stadiumcompany switch_serveur(config)#vtp password stadiumcompany
Switch client :
switch_client1(config)#hostname swtich_client1 switch_client1(config)#vtp mode client switch_client1(config)#vtp version 2 switch_client1(config)#vtp domain stadiumcompany switch_client1(config)#vtp password stadiumcompany Le protocole VTP sert propager les VLANS de serveur vers les clients. Cest pour cela quon applique le mode serveur sur le Switch_Serveur , en mettant ensuite les deux autres switch en mode client ( Switch_client , Switch_client2 ) les VLANS vont y tre propags depuis le Switch_Serveur
Switch_client2 :
switch_client2(config)#hostname swtich_client2 switch_client2(config)#vtp mode client switch_client2(config)#vtp version 2 switch_client2(config)#vtp domain stadiumcompany switch_client2(config)#vtp password stadiumcompany
15
16
ANNEXE 3
Systme
StadiumCompany possde 7 serveurs, certains de ces serveurs proposent des services (type RH, comptabilit) et par contre nous observons quil manque des serveurs trs important pour renforcer la scurit et la fiabilit du domaine StadiumCompany. Nous allons donc mettre en place 8 nouveaux serveurs logiques dont 3 implant physiquement sur le site StadiumCompany et 5 mis en place virtuellement.
Adresse 172.20.0.100
Rle DNS primaire AD contrleur de domaine Exchange 2013 serveur DHCP Supervision
17
ANNEXE 4
Connexions physiques existantes
Billetterie
Internet
FAI2 FAI1 Rseau priv virtuel (sur DSL)
Routeur de priphrie
FAI3
Comptabilit
18
200.200.200.10
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
200.200.200.9
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
192.168.2.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
192.168.1.1
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
COMPACT FLASH
1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
Routeur SD2
Cisco 2800 Series
OPTIONAL RPS INPUT
CONSOLE
Routeur SD1
SYS AUX/ SYS PWR PWR ACT CF
COMPACT FLASH 1
AUX
100-240V ~ 2A 50/60Hz
___ 12V - - - 11A
200.200.200.6
Routeur Stade
200.200.200.2
AP 1
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
AP 2
CISCO AIRONET 350 SERIES WIRELESS ACCESS POINT
Switch serveur
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
12X
14X
24X
MODE
Switch client 2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Switch client 1
Catalyst 2960 SERIES
23X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
Administration VLAN 11
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Equipe VLAN 12
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
Fournisseurs VLAN 14
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
1X
11X
13X
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
11X
13X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
Administration VLAN 11: 172.20.0.0/24 Equipe VLAN 12: 172.20.1.0/24 VIP-Presse VLAN 13: 172.20.2.0/25 Fournisseurs VLAN 14: 172.20.2.128/25 Restaurant VLAN 15: 172.20.4.0/28 Securit VLAN 102: 172.20.3.128/25 WIFI VLAN 101: 172.20.3.128/25
2X
12X
14X
24X
12X
14X
24X
MODE
12X 14X 24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
Restaurant VLAN 15
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
1X
1 2
11X
13X
12X
14X
24X
MODE
MODE
12X
14X
24X
MODE
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X
11X
13X
12X
14X
24X
12X
14X
24X
MODE
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
12X
14X
24X
MODE
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
1X 1 2
11X
13X
12X
14X
24X
MODE
2X
12X
14X
24X
1X
11X
13X
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
MODE
2X
12X
14X
24X
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
2X
12X
14X
24X
1X
11X
13X
2
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24
12X
14X
24X
1X
11X
13X
MODE
SYST RPS MASTR STAT DUPLX SPEED
2X
12X
14X
24X
MODE
19
ANNEXE 5
Nous allons segmenter le rseau, pour cela nous allons crer des connections virtuelles (VLAN de niveau 3) qui seront interconnectes sur un seul rseau physique. De ce fait, nous mettrons en place un nouveau plan dadressage. Les VLANS permettrons, pour lentreprise, une meilleure optimisation de la bande passante, une rduction des infrastructures physique, ainsi que de leurs cots, de lentreprise et une meilleure stratgie de scurit des changes de donnes.
