Académique Documents
Professionnel Documents
Culture Documents
MEMOIRE
Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS)
Discipline : Systèmes, Réseaux et Cloud Computing
SOMMAIRE
SOMMAIRE ………………………………………………………………………………………… 02
AVANT-PROPOS………………………………………………………………………………...……. 03
REMERCIEMENTS…………………………………………………………………………………… 04
INTRODUCTION ……………………………………………………………………………………… 08
Avant-propos
Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to -
Site) au sein d’une entreprise ".
Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a
pour but de présenter le résultat du travail effectué sur ledit thème.
Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en
place d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions
idoines aux problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre
formation académique et de nos réflexions empiriques.
Remerciements
Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de
parvenir à ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il
convient de remercier. Il aurait été certainement plus juste de remercier nommément chacune
d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour
leur contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu
figurer ici.
Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs
sans qui ce travail n'aurait pas pu aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu
tout le long de mon parcours.
J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette
formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice
de l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA)
J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir
fourni une aide précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean-
Paul, pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire.
Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience
dans le domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout
en respectant les architectures en place.
Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné
ma chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet
de Bachelor dont mes collègues et camarades de classe.
RA : Registration Authority
SA : Security Association
Introduction générale
Introduction
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications
ont acquis ces dernières décennies une importance indéniable. Aujourd’hui, aussi indispensable
que l’eau et l’électricité, aucun développement ne saurait se faire sans elles.
La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou
encore internet), de nos jours paralyserait bons nombres de services (entreprises, institutions,
administrations, etc…).
C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a
entrepris des réformes dans le domaine de la télécommunication visant à informatiser les
différents secteurs d’activité.
Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui
était celui d’avoir accès à tout moment et de n’importe où aux ressources offertes par les entités
informatisées (entreprise, foyer, administrations, etc..) de manière sécurisée d’où la naissance
du besoin en VPN (Virtual Private Network ou Réseau Privé Virtuel).
C’est dans cette même veine de besoin à satisfaire que la SOROUBAT a initié ce projet ayant
pour thème « Mise en place d’un VPN (Site–to-Site) au sein d’une entreprise ».
I. Problématique
Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé
graduellement comme un instrument primordial dans le monde professionnel, devenant l'outil
incontournable pour la gestion de l'information allant jusqu’ à la prise de décision d’une
importance capitale pour les entreprises
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important
marché en 2007. Ce projet de 75,8 Km, entrant dans le cadre du prolongement de l’autoroute du
Nord reliant ABIDJAN à YAMOUSSOUKRO, est composé de 3 lots comportant 11 échangeurs
et 9 passages inférieurs :
Suite à la réalisation de ce projet depuis fin 2012, la société SOROUBAT a axé sa stratégie
de développement sur son service informatique notamment en mettant en place une
interconnexion entre ses différents chantiers à l’intérieur du pays et son siège social sis à Abidjan.
Cependant, dans sa gestion quotidienne, la SOROUBAT éprouve plusieurs difficultés
concernant la gestion centralisée de ses données et informations ainsi que dans l’interactions
avec ses sociétés du groupe.
Par exemple, vu la demande étendue à différents chantiers repartis sur le territoire ivoirien
elle a du mal à fédérer le suivi de ses stocks et demande en approvisionnement.
Pourtant, une rupture de stock ou un retard de livraison est susceptible d’immobiliser
plusieurs engins qui peuvent conduire à l’arrêt des travaux sur le chantier.
La nécessité pour la Direction Générale de disposer d’un moyen de transmission et de
réception (interconnexion) des flux de donnés regroupant, mobilité, itinérance et fidélité s’impose.
Cette interconnexion devrait constituer la boussole des services de transmissions à
distance de l’entreprise, il devient évident que la mise en place d’un tel système serait très
judicieuse pour la pérennité du système d’information du groupe SOROUBAT.
Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau Privé
Virtuel (VPN) au sein d’une entreprise ».
Cependant, cette situation suscite un certain nombre d’interrogations :
- Comment la SOROUBAT est-elle organisée dans son système d’information actuel ?
- Comment accéder à distance de n’importe où aux ressources de données du siège ?
- Quelles dispositions prendre pour assurer une interconnexion optimale des différents sites
distants au sein de la SOROUBAT ?
Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans les
centres de documentations et bibliothèques universitaires il s’agit de :
Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des ouvrages
généraux, des ouvrages spécialisés, des revues, des rapports d’études, des mémoires. Ces
ouvrages et sites web donnerons une connaissance générale sur le thème et nous permettrons
d’élaborer un plan de travail beaucoup plus scientifique.
La première partie sera une réflexion théorique et globale qui aborde de façon
analytique le thème.
Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.
La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche du
projet.
Un accent particulier sera mis sur une étude technique suivit de la présentation d’une
solution architecturale ainsi que sur l’administration et la sécurité du réseau.
La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième partie sera
consacrée à la mise en service du VPN et des services associés de façon pratique suivi
d’une évaluation financière du projet.
Première partie :
Approche méthodologique
Cette première partie de l'étude consiste en une réflexion purement théorique sur le sujet et
expose la démarche méthodologique adoptée pour le traiter. Elle s'attache ainsi, exclusivement,
à montrer l'intérêt scientifique du sujet, à poser le problème, à dégager les hypothèses de
recherche, à élaborer la méthodologie sur laquelle s'appuie la recherche, et enfin à indiquer les
modes de mobilisation et de production de l'information.
- Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux scientifiques
et pose le problème. Il s'agit aussi, par une analyse de présenter « l 'état des lieux » d'un tel
sujet.
- Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant sur lequel
s'appuie la recherche. Une deuxième phase de ce chapitre indique les besoins qui ressortent
de cette analyse, constituant la substance de l'étude.
I. Présentation de SOROUBAT
Dans cette partie de notre mémoire, nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la
structure organique de l'entreprise SOROUBAT-CI.
La « Société des Routes et Bâtiment » en abrégé SOROUBAT, est une entreprise de droit
tunisien ayant pour cœur d’activité principale les BTP (bâtiment et travaux publics), elle a une
représentation en Côte d’Ivoire.
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché
en 2007. La SOROUBAT-CI est une société à caractère privé, à responsabilité limitée (Sarl) au
capital de 4. 000. 000.000 FCFA (Quatre milliards de Francs CFA).
Au départ succursale, elle est devenue une SARL. Elle se développe en groupe à ce jours
plusieurs sociétés émanent de SOROUBAT-CI (SAME BUSINESS, SOGECAR, MADALY
SANTE, MADALY TOUR, SIAG, SADEP, C2SR, SDIA, FC SAN PEDRO).
SOROUBAT-CI, intervient dans le domaine des travaux publics tels que les routes,
l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais elle s’est plus
particulièrement spécialisée dans la construction des routes, autoroutes et ouvrages d’arts.
I.3 - Activités
I.4 - Organisation
- La Direction Générale ;
- La Direction Administrative et Comptable ;
- La Direction Financière ;
- La Direction des Projets ;
- La Direction du matériel.
Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses ressources.
Vu l’ambition de la SOROUBAT d’être leader des BTP sur l’échiquier international, et dans le but
de lui permettre d’être interconnecté entre ses différents sites nationaux et même internationaux,
il a été jugé bon de nous pencher sur la question de la : « Mise en place de Réseau Privé Virtuel
(VPN) au sein d’une entreprise » et d’en faire une référence.
Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place d'une
interconnexion entre plusieurs site distant à travers un VPN afin de faciliter les échanges distants
de données au sein de la société SOROUBAT et de ce fait de mieux gérer le système
d’information de l’entreprise.
Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place
un réseau virtuel privé stable et opérationnel. Ceci nous amènera donc à étudier différents
aspects :
- Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon
fonctionnement.
Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi riche
et prometteur que le thème.
En effet les contraintes globales que nous devons respecter sont les suivantes :
- Identifier les différents services de SOROUBAT ;
Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l’existant quel qu’il
soit.
La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou
indirectement une relation avec le service informatique de SOROUBAT
Il s’agit principalement du Directeur Financier M. CHADI Issam, de M. SABER Drira, Directeur
Administratif, de M. Riadh AYACHI Responsable Achat.
Après quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette
méthodologie de travail nous a permis d’avoir une connaissance large de l’existant.
I. Etude de l’existant
Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que possible, l'analyse
qualitative et quantitative du système d’information actuel de la SOROUBAT.
- La première consiste à recueillir les informations ; elle est réalisée à partir d'entretiens ou
de questionnaires, tableaux de bords, catalogues, études, données statistiques etc.
Il s’agira donc pour nous de rassembler les informations relatives à l’organisation de l’existant.
Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de Télécommunication
et des services qui feront l’objet d’interconnexion.
SIEGE
Direction Nbre des Pcs Marques Types HDD Mémoires
RAM
Dir. Générale 04 Dell Core I7 1Terra 8 Go
Dir. RH 04 HP Core I5 500 Go 4 Go
Dir. Technique 04 Dell Core I5 500 Go 4 Go
Services Achat 06 Dell Core I5 500 Go 4 Go
Dir. Financier 07 HP Core I5 500 Go 4 Go
Dir. Comptable 03 Dell Core I5 500 Go 4 Go
Dir Audit 02 HP Core I5 500 Go 4 Go
Dir Informatique 04 Dell Core I7 2 Terra 8 Go
Dir Transit 03 Dell Core I5 500 Go 4 Go
Service Juridique 01 Dell Core I5 500 Go 4 Go
Service Contrôle 06 HP Core I5 500 Go 4 Go
de gestion
Secrétariat 04 HP Core I5 1Terra 4 Go
TOTAL 48
- LES SERVEURS
Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents
clients. Les serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous dans une
salle machine et présentent différentes caractéristiques énumérées comme suit :
De façon plus précise, le réseau LAN de SOROUBAT, est un réseau FAST ETHERNET commuté
à 10/100Mbps, essentiellement basé sur une topologie en étoile.
Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant des paires
torsadées FTP catégorie 6.
Les applications de SOROUBAT sont diverses et installées sur les serveurs contenus en salle
machine en mode client-serveur sur les autres machines.
Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis les chantiers
de SOROUBAT à l’intérieur du pays et en dehors.
Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci-
après.
Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les serveurs être mis
en DMZ.
La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement
des ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un
réseau interne (LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou
de publier les services sur internet sur le contrôle de Pare-feu externe.
Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur d'impression, un
serveur d'antivirus, un serveur de Navision, un serveur de messagerie (Exchange) ils assurent
tous l'échange des informations entre les employés de l'entreprise, etc.
Les informations de l'entreprise arrivent par le routeur du FAI, elles sont directement envoyées
au pare-feu qui lui, les envoient au travers d’un switch fédérateur à un serveur en fonction bien
entendu de la nature de l'information (données, etc.) à son tour le serveur concerné route
l'information au terminal du destinataire. Les informations provenant du réseau externe (internet)
sont préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou tout
simplement rejetée.
Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier aux contraintes
précédemment mentionnées.
Ce sont les besoins exprimés par les différents services de la SOROUBAT pour mener à bien ce
projet.
- Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les domaines de
diffusion (VLAN) ;
- La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux, filtrage) ;
Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit
répondre.
Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères suivants :
- La documentation du réseau.
Deuxième partie :
Etude technique et conditions de réalisation
La mise en place optimale d’une solution VPN, exige une connaissance suffisante en
matière d’architecture informatique et de liaison d’interconnexion, tant au plan général des
infrastructures réseaux qu'au niveau spécifique des télécommunications. La présente partie
de l'étude s'efforce d'apporter cette indispensable connaissance.
- Le chapitre 1 offre un aperçu général sur les différents types de réseaux et topologies
informatiques, ainsi que sur les équipements d’interconnexion des réseaux qui sont des
prérequis indispensables à assimiler pour notre étude technique. Il en relève par ailleurs les
contraintes infrastructurelles.
- Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des différents types
de VPN afin de savoir quand implémenter chaque type.
Un réseau informatique est un ensemble de moyens matériels et logiciels mis en œuvre pour
assurer les communications (échange de messages entre utilisateurs, l’accès à distance à des
bases de données ou encore le partage de fichiers) de données, et le partage de services entre
ordinateurs, terminaux informatiques. Ces communications étaient, bien avant, destinées aux
transports de données informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui
intègrent, à la fois, des données, la voix, et la vidéo.
Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à comprendre pourquoi
certaines topologies existent.
Les réseaux en fonction de la localisation, la distance et le débit, sont classés en trois types :
Source : Mémoire « Mise en place d'un réseau VPN. Cas de la BRALIMA Sarl en RDC »
• LAN (Local Area Network ou réseau local en français) : Il s’´étend sur quelques dizaines à
quelques centaines de mètres. C’est un réseau local, il correspond par sa taille aux réseaux intra-
entreprises et permet l’échange de données et le partage de ressources.
• WAN (Wide Area Network ou réseau étendu au public en français) : Réseau typiquement à
l'échelle d'un pays, d'un continent, ou de la planète entière, généralement celui des opérateurs.
Le plus connu des WAN est Internet. Un WAN est en fait une succession de plusieurs LAN Dans
ce document.
Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et logique.
- La topologie physique :
• Topologie en bus
Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus (pensez, que
chaque passager peut y accéder et se trouver une place pour
poursuivre le trajet).
Dans cette topologie, tous les ordinateurs sont connectés entre
eux par le biais d'un seul câble réseau débuté et terminé par
des terminateurs.
Ce qui n'est pas du tout pratique, et ceux pour 2 raisons
majeures. La première est que, parce que toutes les machines
utilisent le même câble, le réseau n'existe plus si le câble vient
Schéma d'un réseau en à être défectueux. Alors, il n'y aura plus de communication
bus possible étant donné que tous les hôtes partagent un câble
commun.
La seconde est que, puisque le câble est commun, la vitesse
de transmission est très faible.
Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, il ne faut pas que 2
machines communiquent simultanément, sinon cela créé des collisions !
Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas assurée à
100% car tous Les hôtes peuvent voir les données destinées à un hôte du réseau, heureusement
que d'autres topologies plus simples et plus pratiques existent.
• Topologie en anneau
Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau.
• Topologie maillée
La formule pour connaitre le nombre de câbles est n(n-1) / Schéma d'un réseau en maille
2, avec n le nombre d'ordinateurs. Donc rien qu'avec 20
ordinateurs par exemple, ça nous donnera 20 (20-1) / 2,
soit 190 câbles !
Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle infrastructure.
Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple : Internet,
systèmes de contrôle en réseau d'une centrale nucléaire, armée). L'information peut parcourir le
réseau suivant des itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou
grâce à des méthodes de routage réparties.
L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien, l'information peut
quand même être acheminée.
Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de topologie mesh
mais ne concerne que les routeurs WiFi.
- La topologie logique :
La topologie logique est la structure logique d'une topologie physique, c’est-à-dire qu’elle
représente la façon dont les données transitent dans les lignes de communication. Les topologies
logiques les plus courantes sont Ethernet, Token Ring et FDDI.
Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence physique, la
forme) de votre réseau, l'autre (topologie logique) définit comment la communication se
déroule dans cette forme physique.
Source : Wikipédia
• Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur un canal de
communication. Cette couche doit garantir la parfaite transmission des données. L’unité
d’information typique de cette couche est le bit, représenté par une certaine différence de
potentiel.
• Couche2 : (Liaison de données) Elle va transformer la couche physique en une liaison a priori
exempte d’erreurs de transmission pour la couche réseau. Elle fractionne les données d’entrée
de l’émetteur en trames, transmet ces trames en séquence et gère les trames d’acquittement
renvoyées par le récepteur. L’unité d’information de la couche liaison de données est la trame.
• Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à parcourir à
partir des adresses), des blocs de données entre les deux systèmes d’extrémités, ainsi elle
contrôle également l’engorgement du sous-réseau.
• Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des informations
entre les deux extrémités, afin de rendre le transport transparent pour les couches supérieures,
elle assure le découpage des messages en paquets pour le compte de la couche réseau et les
constitue pour les couches supérieures. Un des tous derniers rôles à évoquer est le contrôle de
flux. C’est l’une des couches les plus importantes, car c’est elle qui fournit le service de base à
l’utilisateur, et c’est par ailleurs elle qui gère l’ensemble du processus de connexion, avec toutes
les contraintes qui y sont liées.
