Vous êtes sur la page 1sur 68

UNIVERSITÉ D’ANTANANARIVO

DOMAINE : SCIENCES ET TECHNOLOGIES


MENTION : PHYSIQUE ET APPLICATIONS

MÉMOIRE
pour l’obtention du

DIPLOME DE MASTER
Parcours : MASTER D’INGENIERIE EN SYSTEMES ELECTRONIQUES INFORMATIQUES

sur :

MODERNISATION DE L’ARCHITECTURE ET IMPLEMENTATION


DES RESEAUX LOCAUX VIRTUELS SECURISES
Cas du réseau informatique de la Direction Générale du Contrôle Financier

présenté par

RAZAFINDRAKOTO Tahiry Solonavalona


devant la commission d’examen composée de :

Président : Madame RANDRIAMANANTANY Zely Arivelo Professeur Titulaire

Examinateur : Madame RAZANAMANAMPISOA Harimalala Maître de Conférences

Rapporteur : Monsieur RAKOTOARIMANANA Liva Graffin Maître de Conférences

01 Septembre 2017
UNIVERSITÉ D’ANTANANARIVO
DOMAINE : SCIENCES ET TECHNOLOGIES
MENTION : PHYSIQUE ET APPLICATIONS

MÉMOIRE
pour l’obtention du

DIPLOME DE MASTER
Parcours :MASTER D’INGENIERIE EN SYSTEMES ELECTRONIQUES INFORMATIQUES

Sur la :

MODERNISATION DE L’ARCHITECTURE ET IMPLEMENTATION


DES RESEAUX LOCAUX VIRTUELS SECURISES – Cas du réseau
informatique de la Direction Générale du Contrôle Financier

présenté par

RAZAFINDRAKOTO Tahiry Solonavalona

01 Septembre2017
Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

REMERCIEMENTS

Nous tenons tout d’abord à remercier Dieu, tout puissant et miséricordieux, qui nous a donné la
force, la santé et la patience d’accomplir ce travail.
Nous voudrions présenter aussi nos remerciements à Monsieur RAOELIJAONA Bien Aimé,
Directeur Général du Contrôle Financier, de nous avoir autorisé à suivre cette formation.

Nos vifs remerciements vont également à tous le Personnel enseignant et administratif du Parcours
Master d’Ingénierie en Système Electronique Informatique (MISEI) pour nous avoir pris en charge et guidé
tout au long de notre passage à cette formation, en particulier à :

- Monsieur RAHERIMANDIMBY Marson, Responsable du Domaine Sciences et Technologies,


pour avoir autorisé la présentation de ce mémoire.
- Monsieur RAKOTONDRAMIARANA Hery Tiana, Responsable de la Mention Physiques et
Applications, pour nous avoir autorisé à suivre notre études universitaires au sein de la dite
Mention.
- Madame RANDRIAMANANTANY Zely Arivelo, qui a bien voulu présider la soutenance ;
- Madame RAZANAMANAMPISOA Harimalala, Responsable du Parcours MISEI, pour tous ces
précieux conseils tout au long de la réalisation de ce mémoire et en acceptant d’examiner notre
travail.
- Monsieur RAKOTOARIMANANA Liva Graffin, notre rapporteur, pour ses conseils et
remarques constructives.

Nous adressons, par ailleurs, nos remerciements à tous nos collègues du Service Informatique de
la DGCF pour leur soutien et leur contribution.

Merci enfin à toute ma famille et particulièrement à mon épouse, RAKOTONDRANAIVO Vonintsoa


Fenitra Oliva et à nos trois enfants Kaliana, Koloina et Kaloina de leur soutien moral tout au long de notre
formation.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 i


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

TABLE DES MATIERES

REMERCIEMENTS ................................................................................................................................ i
TABLE DES MATIERES........................................................................................................................ii
LISTE DES TABLEAUX ........................................................................................................................v
LISTE DES FIGURES ............................................................................................................................ vi
LISTE DES ABREVIATIONS ET SIGLES .......................................................................................... vii
INTRODUCTION ................................................................................................................................... 1
CHAPITRE 1 : PRESENTATION DE LA DGCF ET SON RESEAU EXISTANT.............................. 3
1.1. Création et institution de la Direction générale du Contrôle Financier (DGCF) ......................... 3
1.2. Missions et attributions de la DGCF ........................................................................................... 3
1.2.1. Missions ................................................................................................................................... 3
1.2.2. Attributions .............................................................................................................................. 4
1.3. Organisation de la DGCF ............................................................................................................ 4
1.3.1. Organigramme de la DGCF .................................................................................................... 4
1.3.2. Attributions de chaque service ................................................................................................ 5
1.4. Le réseau informatique actuel de la DGCF ................................................................................. 8
1.4.1. Description de réseau de la DGCF ......................................................................................... 8
1.4.2. Problématiques et critique du réseau existant ........................................................................ 8
1.4.3. Propositions de solutions ........................................................................................................ 9
CHAPITRE 2 : QUELQUES NOTIONS THEORIQUES SUR LES RESEAUX HIERARCHIQUES
ET LES RESEAUX LOCAUX VIRTUELS ......................................................................................... 11
2.1. Définition d’un réseau hiérarchique .......................................................................................... 11
2.2. Rôles de chaque couche............................................................................................................. 11
2.2.1. Couche d’accès...................................................................................................................... 11
2.2.2. Couche de distribution .......................................................................................................... 12
2.2.3. Couche cœur .......................................................................................................................... 12
2.3. Avantages du modèle de réseau hiérarchique............................................................................ 12
2.4. Les réseaux locaux virtuels ou VLANs ..................................................................................... 13
2.4.1. Définition ............................................................................................................................... 13
2.4.2. Concepts des VLANs ............................................................................................................. 14
2.4.3. Avantages des VLANs ............................................................................................................ 14
2.4.4. Types de VLANs..................................................................................................................... 14
2.4.5. Communication inter-VLANs ou Routage inter-VLANs ........................................................ 15
CHAPITRE 3 : MISE EN PLACE D’UNE ARCHITECTURE HIERARCHIQUE ET
IMPLEMENTATION DES RESEAUX VLANS ................................................................................. 18
3.1. Analyse des groupes d’utilisateurs ............................................................................................ 18
3.1.1. Les Personnels Administratifs ............................................................................................... 18
3.1.2. Les Techniciens ..................................................................................................................... 18

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 ii


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.1.3. Les Personnels d’Appuis ....................................................................................................... 18


3.1.4. Les Vérificateurs.................................................................................................................... 19
3.2. Segmentation en sous-réseaux du réseau local .......................................................................... 19
3.2.1. Définitions du type, du nom et du numéro d’identification des VLANS à implémenter ...... 19
3.2.2. Etablissement d’un nouveau plan d’adressage ..................................................................... 20
3.3. Etudes de conception de l’architecture hiérarchique à mettre en œuvre ................................... 21
3.3.1. Présentation de l’architecture hiérarchique et de ses différentes couches ........................... 21
3.3.2. Présentation des besoins en équipements réseaux ................................................................ 23
3.3.3. Etudes d’implémentation d’une agrégation de liens ............................................................. 27
3.3.4. Installation des chemins redondants ..................................................................................... 28
3.3.5. Sécurisation de l’accès au réseau ......................................................................................... 29
3.3.6. Diagramme de topologie logique du réseau à mettre en œuvre ............................................ 30
3.4. Restructuration du système de câblage du réseau de la DGCF ................................................ 31
3.4.1. Type de câble à utiliser dans les couches distribution et cœur ............................................. 31
3.4.2. Type de câble à utiliser dans la couche d’accès ................................................................... 32
CHAPITRE 4 : REALISATION DU MODELE TYPE ET SIMULATION SOUS PACKET TRACER
33
4.1. Présentation du logiciel de simulation « CISCO PACKET TRACER » ................................... 33
4.1.1. Choix de l’outil ...................................................................................................................... 33
4.1.2. Description générale ............................................................................................................. 33
4.1.3. Construction d’un réseau ...................................................................................................... 34
4.1.4. Configuration d’un équipement............................................................................................. 35
4.1.5. Mode de simulation ............................................................................................................... 35
4.2. Réalisation et simulation du modèle type .............................................................................. 36
4.2.1. Diagramme de topologie du modèle type et tableau d’adressage......................................... 36
4.2.2. Configuration de base des équipements réseaux ................................................................... 38
4.2.3. Configurations des interfaces Ethernet ................................................................................. 40
4.2.4. Implémentation des réseaux VLANs ...................................................................................... 41
4.2.5. Configuration des agrégations des liens ............................................................................... 45
4.2.6. Configuration du routage inter-VLAN .................................................................................. 47
4.2.7. Configuration de la sécurité des ports .................................................................................. 48
CHAPITRE 5 : RESULTATS ET DISCUSSION ................................................................................ 49
4.1. Test et résultats de la simulation du réseau ............................................................................... 49
4.1.1. Test sur les configurations des équipements réseaux ............................................................ 49
4.1.2. Test de connectivité entre machines et entre équipements réseaux ....................................... 51
4.1.3. Test sur le routage inter-VLANs et sur la sécurité des ports................................................. 52
4.2. Résultats de la modernisation de l’architecture et de l’implémentation des réseaux VLANs ... 54
4.2.1. Points forts ............................................................................................................................ 54

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 iii


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.2.2. Remarques ............................................................................................................................. 55