Plan d'adressage
StadiumCompany utilise ladresse rseau 172.20.0.0/21, 2^11 - 2 = 2046 adresses IP totales. Afin doptimiser le dcoupage en sous-rseaux de ce bloc dadresses, nous allons recalculer la taille de chaque bloc VSLM.
ADRESSE RESEAU : 172.20.0.0 1er sous rseau: ADMINISTRATION VLAN 11 Besoin de 250 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.0.0 255.255.255.0 /24 172.20.0.1 172.20.0.254 172.20.0.255
2me rseau : EQUIPE (A + B + VISITEUR) VLAN 12 Besoin de 160 IP - VSLM (Nombre dadresse) = 254 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.1.0 255.255.255.0 / 24 172.20.1.1 172.20.1.254 172.20.2.255
20
3me rseau : VIP PRESSE (Loge de LUXE Zone PRESSE) VLAN 13 Besoin de 70 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.128 / 25 172.20.2.1 172.20.2.126 172.20.2.127
4me rseau : FOURNISSEURS (- Stand, Tlphone, Employs) VLAN 14 Besoin de 40 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.128 255.255.255.128 /25 172.20.2.129 172.20.2.254 172.20.2.255
5me rseau : Wifi VLAN 101 VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
6me rseau : RESTAURANT VLAN 15 (2Tel + 12 PC) 14 IP - VSLM (Nombre dadresse) = 32 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.4.0 255.255.255.240 /28 172.20.4.129 172.20.4.158 172.20.4.159
7me rseau : SECURITE VLAN 102 (Tel + CamIP) 80 IP - VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.128 255.255.255.128 /25 172.20.3.129 172.20.3.254 172.20.3.255
21
8me rseau : SITE DISTANT1 (BILLETERIE) VSLM (Nombre dadresse) = 256 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.2.0 255.255.255.0 /24 172.20.2.1 172.20.2.254 172.20.2.255
9me rseau : SITE DISTANT2 (SOUVENIR) VSLM (Nombre dadresse) = 128 Adresse rseau Masque sous rseau Adresses htes Broadcast 172.20.3.0 255.255.255.128 /25 172.20.3.1 172.20.3.126 172.20.3.127
LIAISON STADE VERS SITE 1 IP 172.20.4.48 /30 LIAISON STADE VERS SITE 2 IP 172.20.4.52 /30 Adresses WAN: RSD1 : 200.200.200.0 RSD2 : 200.200.200.4
22
ANNEXE 6
GESTION PATROMOINE INFORMATIQUE :
Charte Informatique
Lentreprise StadiumCompany met en uvre un systme dinformation et de communication ncessaire son activit, comprenant notamment un rseau informatique et tlphonique, ainsi que des outils mobiles. Les salaris, dans lexercice de leurs fonctions, sont conduits utiliser les outils informatiques et tlphoniques mis leur disposition et accder aux services de communication doit se faire exclusivement des fins professionnelles, sauf exception prvue dans la prsente charte. Dans un but de transparence l'gard des utilisateurs, de promotion d'une utilisation loyale, responsable et scurise du systme d'information et de communication, la prsente charte pose les rgles relatives l'utilisation de ces ressources. Elle dfinit aussi les moyens de contrle et de surveillance de cette utilisation mise en place, non seulement pour la bonne excution du contrat de travail des salaris, mais aussi dans le cadre de la responsabilit pnale et civile de lemployeur. Elle dispose d'un aspect rglementaire et est annexe au rglement intrieur de l'entreprise. Elle ne remplace en aucun cas les lois en vigueur que chacun est cens connatre.
Utilisateurs concerns
Sauf mention contraire, la prsente charte s'applique l'ensemble des utilisateurs du systme d'information et de communication de l'entreprise, quel que soit leur statut, y compris les mandataires sociaux, salaris, intrimaires, stagiaires, employs de socits prestataires, visiteurs occasionnels. Elle sera annexe aux contrats de prestations. Les salaris veillent faire accepter valablement les rgles poses dans la prsente charte toute personne laquelle ils permettraient d'accder au systme d'information et de communication.