• Couche 5 : (Session) Elle assure l’échange de données, entre deux applications
distantes. Elle réalise le lien entre les adresses logiques et les adresses physiques des tâches
réparties. Elle assure surtout la synchronisation de l’échange (qui doit parler, qui parle…) entre
deux programmes d’application devant coopérer. Dans ce dernier cas, ce service d’organisation
s’appelle la gestion du jeton. Elle assure aussi la reprise de l’échange en cas d’erreurs.
• Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la sémantique des
données transmises : c’est elle qui traite l’information de manière à la rendre compatible entre
tâches communicantes. Elle va assurer l’indépendance entre l’utilisateur et le transport de
l’information.
Typiquement, cette couche peut faire la mise en forme des données, la conversion des codes
(ASCII), pour délivrer à la couche application un message compréhensible. Elle peut aussi
assurer le décryptage et la compression de données.
• Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur et le réseau.
C’est donc elle qui va apporter à l’utilisateur les services de base offerts par le réseau, comme
par exemple le transfert de fichier, la messagerie.
• La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2 bits de poids fort
égaux à 10.
• La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3 bits de poids fort
égaux à 110.
• La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3 bits de poids fort
égaux à 111, il s’agit d’une zone d’adresses dédiées aux services de multidiffusion vers des
groupes d’hôtes (host groups).
• La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit d’une zone
d’adresses réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour
adresser des hôtes ou des groupes d’hôtes.
Tableau n° 8 : Classes des adresses IP
1er Octet Nbr de réseaux / Notation
Classe Valeur
binaire Nbr d’hôtes CIDR
128 réseaux (2^7) /
A 1.0.0.0 à 126.255.255.255 0xxx xxxx 16 777 214 hôtes /8
(2^24-2)
16384 réseaux
(2^14) /
B 128.0.0.0 à 191.255.255.255 10xx xxxx /16
65 534 hôtes (2^16-
2)
2 097 152 réseaux
C 192.0.0.0 à 223.255.255.255 110x xxxx (2^21) / /24
254 hôtes (2^8-2)
Plage IP Utilité
0.0.0.0 Utilisé pour définir une route par défaut sur un routeur
127.0.0.0 – 127.255.255.255 Localhost Loopback Address (boucle locale)
Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à mettre en relation,
indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines
appartenant à des réseaux physiquement distincts.
Dans les sections suivantes, nous présenterons les principaux équipements matériels mis en
place dans les réseaux locaux que sont :
Les répéteurs, permettant de régénérer un signal
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes
Les ponts (bridges), permettant de relier des réseaux locaux de même type
Les commutateurs (switches) permettant de relier divers éléments tout en segmentant le
réseau
Les passerelles (Gateway), permettant de relier des réseaux locaux de types différents
Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à permettre la
circulation de données d'un réseau à un autre de la façon optimale
Les B-routeurs, associant les fonctionnalités d'un routeur et d'un pont.
Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du signal, le
répéteur permet d’amplifier ce signal et d’augmenter la
taille d’un réseau, afin d’étendre la distance du câblage.
Hub (Concentrateur) Son unique but est de récupérer les données binaires
provenant d'un port et de les diffuser sur l'ensemble des
ports. Ils servent à raccorder deux segments de câbles ou deux réseaux identiques (Ethernet)
qui constituent alors un seul réseau logique.
Ils sont en général dotés d'un port spécial appelé "Up Link".
C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les trames arrivant
sur les ports d’entrées et les filtre pour aiguiller sur les ports adéquats. Il dispose d'une table
d'adresses MAC des machines connectés, et qui opère au niveau 2 du modèle OSI (couche
liaison de données).
« Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments
(câbles ou fibres) dans un réseau informatique et de télécommunication et qui permet de créer
des circuits virtuels.
Il existe aussi des commutateurs pour tous les types de réseau en mode point à point comme
pour les réseaux ATM, relais de trames, etc. Il est fréquent qu'un commutateur intègre, par
exemple, le Spanning Tree Protocol que l'on rencontre dans les ponts. Le commutateur est
d'ailleurs souvent vu d'une manière réductrice comme un pont multiport. » Wikipédia
Sa présence permet d'optimiser les performances des réseaux et d'autoriser les utilisateurs d'un
réseau à accéder à toutes les ressources disponibles sur le réseau.
C'est un élément intermédiaire dans un réseau informatique, assurant le routage des paquets en
choisissant le chemin selon un ensemble de règles formant la table de routage. Il opère au niveau
3 du modèle OSI (couche réseau).
La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie par le
masque de sous-réseaux et les redirige selon l'algorithme de routage et sa table associée. Ces
protocoles de routage sont mis en place selon l'architecture de notre réseau et les liens de
communication inter sites et inter réseaux.
Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de relier des
réseaux locaux de types différents.
Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système
autonome. On retient les protocoles suivants :
• États de lien, ils s'appuient sur la qualité et les performances du média de communication
qui les séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau
pour utiliser la meilleure route : OSPF
• Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les
sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP
• Hybride des deux premiers, comme EIGRP
Avant d’arriver à la conception technique globale de la solution retenue, nous ferons une
étude brève sur les fonctionnalités des VLANs. Celle-ci nous permettra de définir à travers ces
fonctionnalités, une meilleure planification du déploiement future.
III.1 - Généralités
Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel
(logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs,
périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à
un département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs,
câblage informatique inapproprié, etc.).
• La flexibilité de segmentation du réseau : Les utilisateurs et les ressources entre lesquels les
communications sont fréquentes peuvent être regroupés sans devoir prendre en considération
leur localisation physique.
• La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement d’éléments
existants peut être réalisé rapidement.
• L’augmentation considérable des performances du réseau (réduction du domaine de collision)
: Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein du VLAN qui lui est associé,
de la bande passante est libérée, ce qui augmente les performances du réseau.