CONCLUSION ..................................................................................................................................... 56
REFERENCES BIBLIOGRAPHIQUES

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 iv


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

LISTE DES TABLEAUX


Tableau 1 : Les VLANs à implémenter …………………………………………………….19

Tableau 2 : Les VLANs et ses adresses réseaux………………………………………..…...20

Tableau 3 : Exemple de plan d’adressage du réseau de la DGCF…………………………..20

Tableau 4 : Effectifs des utilisateurs de chaque VLAN par étage ………………………….21

Tableau 5 : Nombre de switch d’accès par étage en fonction du nombre des utilisateurs….22

Tableau 6 : Nombre de point d’accès (AP) par étage ………………………………….…...22

Tableau 7 : Les matériels CISCO pouvant être utilisé dans le réseau de la DGCF à mettre
en œuvre ………………………………………………………………….…..27

Tableau 8 : Débit de transfert entre le switch cœur et le routeur, le switch de distribution et


le switch des serveurs ………………………………………………………...28

Tableau 9 : Distance physique entre le local technique et les 2 switchs de distributions…...32

Tableau 10 : Plan d’adressage du modèle type du réseau de la DGCF……………………..37

Tableau 11 : Les sous-interfaces du routeur avec ses adresses IP et les VLANs associés….47

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 v


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

LISTE DES FIGURES


Figure 1 : Organigramme de la DGCF………………………………………………………5
Figure 2 : Schéma globale d’un modèle de réseau hiérarchique……………………….……11
Figure 3 : Schéma d’un réseau local commuté avec implémentation de VLANs…………..14
Figure 4 : Schéma d’un réseau avec VLAN et routeur……………………………………...16
Figure 5 : Présentation des liens agrégés entre les équipements réseau de la couche distribution
et la couche cœur……………………………………….…….......28
Figure 6 : Chemins redondants entre les switchs d’accès et le switch de distribution………29
Figure 7 : Diagramme de topologie logique du réseau de la DGCF à mettre en œuvre…….30
Figure 8 : Câble en cuivre à paire torsadée, blindé, FTP de catégorie 6 et un connecteur RJ-
45……………………………………………………………………….……..31
Figure 9 : Fenêtre d’accueil du logiciel «CISCO PACKET TRACER »…………………...34
Figure 10 : Onglet « Physical » d’une fenêtre de configuration d’un routeur………………35
Figure 11 : Passage en mode simulation sous « CISCO PACKET TRACER »…………….36
Figure 12 : Modèle type du réseau de la DGCF à simuler…………………………………..37
Figure 13 : Paramétrage IP de l’ordinateur PC0 du modèle………………………...………40
Figure 14 : Présentation des liens agrégés Po1 et Po3………………………………………45
Figure 15 : Vérification de la configuration du protocole VTP sur le switch cœur…………49
Figure 16 : Vérification de la configuration de la création des VLANs…………………….50
Figure 17 : Vérification de la configuration d’affectation des ports aux VLANs……..….....50
Figure 18 : Vérification de la configuration des liens agrégés Po1 et Po3………………….51
Figure 19 : Requête PING entre PC1 et PC8 qui sont des machines du VLAN 30…..……..51
Figure 20 : Requête PING entre le switch SWDIST1 et le switch SW0A2………..………..52
Figure 21 : Requête PING entre PC2 du VLAN 10 et PC5 du VLAN 40………..…………52
Figure 22 : Port FastEthernet 0/17 activé…………………………………………..………..53
Figure 23 : Adresses MAC enregistrées par le switch SW0A1 autorisées sur les deux ports.53
Figure 24 : Violation de l’accès au port FastEthernet 0/17 détectée par le switch…………..53

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 vi


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

LISTE DES ABREVIATIONS ET SIGLES

AP : Access Point (Point d’accès)

CDP : Cisco Discovery Protocol Protocole de découverte automatique des périphériques


CISCO

CHED : Contrôle Hiérarchisé des Engagements de Dépenses

CLI : Command Line Interface (Interface en Ligne de Commande)

DG : Directeur Général

DGCF : Direction Générale du Contrôle Financier

DNS : Domain Name Service (Service de Nom de Domaine)

DSI : Direction des Systèmes d’Information

HTTP : HyperText Transfer Protocol (Protocole de Transfert des pages Web)

ID : Identifiant

IP : Internet Protocol

LACP : Link Aggregation Control Protocol (Protocole d’agrégation des liens)

MAC : Medium Access Control (Adresse Physique d’une interface)

MFB : Ministère des Finances et du Budget

PoE : Power over Ethernet (Alimentation électrique par câble réseau ethernet)

SIIGFP : Système Intégré Informatisé de Gestion des Finances Publiques

SIIGECD : Système Intégré de Gestion des Employés de Courte Durée

SNMP : Simple Network Management Protocol (Protocole de gestion des réseaux)

SSH : Secure Shell (Protocole d’accès à distance sécurisé)

STP : Spanning Tree Protocol (Protocole de Gestion des chemins redondants)

VLAN : Virtual Local Area Network (Réseau local virtuel)

VTP : Vlan Trunking Protocol (Protocole de gestion des réseaux VLANs)

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 vii


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

INTRODUCTION

La Direction Générale du Contrôle Financier (DGCF), une direction générale au sein


du Ministère des Finances et du Budget, est un département incontournable pour l’instauration
d’une bonne gouvernance économique et financière à Madagascar à travers les missions de
contrôle qu’elle effectue auprès des Institutions, Ministères et autres organismes bénéficiant du
concours financier de l’Etat ou de ses démembrements.

Depuis 2016, cette entité mène diverses reformes afin d’atteindre ses objectifs d’être
une Administration Publique Professionnelle, Efficiente et Innovatrice. Parmi ces réformes
sont la dématérialisation du traitement de la chaîne de la dépense publique, l’informatisation du
processus de gestion de carrière des personnels de l’Etat et de ces personnels internes,
l’utilisation des différentes applications en réseau sur la gestion des archives et la gestion des
matériels, la gestion du parking ainsi que la mise en ligne de son site web.

Par conséquent, le réseau, actuellement, implémenté au niveau de ce département ne


supporte plus l’augmentation du trafic généré par ces différentes applications réseaux, le
processus de dématérialisation et l’informatisation du processus de gestion des personnels. De
plus, au cours de cette dernière décennie, l’infrastructure réseau installée n’a pas trouvé aucune
évolution alors que le nombre d’utilisateur n’a cessé de s’accroître. Sur ce point, la mise en
réseau ou l’ajout des nouveaux utilisateurs du réseau se fait en branchant tout simplement un
Switch et des câbles sans tenir compte des charges générés par ces derniers et que le réseau
n’est plus en mesure de les supporter. Il en résulte alors une dégradation de la qualité et de la
performance du réseau ainsi qu’une apparition fréquente d’une coupure du réseau. Ensuite,
faute d’inexistence d’une documentation et d’un outil de surveillance réseau, la détection d’un
goulot d’étranglement, la maintenance et le dépannage du réseau en cas de panne est très
difficile à mettre en œuvre.

Donc, une nouvelle architecture réseau de nouvelle génération, bien documentée,


performante, fiable, sécurisée, évolutive et hautement disponible est fondamentale pour pouvoir
mettre en œuvre ces différentes réformes.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 1


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

L’objet du présent mémoire, comportant cinq grands chapitres, qui s’intitule:


« Modernisation de l’architecture et implémentation des réseaux locaux virtuels sécurisés –
Cas du réseau informatique de la Direction Générale du Contrôle Financier »consiste à
concevoir une nouvelle architecture réseau moderne répondant aux besoins actuelle et future,
ainsi qu’aux exigences de performance et de qualité réseau voulues par la DGCF.

Le premier chapitre présentera le réseau informatique existant au sein de la DGCF. Ce


chapitre mettra en évidence les problématiques entrainant la dégradation des performances
actuelles du réseau ainsi que des propositions de solutions permettant d’améliorer ces
performances.

Ensuite, dans le deuxième chapitre, nous allons aborder quelques notions théoriques
sur les réseaux hiérarchiques, les réseaux locaux virtuels ou VLANs, les protocoles associées
aux réseaux virtuels, les routages entre VLANs.

Le troisième chapitre traitera les études et analyses sur la mise en œuvre des solutions
proposées notamment la mise en place d’une architecture hiérarchique, la segmentation du
réseau en sous-réseaux locaux virtuels, la mise en place des chemins redondants, l’élaboration
des documentations réseaux, la sécurisation de l’accès au réseau et enfin la restructuration du
système de câblage.

Le quatrième chapitre se concentrera sur la présentation détaillée de la phase de


réalisation du modèle type de réseau de la DGCF à mettre en œuvre. La réalisation du projet
tout entier, dans le présent mémoire, se fera sous forme de simulation avec le logiciel « CISCO
PACKET TRACER » qui est un outil très performant, complet et surtout très utilisé dans le
domaine du réseau informatique.

Enfin, le cinquième et dernier chapitre présentera les résultats et discussion sur le


basculement vers une architecture hiérarchique et l’implémentation des réseaux VLANs
sécurisés au sein du réseau de la DGCF.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 2


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CHAPITRE 1 : PRESENTATION DE LA DGCF ET SON RESEAU


EXISTANT
1.1.Création et institution de la Direction générale du Contrôle Financier (DGCF)
Conformément aux dispositifs du Décret n°207-185 du 27 février 2007, modifié par
les Décrets n°200-633 du 10 juillet 2007 et n°2008-106 du janvier 2008 fixant les attributions
du Ministère des Finances et du Budget ainsi que l’organisation générale de son ministère dans
le cadre de la politique générale de l’Etat, la dénomination du Contrôle financier fut institué à
la place du Contrôle des Dépenses Engagées sans modification sur la structure ni sa mission et
attribution. Le Contrôle Financier relève directement du Président de la République.
Il est mis pour emploi et placé sous le contrôle et la tutelle technique des Ministères
chargés des Finances et ou du Budget. En effet, pour exercer le pouvoir de contrôle général
qu’il tient de la constitution, le Président de la République dispose de l’Inspection Général de
l’Etat et du Contrôle Financier qui lui sont directement rattachés et dont les modalités
d’organisation et de fonctionnement sont fixées par voie législative ou réglementaire.
Le 22 Août 2016, la loi N° 2016-009 relative au Contrôle Financier a été promulguée,
unifiant le dispositif régissant le Contrôle Financier et donnant un cadre organisationnel et fonc-
tionnel à la DGCF.

1.2.Missions et attributions de la DGCF


Des responsabilités ont été attribuées à chacune des directions du MFB dans la
poursuite des objectifs de performance, de transparence et de régularité des opérations en
matières budgétaire et financière. L’importance du contrôle dans l’atteinte de ces objectifs
donne à la DGCF une place prépondérante au sein du ministère. L’intervention du Contrôle
Financier est matérialisée par des Visas, des avis, des observations, des conseils et des rapports.

1.2.1. Missions
Dans le cadre de l’exécution du Budget Général de l’Etat, le Contrôle Financier veille
ou fait veiller par le biais de ses structures centrales, provinciales, régionales et communales :
- Au respect de la réglementation en matière des engagements de dépenses pro-
posés par les Ordonnateurs ainsi qu’à leur comptabilisation ;
- A la régularité des actes à incidence financière ;
- A la régularité de la gestion de carrière et des effectifs des agents de l’Etat ;
- Au respect des procédures dans le cadre du CHED ;
- A la réalité de service fait de toutes les dépenses publiques.
RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 3
Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Les pièces justificatives exigées sont définies par le Décret n°2005-089 fixant la
nomenclature des pièces justificatives des dépenses publiques ; la nomenclature concernent les
opérations d’engagement jusqu’au stade de paiement auprès du Comptable du Trésor.

1.2.2. Attributions
Le Contrôle Financier émet un avis préalable sur les documents budgétaires délibérés,
prévus aux articles 23 suivants décret N° 2015-959 du 16 Juin 2015, pour le cas des Provinces,
des Régions et des Communes Urbaines. Il effectue, dans le cadre du contrôle a posteriori, les
vérifications et contrôles des procédures d’exécution et de la matérialité des dépenses des
collectivités Territoriales Décentralisées.
Le Contrôle Financier reçoit, pour avis consultatif, la communication préalable des
projets des textes législatifs et réglementaires ayant des incidences financières et budgétaires.
A cet effet, il est tenu de formuler des observations dans les cinq (05) jours ouvrables qui suivent
l’enregistrement à l’arrivée de ces projets de textes.
Le Contrôle Financier joue le rôle de conseiller financier auprès des Institutions,
Ministères, Organismes publics, Collectivités Territoriales Décentralisées, Ambassades et
Représentations Extérieures de Madagascar. Le Contrôle Financier intervient auprès des
Ministères, Institutions, Etablissements Publics Nationaux et des Collectivités Territoriales
Décentralisées. Articles 1-2 de la Loi n°2016-009 du 22 Aout 2016 relative au Contrôle
Financier.

1.3.Organisation de la DGCF
Le Contrôle Financier est composé de Délégations du Contrôle Financier. Il est dirigé
par un Directeur Général, assisté de Directions d’appui.
Les Délégués du Contrôle Financier sont choisis parmi les Inspecteurs d’État, ou à
défaut parmi les contrôleurs d’État ou les agents du cadre A de la Fonction Publique remplissant
les conditions prévues par voie règlementaire. Les délégués du Contrôle Financier sont nommés
par décret, pris en Conseil des Ministres sur proposition du Directeur Général du Contrôle
Financier, après avis du Ministre chargé du Budget. Ils ont le rang du Directeur de Ministère.
Ils sont placés auprès des Institutions, des Ministères, de leurs structures déconcentrées, des
Établissements Publics et des Collectivités Territoriales Décentralisées.

1.3.1. Organigramme de la DGCF


La figure 1 présente l’organigramme du Contrôle Financier :

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 4


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Figure 1 : Organigramme de la Direction Générale du Contrôle Financier


1.1.1. Attributions de chaque service

Figure 1 : Organigramme de la Direction Générale du Contrôle Financier

1.3.2. Attributions de chaque service


 Secrétariat particulier
- Dispatching des courriers à l'arrivée ;
- Traitement et du classement de tout autre dossier que lui confie le Directeur
Général
- Audiences du Directeur Général.

 Cellule communication
- Collecte et publication des informations qui touchent de près ou de loin le Con-
trôle Financier.

 Postes de contrôle financier


- Ils sont placés au niveau des Communes Urbaines.

 Service personnel
- Contrôle de la gestion de carrière et des effectifs des fonctionnaires et des
agents non encadrés de l'Etat.
- Assure le contrôle et le visa des projets d'actes de gestion de l'ensemble du
personnel de l'Etat, des Collectivités et des Etablissements Publics
- Représente le Contrôle Financier dans les séances de travail concernant la ges-
tion du personnel.
RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 5
Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

- Assure tous les travaux se rapportant à l'emploi et à la carrière ainsi qu'aux


avantages financiers de tous les agents de l'Etat relevant du Contrôle Financier.

 Service ordonnancement
- Il est chargé des travaux de préparation, de répartition et de suivi de l’exécution
du budget, et de la centralisation comptable des situations ainsi que de la ges-
tion des Fonds et Valeurs du Contrôle Financier.
- La gestion de matériels du Contrôle Financier
- Engagement et Liquidation
- Ordonnancement
- Division Entretien Logistique

 Service informatique
Le service informatique assure :
- Tous les travaux de centralisation comptable et informatique
- Tous les travaux relatifs au parc informatique de la Direction Générale du Con-
trôle Financier ;
- L'exploitation des notes et des données informatiques émanant des Directions
du Contrôle Financier ;
- La synthèse des situations périodiques des dépenses budgétaires de l'Etat dans
leurs différentes phases d’exécution.

 Cellule des études et de vérification


- Participe à toutes les réunions et ateliers de travail relatifs aux modalités d'ap-
plication des textes en vigueur ou des notes, de portée générale ou particulière,
intéressant le Contrôle Financier ;
- Emet des avis sur les projets de textes à incidence financière communiqués au
Contrôle Financier.
- Participe à toutes les réunions relatives aux reformes des Finances Publiques
en général.
- Représente la Direction Générale du Contrôle Financier à tous les séminaires
relatifs au contrôle préparé au niveau local ou à l’extérieur.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 6


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Cellule formation
- Assure l'organisation de la formation à dispenser au personnel du Contrôle Fi-
nancier, la prospection des bourses d'étude et de stage. A cet effet, il est chargé
de :
o Assurer la mise en œuvre du Plan de Travail Annuel relatif à la forma-
tion et d’en rendre compte au Directeur de la Formation ;
o Identifie les besoins en formation, de différentes entités publiques rele-
vant au Contrôle Financier ;

 Cellule de suivi des établissements publics


- Centraliser et exploiter tous les dossiers visés par les Délégations ;
- Fournir une assistance technique à la Direction Générale du Contrôle Financier
en matière de suivi des Etablissements Publics Nationaux en vue de l’amélio-
ration de leur gestion.

 Les délégations
Les Délégations représentent et assurent les rôles et attributions du Contrôle Financier
à leur niveau respectif.
- Délégations Centrales du Contrôle Financier auprès des Institutions, Ministères
et Organismes Publics ;
- Délégations Régionales du Contrôle Financier au niveau des Régions.

 Services des archives


- Acquisition, traitement, classement, conservation et diffusion des Documenta-
tions et archives
- Information documentaire

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 7


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

1.4.Le réseau informatique actuel de la DGCF

1.4.1. Description de réseau de la DGCF


Le réseau de la DGCF s’étend dans un bâtiment composé de trois (3) étages. La
disposition des équipements suit l’architecture en étoile. Ce réseau est constitué de :
- Un routeur central assurant la connexion du réseau local de la DGCF à l’intranet
de l’Etat. C’est un routeur logique c’est-à-dire un ordinateur configuré en tant que
routeur.
- Un routeur MICROTIK fournit par le FAI pour la connexion à Internet.
- 16 switchs D-LINK ayant tous 24 ports Ethernet et non Manageable. Ces switchs
sont montés en cascade.
- 210 hôtes incluant des ordinateurs de bureau, des ordinateurs portables, des ser-
veurs, des imprimantes en réseau, des caméras, des points d’accès pour WIFI. La
majorité de ces postes tournent sous WINDOWS XP et WINDOWS 7. Seuls les
serveurs tournent sous LINUX (RED HAT)
- Une machine assurant le rôle d’un pare-feu (firewall) qui tourne sous PFSENSE.