• Une meilleure utilisation des serveurs réseaux.
• Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par les VLANs ne
pouvant être franchies que par le biais de fonctionnalités de routage, la sécurité des
communications est renforcée.
Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de niveau
2 du modèle OSI qui supportent le VLAN.
On distingue généralement trois techniques pour construire des VLANs. Nous pouvons
les associer à une couche particulière du modèle OSI :
On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte réseau
à un VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc
affectés statiquement à un VLAN.
Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur
est nécessaire ou un commutateur de couche 3.
La connectivité entre les VLANs peut être établie par le biais d’une connectivité physique
ou logique. Une connectivité logique implique une connexion unique, ou agrégation, du
commutateur au routeur. Cette agrégation peut accepter plusieurs VLAN. Cette topologie est
appelée « router-on-a-stick » car il n’existe qu’une seule connexion physique avec le routeur. En
revanche, il existe plusieurs connexions logiques entre le routeur et le commutateur.
Une connectivité physique implique une connexion physique séparée pour chaque VLAN.
Cela signifie une interface physique distincte pour chaque VLAN.
Les premières configurations de VLAN reposaient sur des routeurs externes connectés à
des commutateurs compatibles VLAN.
Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un routeur
ou commutateur de couche 3. Le terme commutateur de couche 3 désigne un commutateur
capable d’assurer une fonction de routage en plus de ses fonctions habituelles. Ainsi, au lieu d’un
routeur externe, on aura un routeur interne au commutateur.
I. Concept de VPN
En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus
quand une entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des
succursales, des filiales, ou même donner accès à ses ressources à son personnel
géographiquement éloigné. Concrètement comment une succursale d’une entreprise peut-elle
accéder aux données situées sur un serveur de la maison mère distant de plusieurs milliers de
kilomètres ?
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe très
simple consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes de
cryptologie chaque extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se connecter
directement sur le réseau de leur entreprise.
Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée
et de la sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour toutes
personnes en dehors de ce tunnel en cas d’interception (écoute).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant
de chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus
généralement serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de
l’entreprise.
Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs que dans le
VPN les trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par le
protocole de tunneling, et décapsulé par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la
transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un
même protocole aux ordinateurs communicants (PPTP, SSL, IPsec…).
Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à savoir :
- Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F
- Les protocoles de niveau 3 tels que IPsec et MPLS
- Les protocoles de niveau 4 tels que SSL et SSH
Les principaux protocoles permettant de créer des VPN sont les suivants :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine
protocole transportant des paquets de couche 3, mais pouvant désormais aussi transporter la
couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de
couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de
l'IETF (RFC 393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un
protocole transportant des sessions PPP (couche 2).
IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au
protocole IKE pour l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer
du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows.
SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment
utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2
(L2VPN) point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4
(VPNv4) et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and
forwarding – tables de routage virtuelles) sur l'ensemble du réseau MPLS.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point to
Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce
protocole.
À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été réparée
par Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser SSTP ou L2TP à la
place.
Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans avoir besoin
d’installer un autre logiciel.
Inconvénient : Il est réputé pour n'être pas fiable.
De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il n’est pas
aussi efficace que les solutions SSL, et légèrement plus lent que les autres protocoles VPN.
Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires OS.
Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes et peut poser
problème si on l’utilise avec un firewall restrictif.
III.5 - OpenVPN
« Technologie open source relativement récente, OpenVPN utilise les protocoles
SSLv3/TLSv1 et la bibliothèque OpenSSL, avec une combinaison d’autres technologies, pour
offrir à ses utilisateurs une solution VPN fiable et solide. Le protocole est facilement configurable
et fonctionne le mieux avec un port UDP, mais il peut être configuré pour fonctionner sur n’importe
quel port, rendant difficile pour Google et d’autres services similaires de le bloquer.
Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL prend
en charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES, Camellia,
Blowfish, CAST-128 et bien plus encore, même si Blowfish et AES sont presque exclusivement
utilisé par les fournisseurs de VPN.
Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le considère
comme la référence absolue. C’est tout simplement parce qu’il n’a pas de faille connue, et il a été
adopté par le gouvernement américain et ses agences pour protéger des données sécurisées.
Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au réseau
privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans y être
physiquement présent.
Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se
connecter au réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se
sert d'une connexion Internet pour établir la connexion VPN. Il existe deux cas :
- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le
serveur distant : il communique avec le Nas (Network Access Server) du fournisseur
d'accès et c'est le Nas qui établit la connexion cryptée.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement
la communication de manière cryptée vers le réseau de l'entreprise.
Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien
l’importance dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification
peut se faire par une vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés"
(utilisation de mots de passe aléatoires) ou par certificats numériques.
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus
important dans ce type de réseau est de garantir la sécurité et l'intégrité des données.
Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base de
données clients, informations financières...). Des techniques de cryptographie sont mises en
œuvre pour vérifier que les données n'ont pas été altérées, on parle d’intégralité.
Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés
font appel à des signatures numériques qui sont ajoutées aux paquets.
La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie.
La technologie en la matière est suffisamment avancée pour permettre une sécurité quasi
parfaite. Généralement pour la confidentialité, le codage en lui-même pourrait être moyen voir
faible, mais sera combiné avec d'autres techniques comme l'encapsulation IP dans IP pour
assurer une sécurité raisonnable.
I. GESTION DE L’ADRESSAGE
Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes
d’adresses IP qui correspondent à des regroupements en réseaux de même taille. Les réseaux
de la même classe ont le même nombre d’hôtes maximum.