Toutes les machines de la DGCF se trouvent dans le même domaine de diffusion, dans
la même plage d’adresse IP de classe C qui est le 192.168.18.0/24.
Les liaisons assurant l’interconnexion de ces différents équipements réseaux passifs et
actifs sont des câbles à paires torsadées, de catégorie 5, à part ceux, connectant via le réseau
WIFI.
Pour protéger son réseau, la DGCF ne dispose pas actuellement d’un dispositif de
sécurité particulier contre les virus mais utilisent seulement des antivirus Avast gratuit installés
sur chaque poste et d’un firewall(PFSENSE) permettant le filtrage de toutes les
communications vers l’extérieur.

1.4.2. Problématiques et critique du réseau existant


L’étude et l’analyse du réseau existant nous a permis d’identifier quelques problèmes
pouvant réduire les performances du réseau de la DGCF:
- L’augmentation rapide du nombre des utilisateurs, l’utilisation d’autres nouvelles
applications conduisent à l’augmentation du volume de trafic généré par ces utili-
sateurs que le réseau ne peut plus les supporter.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 8


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

- L’augmentation des utilisateurs entraine une augmentation du nombre des switchs


utilisés. Le fait de monter ces switchs en cascade augmente le diamètre du réseau
ou la taille du domaine de diffusion.
- La non-segmentation physique ou logique du réseau entraine la réduction des per-
formances à cause du trafic de diffusion très volumineux généré par ce vaste do-
maine de diffusion.
- L’utilisation des équipements réseaux standards, non-administrables entrainent
une limitation au niveau d’exploitation et de la gestion du réseau, de la sécurisation
d’accès et de la mise à niveau envisagée.
- L’inexistence d’une architecture réseau moderne ne permet pas d’obtenir des débits
optimaux des câbles et des équipements réseaux et rend l’extension du réseau dif-
ficile.
- Le vieillissement des installations, de la majorité des équipements réseaux et des
stations de travail, constituant le réseau, ne permettent pas d’assurer une haute dis-
ponibilité et d’une bonne stabilité du réseau.
- L’inexistence d’un plan de câblage et d’un document de diagramme de topologie
rend difficile la détection des goulots d’étranglements.
- L’absence d’une vraie locale technique appropriée ne permet pas d’avoir une bonne
gestion et d’organisation des équipements réseaux.
- L’absence d’un antivirus professionnel ne permet pas d’assurer la sécurité des ma-
chines sur le réseau entrainant ainsi l’existence des trafics non désirés traversant le
réseau tout entier, ce qui réduit bien évidement les performances du réseau.
- L’insuffisance des outils de surveillance réseau et des outils appropriés rendent dif-
ficile le dépannage et la maintenance du réseau en cas de panne.

1.4.3. Propositions de solutions


 Au niveau de l’architecture
Afin de mieux gérer et de faciliter tout projet d’extension future du réseau, il faut
transformer l’architecture basique en étoile en une architecture moderne hiérarchique. Ensuite,
il faut segmenter le réseau présentant un vaste domaine de diffusion en petits réseaux afin de
diminuer le diamètre du réseau. La segmentation logique en des réseaux locaux virtuels ou
VLANS est recommandée pour ne pas perturber les organisations des personnels déjà mises en
place.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 9


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

La mise en place des liens agrégés entre équipements centraux du réseau est nécessaire
pour accroitre le débit de transfert entre équipements actifs. De plus, une installation de liaisons
redondantes est aussi recommandée dans le but d’améliorer la disponibilité du réseau. Enfin, la
DGCF doit prioriser la sécurisation de l’accès au réseau.

 Au niveau des infrastructures et équipements


Afin de mettre en œuvre les solutions réseaux au niveau de l’architecture, il faut
renouveler les infrastructures réseaux notamment les équipements actifs comme les routeurs et
les switchs ainsi que le système de câblage. L’utilisation des équipements performants et
manageables ou administrables est recommandée.
Une élaboration d’une documentation du réseau est fondamentale afin de mieux gérer
les ressources et de faciliter la maintenance et le dépannage du réseau en cas de panne.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 10


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CHAPITRE 2 : QUELQUES NOTIONS THEORIQUES SUR LES


RESEAUX HIERARCHIQUES ET LES RESEAUX LOCAUX VIRTUELS

Un réseau correctement conçu est aujourd’hui fondamental pour mener une activité au
sein d’une entreprise. Pour que le réseau soit fiable et capable d’évoluer, les architectes réseaux
doivent, avant tout, bien définir et bien choisir l’architecture réseau à mettre en œuvre.

2.1.Définition d’un réseau hiérarchique


Le model hiérarchique est un modèle réseau composé de trois couches distinctes :
- La couche d’accès ;
- La couche de distribution ;
- La couche cœur.
Chaque couche est conçue pour remplir des fonctions spécifiques.
La figure 2 présente le modèle d’un réseau hiérarchique composé de trois couches.

Figure 2 : Schéma global d’un modèle de réseau hiérarchique

2.2.Rôles de chaque couche


2.2.1. Couche d’accès
La couche d’accès sert d’interface avec les périphériques finaux, tels que les ordinateurs,
les imprimantes, les téléphones sur IP, afin de fournir un accès au reste du réseau. Son rôle
principal est de fournir un moyen de connecter des périphériques au réseau, ainsi que de
contrôler les périphériques qui sont autorisés à communiquer sur le réseau.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 11


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

2.2.2. Couche de distribution


La couche distribution regroupe les données reçues à partir des commutateurs de la
couche d’accès, avant qu’elles ne soient transmises vers la couche cœur du réseau en vue de
leur routage vers la destination finale.

2.2.3. Couche cœur


La couche cœur du réseau regroupe les trafics provenant de tous les périphériques de la
couche de distribution. Elle doit donc être capable de réacheminer rapidement d’importantes
quantités de données. Elle constitue le réseau fédérateur à haut débit de l’interréseau.

2.3.Avantages du modèle de réseau hiérarchique


Les conceptions des réseaux hiérarchiques présentent de nombreux avantages comme
l’évolutivité, la redondance, l’amélioration de la performance, la sécurité et la facilité de
gestion.

 Evolutivité
Les réseaux hiérarchiques peuvent être aisément étendus. La modularité de la
conception permet de reproduire des éléments de conception au fur et à mesure de l’évolution
du réseau. Puisque chaque instance du module est cohérente, l’expansion est simple à planifier
et à implémenter.

 Redondance
Au fur et à mesure de l’évolution d’un réseau, la disponibilité devient plus importante.
On peut augmenter considérablement la disponibilité via des implémentations redondantes
faciles à effectuer à l’aide des réseaux hiérarchiques.

Des commutateurs de couche d’accès sont connectés à deux commutateurs de


distribution différents afin de garantir une redondance du chemin d’accès. Ainsi, lorsque l’un
des commutateurs de la couche de distribution devient inopérant, le commutateur de couche
d’accès peut basculer vers l’autre commutateur de couche de distribution.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 12


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Performances
L’agrégation de liaisons entre les commutateurs des couches principales et de
distributions très performantes permettent de bénéficier d’une vitesse proche de celle du câble
à travers le réseau.

 Sécurité
La possibilité d’utiliser l’option de sécurité de port des commutateurs au niveau de la
couche d’accès et l’utilisation des stratégies plus avancées au niveau de la couche de
distribution permettent de renforcer la sécurité du réseau.

 Facilité de gestion et de maintenance


Le principe de modularité permet de créer des éléments qui peuvent être reproduits au
fur et à mesure que le réseau se développe c’est-à-dire que le déploiement de nouveaux
commutateurs est simplifié car des configurations de commutateurs peuvent être copiées entre
des périphériques avec très peu de modifications.
Comme les réseaux hiérarchiques sont modulaires par nature et qu’ils s’adaptent très
facilement, leur maintenance est aisée.

2.4.Les réseaux locaux virtuels ou VLANs

2.4.1. Définition
Un Réseau Local Virtuel ou VLAN (Virtual Local Area Network) est un regroupement
des périphériques de façon logique c’est à dire que ces périphériques se comportent comme
s’ils se trouvaient sur un réseau local physique.
Un VLAN est un sous-réseau IP logique distinct. Les réseaux locaux virtuels permettent
à plusieurs réseaux et sous-réseaux IP de coexister sur le même réseau commuté.
Les VLANs peuvent être définis en fonction :
- Du protocole de niveau 3 utilisé dans le réseau ;
- Des groupes de personnes, département ou service ;
- De sécurités différentes nécessaires sur certaines ressources ;
- Des applications utilisées sur le réseau.

La figure 3 présente un modèle réseau composé d’un switch et de quatre ordinateurs


avec implémentation des VLANs.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 13


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Figure 3 : Réseau local commuté avec implémentation de VLANs

2.4.2. Concepts des VLANs


Les VLANs permettent à un administrateur de segmenter les réseaux en fonction de
facteurs tels que la fonction, l’équipe du projet ou l’application, quel que soit l’emplacement
physique de l’utilisateur ou du périphérique.
Les VLANs permettent la mise en œuvre des stratégies d’accès et de sécurité en fonction
de groupes d’utilisateurs précis.
2.4.3. Avantages des VLANs
Les principaux avantages des VLANs sont les suivants :
- Sécurité : les groupes contenant des données sensibles sont séparés du reste du
réseau, ce qui diminue les risques de violation de confidentialité.
- Meilleurs performances : Le fait de diviser le réseau en plusieurs domaines de
diffusion réduit la quantité de trafic inutile sur le réseau et augmente la performance.
- Réduction des domaines de diffusion : La division d’un réseau en VLANs ré-
duit le nombre de périphériques dans le domaine de diffusion.
- Efficacité accrue du personnel informatique : Les VLANS facilitent la gestion
du réseau, car les utilisateurs ayant des besoins similaires partagent le même VLAN.

2.4.4. Types de VLANs


Il existe différents types de VLAN utilisés dans les réseaux modernes. Certains types de
VLAN sont définis par les classes de trafic. D’autres sont définis par leur fonction spécifique.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 14


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 VLAN de données
Un VLAN de données est un réseau local virtuel configuré pour transmettre le trafic
généré par l’utilisateur.
Un VLAN de données est parfois appelé un VLAN Utilisateur. Les VLANs de données
sont utilisés pour diviser un réseau en groupes d’utilisateurs ou de périphériques.

 VLAN par défaut


Tous les ports de commutateur font partie du VLAN par défaut après le
démarrage initial d’un commutateur chargeant la configuration par défaut. Les ports de
commutateur qui participent au VLAN par défaut appartiennent au même domaine de diffusion.
Cela permet à n’importe quel périphérique connecté à n’importe quel port de commutateur de
communiquer avec d’autres périphériques sur d’autres ports du commutateur.

 VLAN natif
Un VLAN natif est affecté à un port d’agrégation ou port trunk802.1Q. Les ports
d’agrégation sont les liaisons entre les commutateurs qui prennent en charge la transmission du
trafic associée à plusieurs VLANs. Un port d’agrégation pend en charge le trafic provenant de
nombreux VLANs (trafic étiqueté ou tagged traffic), ainsi que le trafic qui ne provient pas d’un
VLAN (trafic non étiqueté ou untagged traffic). Le port d’agrégation place le trafic non-étiqueté
sur le VLAN natif.

 VLAN de gestion
C’est un VLAN configuré pour accéder aux fonctionnalités de gestion d’un
commutateur. Pour créer le VLAN de gestion, l’interface virtuelle du commutateur de ce VLAN
se voit attribuer une adresse IP et un masque de sous-réseau, ce qui permet de gérer le
commutateur via HTTP, Telnet, SSH ou SNMP.

2.4.5. Communication inter-VLANs ou Routage inter-VLANs


 Définition
On appelle routage l’acheminement d’un paquet d’un réseau à un autre.
Un VLAN est un domaine de diffusion : les ordinateurs se trouvant sur des VLANs
différents ne peuvent donc pas se communiquer entre eux sans l’intervention d’un dispositif de
routage. Un périphérique qui prend en charge le routage de couche 3, tel qu’un routeur ou un
commutateur multicouche, permet d’exécuter les fonctions de routage nécessaire.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 15


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Le routage inter-VLAN est donc un processus d’acheminement du trafic réseau d’un


VLAN à un autre à l’aide d’un dispositif de routage.
La figure 4 présente le principe de fonctionnement du routage inter-VLANs d’un réseau
composé de deux VLANs à l’aide d’un routeur.

Figure 4 : Réseau avec VLANs et routeur

 Principes
Les VLANs sont associés à des sous-réseaux IP uniques sur le réseau. Cette
configuration de sous-réseaux facilite le processus de routage dans un environnement comptant
plusieurs VLANs. Lors de l’utilisation d’un routeur pour faciliter le routage entre VLAN, les
interfaces de routeur peuvent être connectées à des VLANs distincts. Les périphériques sur ces
VLANs envoient le trafic via le routeur pour atteindre d’autres VLANs. Diverses options de
routage entre VLANs sont disponibles.

Le routage traditionnel entre VLAN exige plusieurs interfaces physiques sur le routeur
et le commutateur. Le routage s’effectue en connectant différentes interfaces de routeur
physique à différents ports de commutateurs physiques. Ce type de routage comporte une
limitation. Lorsque le nombre de VLANs augmente sur un réseau, l’approche physique
consistant à utiliser une interface de routeur par VLAN est vite entravée par les limitations
matérielles physiques d’un routeur. Les routeurs disposent d’un nombre limité d’interfaces
physiques qu’ils peuvent utiliser pour se connecter à différents VLANs.

Cependant, toutes les configurations de routage entre VLAN ne nécessitent pas


plusieurs interfaces physiques. Certains logiciels de routeur permettent de configurer des

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 16


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

interfaces de routeur comme liaisons agrégées, créant ainsi de nouvelles possibilités pour le
routage entre VLAN.
« Router-on-a-stick » est un type de configuration de routeur dans laquelle une seule
interface physique achemine le trafic entre plusieurs VLANs d’un réseau. L’interface du routeur
est configurée pour fonctionner comme liaison agrégée et est connectée à un port de
commutateur configuré en mode d’agrégation. Le routeur effectue le routage entre VLAN en
acceptant le trafic étiqueté VLAN sur l’interface agrégée provenant du commutateur adjacent
et en effectuant le routage en interne entre les VLANs à l’aide de sous-interfaces. Le routeur
transfère alors le trafic acheminé depuis la même interface physique. Les sous-interfaces sont
des interfaces virtuelles associées à une interface physique.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 17


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CHAPITRE 3 : MISE EN PLACE D’UNE ARCHITECTURE


HIERARCHIQUE ET IMPLEMENTATION DES RESEAUX VLANS

Ce chapitre est axé sur les études et analyses de la mise en place d’une architecture
hiérarchique, la segmentation du réseau en plusieurs sous-réseaux logiques, la documentation
du réseau, la sécurisation de l’accès au réseau et la restructuration du système de câblage.

3.1.Analyse des groupes d’utilisateurs


Avant de procéder à la segmentation du réseau, la connaissance du nombre de sous-
réseaux correspondant au nombre de groupes d’utilisateurs est nécessaire. Ainsi, une analyse
des groupes d’utilisateurs doit être effectuée.
D’après les informations recueillies sur les utilisateurs suivant leurs fonctions et
attributions, quatre groupes d’utilisateurs peuvent être crées :
- Le groupe des Personnels administratifs ;
- Le groupe des techniciens ;
- Le groupe des personnels d’appuis ;
- Le groupe des vérificateurs.

3.1.1. Les Personnels Administratifs


Ce groupe d’utilisateurs comprend le Directeur Général, les Directeurs d’Appui et les
Délégués Centraux du CF au sein des Ministères et Institutions et les secrétaires particuliers du
Directeur Général. Ils sont au nombre de vingt (20) utilisateurs. On peut les mettre dans un
même groupe car ils s’échangent souvent des dossiers confidentiels entre eux et bien évidement
ils ont presque les mêmes fonctions à part les secrétaires particuliers.
3.1.2. Les Techniciens
Ce groupe de quarante-cinq (45) utilisateurs est constitué par les informaticiens de la
DGCF, les agents du service Communication, du service Archive et Formation et ceux du
service Personnel.
On les regroupe au sein d’une même communauté d’utilisateurs, puisqu’ils ont besoin
d’un accès similaires aux ressources (bandes passantes, bases de données) et aux applications.
3.1.3. Les Personnels d’Appuis
Ce groupe, formé par quarante-cinq (45) utilisateurs, est composé par des personnels
des services Logistique, Sous ordonnancement, du service Etude et Vérification et ceux du ser-
vice Suivi des Etablissements Publics.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 18


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.1.4. Les Vérificateurs


Ce groupe rassemble tous les vérificateurs des délégations Centrales du Contrôle Finan-
cier au sein des Ministères et Institutions. Ils sont environ au nombre de cinquante-trois
(53).Tous les vérificateurs ministériels utilisent, tous, les mêmes applications : le SIIGFP ou
Système Intégré Informatisé de Gestion des Finances Publiques, le SIIGECD ou Système In-
tégré Informatisé de Gestion des Employés de Courte Durée.

3.2.Segmentation en sous-réseaux du réseau local


En faisant une étude de la disposition physique de chaque groupe d’utilisateurs dans le
local de la DGCF, la segmentation physique du réseau en sous-réseaux n’est pas possible si on
veut regrouper dans un même sous-réseau le groupe d’utilisateurs ayant des fonctions et des
besoins en application similaires. Donc, il faut se procéder à la segmentation logique c’est-à-
dire la division du réseau en sous-réseaux locaux virtuels ou VLANS tout en appliquant les
stratégies de sécurité associées.

3.2.1. Définitions du type, du nom et du numéro d’identification des VLANS à im-


plémenter
Chaque groupe d’utilisateurs crée correspond à un VLAN. Le tableau 1 présente les
caractéristiques de chaque VLAN : le nom du groupe, le nom de VLAN associé, l’Identifiant
du VLAN ainsi que leur type.
Tableau 1: Les VLANS à implémenter
Groupe d’utilisateurs Nom du VLAN CODIFICATION ID du Type de VLAN
(Sous-réseau) VLAN VLAN
Les Administrateurs Administrateurs ADMIN 10 Données

Les Techniciens Techniciens TECH 20 Données

Les Personnels PersAppuis PERSAPPUI 30 Données


d’Appuis
Les Vérificateurs Vérificateurs VERIF 40 Données

Vlan de Gestion Gestions GEST 99 Gestion/Natif

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 19


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.2.2. Etablissement d’un nouveau plan d’adressage


Un plan d’adressage est un document réseau clé, permettant de mieux gérer les adresses
IP attribuées aux hôtes du réseau. C’est une manière de connaitre les adresses IP déjà utilisées
et ceux disponibles.
Le plan d’adressage doit être un document complet permettant de savoir le nom
d’utilisateur d’une adresse IP, le masque de sous-réseau correspondant, l’adresse de passerelle
par défaut, le nom du Switch auquel l’hôte est connecté, le numéro de port du switch auquel
l’hôte est branché, l’ID et le nom du VLAN d’appartenance de l’hôte.
L’espace d’adressage réseau qu’on va utiliser est le 192.168.0.0.
Les tableaux 2 et 3 suivants sont des exemples de plan d’adressage du réseau local de la
DGCF qu’on va mettre en œuvre.