En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la configuration
des différents nœuds (poste, routeur) du réseau.
En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans adresses
broadcast et réseau) et a un masque réseau qui est 255.255.255.0.
Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette classe
à chacun des sites. Les adresses étant différentes, les différents sites ne pourront pas
communiquer sans l’implémentation d’un mécanisme de routage soit par un routeur ou un
commutateur multicouche (commutateur faisant le routage IP). Nous opterons pour le
commutateur multicouche, étant donné qu’il est plus rapide dans le traitement en interne.
Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la segmentation et
réduire le domaine de collision.
Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que les
communications autorisées, des VLAN et un routage Inter-VLAN sera définis.
Dès lors que le réseau privé transite par internet, le problème de la sécurité se pose : les
informations qu’il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le
monde, l’infrastructure réseau n’y échappent pas aussi. Il convient donc de mettre en place toute
une politique de sécurité pour garantir un maximum de sécurité.
La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les
utilisateurs dans le but de faciliter le déploiement de la politique sécurité.
Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre accès aux
ressources informatiques, électroniques et numériques dans le respect de la légalité.
Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils
pourraient encourir et des conséquences de tels risques.
Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du
réseau à déployer, en les éduquant aux bonnes conduites à tenir.
C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger le
réseau contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même de
l’intérieur.
- Pare-feu et Antivirus :
• Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau filtrant tout
ce qui entre et tout ce qui sort du réseau (services Netbios, RPC, Telnet, NFS…).
• Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux données
confidentielles.
• Installer des programmes antivirus mis à jour régulièrement sur tous les postes.
- Authentification :
• Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2-
PSK(AES).
• Authentification avec code d’accès pour les utilisateurs Wifi.
• Mise en place de mots de passe sur les nœuds les plus importants du réseau (serveur,
routeur).
- Autres :
• Configurer des VLANs relatifs aux différents services à l’intérieur de chaque site dans le
but de ne permettre que les communications autorisées entre ces services.
• Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) : HTTPS,
SSH, IMAPS, DNSSEC, etc.
Elle concerne tous les dispositifs déjà mis en place pour assurer le bon fonctionnement et la
protection des équipements.
Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de
protéger des matériels électroniques contre les aléas électriques. Il s’agit ainsi d’un boîtier placé
en interface entre le réseau électrique (branché sur le secteur) et les matériels à protéger afin
d’éviter des pertes de données et des interruptions de service, voire des dégâts matériels.
Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets sécurisés
(panneaux de brassage) pour éviter tout désagrément. Les équipements du réseau cœur seront
par ailleurs centralisés dans la salle serveur qui est mieux protégée par une porte à accès
biométrique si possible.
- Système de refroidissement
Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés d’un split
fonctionnant à une température abordable afin de protéger les composants électroniques.
Cette partie de nos recherches, est une partie charnière qui a eu pour effet de mieux
appréhender la teneur de notre projet tout en cernant mieux les contours.
Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en place des
VPN intersite et qu’une technologie, l’IPSec semblent s’imposer aujourd’hui pour la construction
des VPN site-to-site. Nous avons appris plusieurs points clés tel que :
- La technologie IPSec permet d’offrir des services de sécurité classiques (authentification,
confidentialité, intégrité, etc.) pour chaque datagramme transitant par un réseau de
transport (par exemple, Internet).
- Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un
fournisseur de service dans le cadre d’infogérance. Deux limitations essentielles sont à
retenir pour cette technologie : (1) elle ne permet pas de gérer la qualité de service en
cœur du réseau ; (2) elle ne transporte que les datagrammes IP.
Troisième partie :
Mise en œuvre de l’interconnexion
Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment
mettre en place un système VPN.
Les chapitres de cette partie présentent donc de façon analytique cette étude de cas :
- Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de mettre en exergue
les besoins en moyen tant logistiques que matériels pour la bonne exécution du projet aussi il
sera fait mention du planning.
I. Les moyens
Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et peut en être
l'architecte.
Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron,
le maître d'œuvre est responsable du bon déroulement des travaux et joue un rôle de conseil
dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies dans le
cahier des clauses administratives particulières. Dans notre cas, à la SOROUBAT, le
département informatique tient ce rôle pour ce qui est du projet réel de conception d'un réseau
VPN site-à site. Le maître d'ouvrage, qui se comporte dans ce cas comme le commanditaire du
projet reviendra à la direction de la SOROUBAT.
En principe, une fois le projet réalisé et livré, il est important de déléguer d’ordinaire la
responsabilité du suivi du système mis en place à un personnel spécial du Département
Informatique.
Les équipements définis dans le tableau ci-après ont été choisi selon les principes de :
- Prise en charge d’un éventail extrêmement large d’applications sur une même plateforme
avec, notamment, l’intégration des données, de la voix, de la vidéo ;
Equipements Quantité
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U 05
(Pour les 05 sites distants)
Switch CISCO Small Business SG 350X -48 – Rackable 48 X 05
1000Base-T
Les équipements sont fournis par la SOROUBAT et installés par nos services.
Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les différents
sites durant tout le déploiement.
Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer sur un avion de
la compagnie AIR IVOIRE, le coût du transport étant à la charge de la SOROUBAT.
Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi instantanée.
Nous aurons à installer trois (3) sites selon les coordonnées suivantes :
III. Le planning
Odienné 05 Jours
Daloa 03 Jours
PK 22 01 Jours
TOTAL 14 Jours
Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril 2017.
Après dépôt préalable du projet le 03 Avril 2017 auprès du service Financier de SOROUBAT pour
validation du budget. Le chronogramme détaillé de ce planning donne le programme qui suit :
Etape 1 :
Switch>en
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)#hostname SRBCI
SRBCI (config) #enable secret admin@sorou
NB : Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP à chaque VLAN
créer sur un switch, sauf dans le cas d’un switch niveau 3.
Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée pour chaque VLAN.
Cependant, cela permet dans une certaine mesure de tester le routage inter-vlan sans avoir besoin
de connecter de machine sur le switch. »
SRBCI (config)#vlan 1
SRBCI (config-vlan)#name routeur
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 1
%LINK-5-CHANGED: Interface Vlan1, changed state to up
SRBCI(config-if)#ip address 192.168.1.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#vlan 20
SRBCI(config-vlan)#name PC
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 20
%LINK-5-CHANGED: Interface Vlan20, changed state to up
SRBCI(config-if)#ip address 192.168.2.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#vlan 30
SRBCI(config-vlan)#name Imprimante
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 30
%LINK-5-CHANGED: Interface Vlan30, changed state to up
SRBCI(config-if)#ip address 192.168.3.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#vlan 40
SRBCI(config-vlan)#name VoIP
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 40
%LINK-5-CHANGED: Interface Vlan40, changed state to up
SRBCI(config-if)#ip address 192.168.4.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI (config)#vlan 50
SRBCI(config-vlan)#name Pointeuse
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 50
%LINK-5-CHANGED: Interface Vlan50, changed state to up
SRBCI(config-if)#ip address 192.168.5.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#vlan 60
SRBCI(config-vlan)#name Camera
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 60
%LINK-5-CHANGED: Interface Vlan60, changed state to up
SRBCI(config-if)#ip address 192.168.6.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#ip routing
Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs ports à partir des
commandes suivantes :
SRBCI (config)#interface nom_interface
SRBCI (config-if)#switchport mode access
On passe maintenant à la configuration de la liaison avec le routeur qui doit être un trunk. On
utilise ici l’interface Gigabit 1/1.
SRBCI(config)#interface g1/1
SRBCI (config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1,
changed state to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1,
changed state to up
SRBCI (config-if)#exit
RSIEGE >en
RSIEGE #conf t
Enter configuration commands, one per line. End with CNTL/Z.
RSIEGE(config)#int gigabitEthernet0/0
RSIEGE (config-if)#ip address 192.168.1.1 255.255.255.0
RSIEGE (config-if)#no shut
Ceci correspond à l’adresse principale de l’interface, et également au VLAN1 (Vlan Natif). Créons
maintenant la sous-interface pour le VLAN2, 3, 4, 5, 6.
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit
La SOROUBAT ayant besoin d’une connexion WAN entre son siège et ses succursales
basées à l’intérieur du pays, nous allons créer une liaison avec un tunnel IPsec.
IPsec est un protocole VPN qui fonctionne sur la couche 3 du modèle OSI. C’est aussi un
standard IETF, ce qui signifie que nous pouvons l’utiliser entre les équipements de différents
fabricants.
Le diagramme ci-dessous montre notre scénario simple. Les deux sites ont une adresse IP
publique statique, comme indiqué dans le diagramme.
R1 est configuré avec 105.235.19.10 /24 et R2 avec l'adresse IP 160.120.145.178 /24.
À partir de maintenant, les deux routeurs ont une configuration très basique telle que adresses
IP, NAT overload, route par défaut, noms d'hôte, connexions SSH, etc.
Chaque site étant une image d'un petit réseau disposant d'un accès à internet, la configuration
se fera en 02 étapes :
Prérequis
Avant de commencer à configurer le VPN IPsec, toujours s’assurer que les deux routeurs peuvent
se joindre.
Après un ping de vérification, nous pouvons confirmer que les trois routeurs peuvent
communiquer. Maintenant que le routage s'est bien passé nous allons sécuriser le réseau.
On s’assure tout d’abord que l’IOS de notre routeur supporte le VPN à travers la commande « sh
version » en mode configuration ou faire une MAJ de l’IOS vers un /K9, ensuite nous entamons
la première partie qui consiste à configurer la politique c’est-à-dire qu’elle encryption on utilise,
qu’elle hash quel type d’authentification, etc.
• crypto isakmp key cisco@123 address 160.120.145.178- On crée ainsi la clé pré-
partagée, ici «cisco@123» qu'on associe avec l'adresse IP de l'homologue à l'autre
bout du tunnel ici 160.120.145.178.
On définit par ailleurs si on doit identifier le routeur par son adresse ou par son hostname
(ici on choisit l'adresse publique fixe), l'identification par hostname peut être utile si on
fonctionne avec une adresse publique dynamique, ce qui permet d'éviter trop de
modifications de configuration en cas de changement d'adresse.
La deuxième partie, quant à elle consiste à définir comment les données seront cryptées.
Tout d'abord on crée la méthode de cryptage (transform-set) que l'on nomme ici vpnset.
Nous prenons soin de vérifier d’avoir utilisé les mêmes protocoles d’encryptions et de Hash utilisés
dans la première étape.
Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic intéressant (ACL).
Nous créons la crypto ACL qui est une ACL qui va identifier le trafic « intéressant » c’est à dire le
trafic qui doit passer par le tunnel VPN (ici c’est le trafic depuis le LAN SIEGE vers le LAN TAABO,
ça sera l’inverse sur l’autre routeur). Le trafic permit par cette ACL sera chiffré dans le tunnel
IPSEC, le reste non…On crée donc une access-list étendue :
Cette ACL définit le trafic qui doit passer par le tunnel VPN. Ici, le trafic en provenance du réseau
192.168.1.0 vers le réseau 192.168.2.0 sera acheminé via le tunnel VPN. Cette ACL sera utilisée
à l’étape 5 de Crypto Map.
Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : La politique
IPSec, l’adresse IP du routeur distant avec lequel on veut communiquer, la crypto ACL et le
transform-set pour la politique IPSec.
RSIEGE(config)#crypto map IPSEC-VPN 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RSIEGE(config-crypto-map)#set peer 160.120.145.178
RSIEGE(config-crypto-map)#match address vpn-traffic
RSIEGE(config-crypto-map)#set transform-set vpnset
La configuration de RSIEGE est presque terminée nous devons appliquer la crypto map sur
l’interface de sortie de ce routeur, dans notre cas s0/0/0.
RSIEGE(config)#int s0/0/0
RSIEGE(config-if)#crypto map IPSEC-VPN
*Mar 1 19:16:14.231: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
Nous allons répéter les étapes de RSIEGE à l’identique sur le routeur RTAABO à l’exception de
l’access-list qui doit être inversé au vu de la source et de la destination
Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic intéressant (ACL).
RTAABO(config)#int s0/0/0
RTAABO(config-if)#crypto map IPSEC-VPN
*Mar 1 19:46:10.123: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
VERIFICATION ET TEST
Pour tester la connexion VPN, nous envoyons tout d’abord une requête ping de PCSIEGE à PCTAABO.
PC>ping 192.168.2.10
Pinging 192.168.2.10 with 32 bytes of data :
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Reply from 192.168.2.10: bytes=32 time=7ms TTL=126
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126
Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 7ms, Average = 3ms
Pour vérifier la connexion IPSec Phase 1, on tape « show crypto isakmp sa » comme indiqué :
RSIEGE#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status
160.120.145.178 105.235.19.10 QM_IDLE 1026 0 active
------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status
105.235.19.10 160.120.145.178 QM_IDLE 1026 0 active
QM_IDLE : Signifie que le Tunnel est bien monté. Pour vérifier la connexion IPSec Phase 2, on
tape « show crypto ipsec sa » comme indiqué :
RSIEGE#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 105.235.19.10
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 160.120.145.178 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0
………………..
Pour vérifier la crypto map, on tape « show crypto map » sur chacun des routeurs comme
indiqué
------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto map
Crypto Map IPSEC-VPN 10 ipsec-isakmp
Peer = 105.235.19.10
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 105.235.19.10
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0
1 0 ms 0 ms 0 ms 192.168.1.254
2 2 ms * 1 ms 160.120.145.178 <= On voit ici l’IP de RTAABO
3 2 ms 1 ms 2 ms 192.168.2.10
Trace complete.
Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels, cette
facture fera foi de bilan financier :
Conclusion générale
Conclusion
Ces technologies ont pu se développer grâce aux performances toujours plus importantes
des réseaux locaux. Mais le succès de ces systèmes d’information a fait aussi apparaître un de
leur écueil.
Ce projet nous a permis de mieux appréhender les problèmes liés aux réseaux locaux
dont ceux relatifs au déploiement d’un réseau VPN comprenant plusieurs sites distants tout en
garantissant une qualité de service.
Il ressort entre autres de cette présente étude qu’il y a accord entre la réflexion théorique menée
et la mise en place pratique des VPN, constat qui à notre sens valide notre projet.
Toutes fois nous admettons que nos théories et nos réflexions bien qu’empiriques ne soient pas
des vérités indubitables et définitives.
Elles sont susceptibles d'être réfutées par des modèles plus robustes ou par des observations
postérieures divergentes qui seraient liées à l'évolution des technologies, elles-mêmes en
constante mutation. C'est le propre de toute proposition intellectuelle de s'attendre à être un jour
ou l'autre dépassée.
Mais elle peut tout aussi bien être plus tard renforcée par d'autres approches et mises en place.
- WEBOGRAPHIE :
• Mémoire « Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA
Sarl en RDC » : https://www.memoireonline.com/01/13/6733/m_Mise-en-place-dun-reseau-
VPN-au-sein-dune-entreprise-Cas-de-la-BRALIMA-Sarl-en-RDC17.html
• Réseau privé virtuel VPN : https://www.frameip.com/vpn/
• Les réseaux de zéro : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-
zero/3199431-les-topologies
• OpenVpn : https://fr.vpnmentor.com
• VPN site to site Ipsec: http://idum.fr/spip.php?article214
• Configure Site to Site IPSec VPN Tunnel in Cisco IOS Router :
http://www.mustbegeek.com/configure-site-to-site-ipsec-vpn-tunnel-in-cisco-ios-router/
• VPN site to site : https://www.supinfo.com/articles/single/921--vpn-site-to-site
• La mise en place d'un VPN : https://www.supinfo.com/articles/single/2384-mise-place-vpn
• Configuration d’un vpn ipsec entre deux routeurs cisco :
http://www.lolokai.com/blog/2012/03/27/configuration-dun-vpn-ipsec-entre-deux-routeurs-
cisco/
• IKE : http://pteu.fr/doku.php?id=informatique:cisco:ipsec
• CONFIGURATION D’UN VLAN SUR SWITCH CISCO :
https://www.fbotutos.com/configuration-dun-vlan-sur-switch-cisco.html
- VIDEOTHEQUE
• Alphorm - Reseaux Cisco (1-2) - Maitriser la sécurité
• Alphorm.Formation. Cisco.CCNA.CCNP.[Pack.Complet].Video.mp4-ArcheryTeam
• Video2Brain Fondamentaux Réseaux
• Faire communiquer des machines dans des vlans différents via un routeur (Prince Attobla)
https://www.youtube.com/watch?v=UXRphawCH4c