Tableau 2: Les VLANs et ses adresses réseaux correspondantes


Nom VLAN CODE ID Adresse réseau Masque Passerelle
VLAN VLAN
Administrateurs ADMIN 10 192.168.10.0/24 255.255.255.0 192.168.10.1

Techniciens TECH 20 192.168.20.0/24 255.255.255.0 192.168.20.1

Personnels d’Appuis PERSAPPUI 30 192.168.30.0/24 255.255.255.0 192.168.30.1

Vérificateurs VERIF 40 192.168.40.0/24 255.255.255.0 192.168.40.1

Gestion GESTION 99 192.168.99.0/24 255.255.255.0 192.168.99.1

Tableau 3: Exemple de Plan d’adressage du réseau de la DGCF


N° Nom d’hôte Adresse IP Service ou Nom du N° Port VLAN
Porte Délégation Switch
105.6 PC_RAKOTO 192.168.20.5 Informatique SW_1A2 Fa0/16 TECH

204.3 PC_RASOA 192.168.40.8 Del MDN SW_2A1 Fa0/23 VERIF

301.2 PC_DG 192.168.10.4 DG SW_3A1 Fa0/7 ADMIN

105.7 SERVEUR_PERS 192.168.20.253 Local Tech SW_SRV Fa0/6 SERVEUR

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 20


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.3.Etudes de conception de l’architecture hiérarchique à mettre en œuvre

3.3.1. Présentation de l’architecture hiérarchique et de ses différentes couches


On a vu qu’un réseau hiérarchique est un réseau dont l’architecture est disposé en
couche. Cette disposition en couches permet d’obtenir une conception modulaire facilitant la
gestion et le développement du réseau.
Ainsi, l’architecture réseau à implémenter sera composée de trois(3) couches bien
distinctes :
- La couche d’accès.
- La couche distribution.
- La couche cœur ou réseau fédérateur.
Avant de faire une présentation détaillée de chaque couche, il est nécessaire de connaitre
l’effectif des utilisateurs par étage et par VLAN pour pouvoir définir le nombre de
commutateurs d’accès à utiliser. Le tableau 4 montre l’effectif des utilisateurs par étage et par
VLAN.
Tableau 4: Effectifs des utilisateurs de chaque VLAN par étage
VLANS RDC ETAGE 1 ETAGE 2 ETAGE 3 TOTAL PAR VLANS

ADMIN 3 5 8 8 24

TECH 15 31 0 15 60

PERSAPPUI 20 1 30 0 50

VERIF 15 31 20 20 86

TOTAL PAR ETAGE 53 69 58 43 223

 La couche d’accès
La couche d’accès sera constituée par les switchs d’accès de chaque étage, les points
d’accès pour le WIFI permettant aux différents périphériques finaux d’accéder au réseau. Cette
couche assure le contrôle des périphériques autorisés à communiquer avec le réseau
Le tableau 5 présente le nombre de commutateurs d’accès que l’on aura besoin en
fonction des nombres d’utilisateurs par étage. Les commutateurs que l’on va utiliser dans cette
conception sont des commutateurs 24 ports.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 21


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Tableau 5 : Nombre de switchs d’accès par étage en fonction du nombre des utilisateurs
ETAGE RDC ETAGE ETAGE ETAGE
1 2 3
NOMBRES UTILISATEURS 53 65 58 43

NOMBREDE COMMUTATEURS 3 3 3 2
D’ACCES

Pour les clients utilisant des périphériques sans fil, ils accèderont au réseau via les AP
(Access Point) ou Points d’Accès. Le tableau 6 présente le nombre de point d’accès par étage.
Tableau 6 : Nombre de Point d’accès (AP) par étage
Nombre Point d’accès (AP) Localité d’installation de l’AP Localités servis par l’AP
4 1ère Etage RDC et 1ère Etage
3 2ème Etage 2ème Etage et 3ème Etage
1 Bureau du DG Bureau du DG

 La couche distribution
La couche distribution, composée de deux switchs de distribution, permet de regrouper
les trafics reçus à partir des commutateurs d’accès de chaque étage. Chaque commutateur
d’accès sera connecté aux deux switchs de distributions pour garantir une haute disponibilité
du réseau. Si l’un d’eux tombe en panne, la connexion sera toujours maintenue et est assurée
par l’autre switch de distribution.

 La couche cœur ou réseau fédérateur


La couche cœur regroupe les trafics venant des deux switchs de distribution. C’est la
partie à très haut débit du réseau. Elle est composée de:
- deux (2) routeurs(le routeur de Telma pour la connexion INTERNET et le rou-
teur du siège permettant la connexion à l’INTRANET de L’Etat) ;
- un switch cœur ;
- un switch pour les Serveurs ;
- trois serveurs ;
- une liaison agrégée à haut débit.
Cette couche assurera aussi la liaison du réseau local de la DGCF à INTERNET.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 22


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.3.2. Présentation des besoins en équipements réseaux


La conception d’une architecture réseau ne se limite pas, seulement à l’étude des
paramètres fonctionnels du réseau c’est-à-dire à l’architecture logique mais surtout à l’étude
des caractéristiques physiques des équipements réseaux actifs à utiliser, de ses emplacements
sur le réseau et aux systèmes de câblage permettant l’interconnexion de ces différentes
équipements.
Afin d’obtenir une meilleure performance lors d’une conception réseau, un bon choix
des équipements actifs, de ses positionnements sur le réseau et du système de câblage à utiliser
doit être effectué.

 Facteurs de sélection des périphériques réseaux


Lors du choix d’un périphérique réseau, différents facteurs doivent être pris en
considération :
- Vitesse et types de port/d’interface ;
- Débit de transfert du périphérique ;
- Capacité d’extension ;
- Facilité de gestion ;
- Coût ;
- Nombres de port/d’interface disponibles ;
- Les fonctions et services disponibles ;
- Le système d’exploitation tournant sur le périphérique.

 Le routeur siège
Le routeur siège est l’élément central du réseau que l’on va mettre en œuvre car toutes
les trafics réseau passe par lui. Son rôle principal consiste à transférer les trafics réseau arrivées
à ses interfaces vers la destination appropriée après analyse de chaque paquet. Le routeur que
l’on va choisir doit répondre aux critères suivants:
- Etre capable de traiter un important volume de trafic pendant un délai très court;
- Prise en charge du routage inter-VLANs ;
- Prise en charge de la technologie d’agrégation de liens ;
- Avoir au minimum 1interface Gigabit Ethernet c’est-à-dire un port RJ45 ayant
comme vitesse de port de1Gbits/s;

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 23


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

- Avoir au minimum 2 interfaces FastEthernet c’est-à-dire 2 ports RJ45 ayant


comme vitesse de port de 100Mbits/s;
- Avoir une interface fibre optique.

 Les switchs d’accès


Les switchs d’accès servent à connecter les périphériques finaux au réseau local. Ces
switchs doivent avoir les caractéristiques suivantes :
- Avoir 24 ports fixes, FastEthernet ;
- Avoir au minimum 2 ports Gigabit Ethernet ;
- Manageable c’est-à-dire Configurable ;
- Prise en charge du routage inter-VLANs ;
- Prise en charge des sécurités des ports ;
- Intégrant la technologie PoE (Power Over Ethernet) c’est-à-dire l’alimentation
électrique du périphérique par câble Ethernet.

 Les switchs de distributions


Les switchs de distribution ont pour rôle de regrouper les trafics venant des switchs
d’accès. Pour cela, ils doivent avoir un niveau de performance élevé par rapport aux switchs
d’accès. Ci-dessous les caractéristiques qu’on a besoin sur ces switchs de distribution :
- Avoir 24 ports fixes Gigabit Ethernet ;
- Manageable ou Configurable ;
- Prise en charge de la technologie d’agrégation de liens ;
- Supporte le routage entre VLANs ;
- Intégrant la technologie PoE (Power Over Ethernet) c’est-à-dire l’alimenta-
tion électrique du périphérique par câble Ethernet.

 Le switch du sous-réseau des serveurs


Le switch des serveurs sert à connecter les serveurs, dans le Local Technique, au reste
du réseau. En raison du volume de trafic manipulé par les serveurs, la vitesse de transfert de
données entre ce switch et les serveurs doit être élevée que possible pour éviter un goulot
d’étranglement. Ce switch doit avoir les caractéristiques suivantes :
- Avoir au minimum 16 ports fixes GigabitEthernet ;
- Prise en charge de la technologie d’agrégation de liens ;
- Prise en charge du routage inter-VLANs ;

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 24


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

- Avoir un débit de transfert élevé ;


- Manageable ou Configurable ;
- Prise en charge d’une température de fonctionnement très élevée en raison de
la charge de travail très élevée à laquelle il est soumis (système de ventilation
plus sophistiqué);

 Le switch cœur ou switch fédérateur


La couche cœur d’une topologie hiérarchique représente le réseau fédérateur à haut débit
et nécessite des switchs pouvant gérer des débits de transferts très élevés. .
La décision à prendre pour le choix du switch cœur est vitale pour le fonctionnement
futur du réseau, car les performances et la stabilité du réseau dépend énormément de ses
caractéristiques. Le switch cœur qu’on va utiliser doit avoir les caractéristiques suivantes :
- Avoir 24 ports fixes Gigabit Ethernet ;
- Prise en charge de la technologie d’agrégation de liens ;
- Avoir un débit de transfert très élevé ;
- Prise en charge du routage inter-VLANs ;
- Manageable ou Configurable ;
- Prise en charge d’une température de fonctionnement très élevée en raison de
la charge de travail très élevée à laquelle il est soumis (système de ventilation
plus sophistiqué);
- Prise en charge des fonctions de redondance matérielle supplémentaire telle
qu’une alimentation électrique redondante;

 Les avantages de l’utilisation des équipements réseaux CISCO


CISCO est une compagnie qui est devenu l’un des meilleurs constructeurs
d’équipements réseaux, comme les routeurs et les switchs, qui sont des matériels fondamentaux
pour les réseaux informatiques. Les équipements réseaux de CISCO offrent plusieurs
fonctionnalités de gestion, d’administration et de sécurité apportant beaucoup d’avantages aux
entreprises par rapport aux équipements réseaux produits par d’autres constructeurs:
- Par exemple, l’outil CISCO Network Assistant est une application de gestion de
réseau reposant sur un poste de travail, optimisée pour les réseaux locaux jusqu’à 250 utilisa-
teurs. Cette application centralise la gestion des switchs, des routeurs et des Points d’accès de

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 25


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CISCO. Une interface graphique conviviale permet aux utilisateurs de configurer et d’adminis-
trer un ensemble de fonctions de commutation et de démarrer le gestionnaire de périphériques
des routeurs et des points d’accès.
- L’agrégation de la bande passante, jusqu’à 8Gbits /s avec la technologie CISCO
Gigabit EtherChannel et jusqu’à 800Mbits /s avec CISCO Fast EtherChannel, optimise la
tolérance aux pannes et fournit une bande passante agrégée à plus haut débit entre les switchs,
mais aussi vers les routeurs et les serveurs individuels.
- Les multiples niveaux de sécurité sur les accès console offertes par le logiciel
CISCO IOS empêchent les utilisateurs non autorisés de modifier la configuration.
- Le protocole CISCO VTP (Virtual Trunking Protocol) permet de configurer dy-
namiquement les VLANs et les agrégations sur les différents commutateurs du réseau.
- Le protocole CDP (CISCO Discovery Protocol) permet à un poste d’administra-
tion réseau de découvrir automatiquement un autre périphérique CISCO sur le réseau.
- La prise en charge des alimentations électriques redondantes pour certaines
gammes de switchs CISCO permet de maintenir la disponibilité du réseau. (par exemple le
switch 2960-XR supporte deux (2) alimentations électriques redondantes.
- La prise en charge de la technologie PoE (Power Over Ethernet) facilite l’instal-
lation et le déploiement du réseau car elle supprime la nécessité d’utilisation des prises de cou-
rant pour certains équipements réseaux. (On rappelle que la technologie PoE permet d’alimenter
électriquement un équipement via un câble réseau Ethernet).
De plus, CISCO offre plusieurs gammes d’équipements réseaux (routeurs et switchs)
qui possèdent toutes les caractéristiques citées ci-dessus, que le réseau de la DGCF a besoin.
Enfin, la Direction des Systèmes d’Information (DSI) du Ministère des Finances et du
Budget effectue aujourd’hui une amélioration de ses infrastructures réseau et sur ce point, elle
a pris une décision de basculer vers l’utilisation des équipements réseaux CISCO. Comme le
réseau local de la DGCF est connecté directement avec le réseau du Ministère, l’uniformisation
des équipements d’extrémités s’avèrent nécessaire et présente bien évidement des avantages
pour le bon fonctionnement du réseau comme la résolution des problèmes de compatibilité entre
protocoles réseaux propriétaires.
Le tableau 7 présente des propositions de types et modèles d’équipements réseaux
CISCO répondant aux critères de sélections des équipements de chaque couche mentionnées
ci-dessus :

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 26


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Tableau 7: Les matériels réseaux CISCO pouvant être utilisés dans le réseau de la
DGCF à mettre en œuvre
Périphériques Type ou Modèle du périphérique Nombres

Routeur siège CISCO ISR 2911 1

Switch d’accès CISCO Catalyst 2960-X/24 Ports 11

Switch de distribution CISCO Catalyst 2960-XR/24 Ports 2

Switch cœur CISCO Catalyst 3560G – /24 Ports 1

3.3.3. Etudes d’implémentation d’une agrégation de liens


L’agrégation des liens permet d’augmenter la bande passante disponible entre deux
équipements réseaux en utilisant plusieurs liens physiques comme un lien logique unique
(Switch vers Switch, Switch vers Routeur ou Switch vers Serveur).
Afin d’obtenir une meilleur performance réseau en terme de bande passante et de
rapidité de transfert de données dans notre conception, on va implémenter des agrégations de
liens dans les couches de distribution et cœur, notamment entre les deux (2) switchs de
distribution et le switch fédérateur, entre le switch fédérateur et le routeur et enfin entre le switch
fédérateur et le switch du côté du sous-réseau SERVEUR.
Pour configurer une agrégation de liens, plusieurs protocoles existent mais dans notre
cas, on va utiliser le Protocole LACP (Link Aggregation Control Protocol). (Les détails de la
configuration des équipements réseaux seront présentés dans le chapitre suivant).
La figure 5 montre la mise en œuvre des liens agrégés entre le switch cœur et les deux
(2) switchs de distribution et entre le switch cœur et le switch des serveurs:

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 27


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Figure 5: mise en œuvre d’une agrégation de liens entre les équipements réseaux de la
couche de distribution et la couche cœur
Le tableau 8 récapitule le débit de transfert dans les couches de distribution et cœur du
réseau local de la DGCF, résultant de la mise en œuvre d’une agrégation de liens.
Tableau 8: Débit de transfert entre le Switch cœur et le switch de distribution, le routeur et le
switch des serveurs
Périphériques Switch de Distribution Routeur Switch des Serveurs
Switch cœur 2 liens à 1Gbits/s = 2 liens à 1Gbits/s = 4 liens à 1Gbits/s =
2Gbits/s 2Gbits/s 4Gbits/s

3.3.4. Installation des chemins redondants


La disponibilité est un critère important dans la conception des réseaux modernes. On
peut l’augmenter considérablement via l’implémentation des chemins redondants.
L’architecture hiérarchique permet de mettre en place cette solution.
Dans le cas de la Direction Générale du Contrôle Financier, la disponibilité est un critère
primordial afin de garantir une connexion permanente des utilisateurs du réseau. C’est pour
cette raison qu’on l’a pris en considération dans notre conception. Cette disponibilité se traduit
par la connexion de chaque switch d’accès à deux (2) switchs de distribution différents. Ainsi,
lorsque l’un des switchs de distribution devient inopérant, le switch d’accès peut basculer vers
l’autre switch de distribution. La figure 6 montre la mise en place des chemins redondants dans
notre conception :

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 28


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Figure 6 : Chemins redondants entre les switchs d’accès et les switchs de distributions
Cependant, la création des chemins redondants créent des boucles en raison des
nombreux chemins configurés sur le réseau. Pour résoudre ce problème, on va faire appel au
protocole STP (Spanning Tree Protocol).Le protocole STP garantit l’unicité du chemin logique
entre toutes les destinations du réseau en bloquant intentionnellement les chemins redondants
susceptibles d’entrainer la formation d’une boucle. Le protocole STP utilise une liaison
redondante uniquement en cas de défaillance de la liaison principale. (Les configurations du
protocole STP dans notre conception seront présentées dans le chapitre suivant).

3.3.5. Sécurisation de l’accès au réseau


 Sécurisation de la console
La sécurisation de la console des commutateurs contre tout accès non autorisé est
impérative. Des mots de passes doivent être définis afin que des utilisateurs malveillants ne
puissent pas apporter des modifications sur les configurations déjà effectuées. D’ailleurs, les
matériels réseaux de CISCO permettent de faire ce système de sécurisation de la console.

 Protection des ports d’accès à distance


La configuration à distance des périphériques réseaux est possible via les ports d’accès
à distance sans besoin d’un accès physique aux périphériques. Il est aussi primordial de
sécuriser ces accès pour empêcher des utilisateurs non autorisés au réseau. Comme dans la
console, on doit définir aussi des mots de passe de l’accès à distance.
 Configuration du mot de passe en mode d’exécution
Le mode d’exécution privilégié permet à toutes les personnes qui l’utilisent sur un
périphérique réseau de configurer toutes les options disponibles sur ce périphérique. On peut
également afficher tous les paramètres actuellement configurés sur le périphérique, y compris
certains des mots de passe non chiffrés. C’est pourquoi, il est nécessaire de sécuriser par mot
de passe l’accès au mode d’accès privilégié.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 29


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Configuration de la sécurité des ports d’accès


La sécurité des ports restreint le nombre d’adresse MAC autorisé sur un port.
L’affectation des adresses MAC sécurisées à un port tout aussi sécurisé permet à ce port de
bloquer tous les paquets avec des adresses sources en dehors du groupe des adresses définies.
Une violation de sécurité se produit lorsqu’une adresse MAC différentes des adresses MAC
sécurisées tente d’accéder au port.
(Les configurations concernant ces différents types de sécurités d’accès seront
présentées dans le prochain chapitre).

3.3.6. Diagramme de topologie logique du réseau à mettre en œuvre


Le Diagramme de topologie réseau est un élément essentiel constituant un document
réseau. D’après les études et analyses de conception effectuées, le diagramme de topologie
logique du réseau de la DGCF à mettre en œuvre, qui est aussi le modèle type est présenté selon
la figure 7:

Figure 7: Diagramme de Topologie Logique du réseau de la DGCF à mettre en œuvre

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 30


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

3.4.Restructuration du système de câblage du réseau de la DGCF


Un bon système de câblage est un paramètre très important à prendre en considération
afin d’obtenir une meilleure performance du réseau. Ainsi, le choix de type de câble à utiliser
et l’agencement des connexions est stratégique, car il doit être adapté au volume de trafic. De
plus, un bon système de câblage doit être conforme aux différentes normes internationales en
vigueur en matière de câblage réseau.

3.4.1. Type de câble à utiliser dans les couches distribution et cœur


Les couches cœur et distribution font partie d’une zone du réseau où les débits de
transfert sont très élevés. Donc, les câbles réseaux à utiliser dans ces couches doivent supporter
les exigences en matière de bande passante et à la résistance aux différents bruits
électromagnétiques.
Les câbles réseaux adaptés à ces couches sont des câbles en cuivre à paire torsadée,
blindée de catégorie 6 ou 5e.Ces types de câble peuvent véhiculer des données jusqu’à 1Gbits
/s. L’utilisation des câbles à paire torsadée implique, obligatoirement, l’utilisation des
connecteurs RJ-45.
D’après la norme internationale ISO 11801, dont l’équivalent européen est EN 50173 et
TIA/EIA -568A en Etats-Unis, la longueur maximale d’une liaison avec ce type de câble ne
doit pas excéder 90m. En effet, au-delà de cette longueur, il y a risque de perte d’informations.
La figure 8 montre des exemples de câble réseau et d’un connecteur RJ 45.

Figure 8: Câble en cuivre à paire torsadée, blindée FTP de Catégorie 6 et un connecteur RJ-
45
Afin d’optimiser le fonctionnement des câbles réseaux, on doit respecter les normes de
câblage, notamment sur la distance physique des câbles entre deux équipements réseaux.
Comme le bâtiment de la DGCF comporte quatre (4) étages, le fait de mettre les deux (2)
switchs de distribution dans le local technique se trouvant au 1er étage n’est pas idéal car
certains switchs d’accès se trouvent à une distance largement au-dessus de 90m, distance
maximale stipulé par la norme internationale ISO 11801.Donc, les deux (02) switchs de
distribution seront installés dans un sous-répartiteur situé dans la cage d’escalier entre la 1èreet

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 31


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

le 2ème étage du bâtiment. Le tableau 9 présente la distance physique entre le local technique
et les deux switchs de distribution.

Tableau 9 : Distance physique entre le local technique et les deux switchs de distribution
Switch de distribution Distance (m)
Local Technique et SW_DIST_1 70
Local Technique et SW_DIST_2 75

3.4.2. Type de câble à utiliser dans la couche d’accès


Les câbles réseaux que l’on va utiliser pour relier les switchs de distribution et les
switchs d’accès sont aussi des câbles en cuivre à paire torsadée, blindées de catégorie 5e car la
bande passante de la liaison entre un switch de distribution et un switch d’accès est de 1Gbits/s.
Pour la connexion des périphériques finaux au switch d’accès, un câble réseau en cuivre
à paire torsadée, blindée de catégorie 5 (STP ou FTP) devra suffire car le débit de port de chaque
Switch d’accès n’est que de 100MBits /s. La norme de câblage relative à la longueur maximale
du câble réseau (90m) doit être respectée.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 32


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CHAPITRE 4 : REALISATION DU MODELE TYPE ET SIMULATION


SOUS PACKET TRACER

Ce chapitre se focalisera sur la réalisation pratique des solutions proposées dont : la


mise en place d’une architecture hiérarchique, la création et la configuration des réseaux
VLANs, la sécurisation des accès au réseau et la configuration du routage inter-VLANs. En
effet, les paramétrages et les configurations des équipements réseaux (switchs, routeurs, postes
de travail) sont les points essentiels à présenter dans ce chapitre. Faute d’inexistence des équi-
pements réseaux CISCO physiques, la réalisation pratique de la conception se fera sous forme
de simulation avec l’outil « CISCO PACKET TRACER ».

4.1.Présentation du logiciel de simulation « CISCO PACKET TRACER »


4.1.1. Choix de l’outil
Par rapport à d’autres simulateurs réseaux qui existent, PACKET TRACER est simple
à utiliser mais très complet du point de vu types d’équipements ainsi qu’en terme de services
et fonctionnalités proposés. PACKET TRACER intègre plusieurs protocoles réseaux, proprié-
taires et non propriétaires ce qui lui rend très puissant et très performant comme outil de simu-
lation réseau. C’est aussi un outil multiplateforme car il existe des versions qui tournent avec
différents systèmes d’exploitation comme WINDOWS et LINUX. C’est pour ces différentes
raisons qu’on a opté pour PACKET TRACER à la place d’autres outils de simulation.
La dernière version de PACKET TRACER et qu’on a utilisé est la version 7.0.

4.1.2. Description générale


« PACKET TRACER » est un logiciel permettant de construire un réseau physique
virtuel et de simuler son comportement. L’utilisateur construit son réseau à l’aide
d’équipements tels que les routeurs, les switchs et les ordinateurs. Ces équipements doivent
ensuite être reliés via des connexions (câbles divers, fibre optique). En effet, « PACKET
TRACER » est un outil de simulation et de visualisation réseau innovant, permettant
d’améliorer les compétences en matière de configuration réseaux.
La figure ci-dessous montre un aperçu général du logiciel « PACKET TRACER ». La
fenêtre d’accueil de PACKET TRACER est divisée en plusieurs zones :
- zone des menus ;
- zone de construction ;
- zone des équipements ;
RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 33
Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

- zone des outils de création ;


- zone des outils de simulation ;
La figure 9 présente les détails de la fenêtre d’accueil du logiciel PACKET TRACER.

Zone des menus

Zone de construction

Zone des outils de simulation

Zone des équipements

Zone des outils de création

Figure 9 : Fenêtre d’accueil du logiciel « CISCO PACKET TRACER »

4.1.3. Construction d’un réseau


Pour construire un réseau, on doit sélectionner parmi les catégories d’équipements ré-
seaux proposés dans la zone des équipements (routeurs, switchs ou autres). Pour ajouter un
équipement, il suffit juste de sélectionner une catégorie d’équipements, de cliquer sur un équi-
pement pour le choisir, puis de cliquer à l’endroit choisi dans la zone de construction.

Enfin, il faut relier chaque équipement par des câbles réseaux choisis dans la catégorie
« Connections » dans la zone des équipements.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 34


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.1.4. Configuration d’un équipement


Lorsqu’un équipement est ajouté, il est possible de le configurer. En cliquant dessus
sur un équipement ajouté, une fenêtre de configuration, comportant généralement trois
onglets s’ouvre:
- Physical : aperçu réel de l’équipement et de ses modules ;
- Config : aperçu des parties de l’équipement nécessitant des configurations ;
- CLI : Interface en ligne de commandes.
La figure 10 montre l’onglet « Physical » de la fenêtre de configuration globale d’un
routeur

Figure 10: Onglet « Physical » d’une fenêtre de configuration d’un routeur

4.1.5. Mode de simulation


Une fois le réseau crée et prêt à fonctionner, il est possible de passer en mode de
simulation, ce qui permet de visualiser tous les messages échangées dans le réseau. En
mode simulation, la fenêtre principale est divisée en deux (2) :
- La partie de droite permettant de gérer le mode simulation : exécution pas à
pas, vitesse de simulation, protocoles visibles ;
- La partie gauche permettant de voir le déroulement de l’échange des messages.

La figure 11 présente les détails de la fenêtre montrant le passage en mode simulation


du logiciel « CISCO PACKET TRACER ».

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 35


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Figure 11 : Passage en mode simulation

4.2.Réalisation et simulation du modèle type


4.2.1. Diagramme de topologie du modèle type et tableau d’adressage
La figure 12 représente le modèle type du réseau de la DGCF c’est-à-dire le diagramme
de topologie du réseau à simuler :

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 36


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Routeur siège

Switch des serveurs

Switch cœur

Switchs de distribution Serveur

Switch d’accès
Utilisateur

Figure 12: Modèle type du réseau de la DGCF à simuler


Le tableau 10 présente le plan d’adressage du modèle type.
Tableau 10 : Plan d’adressage du modèle type
Périphérique Interface ID Adresse IP Masque Passerelle
VLAN
RT-SIEGE Voir tableau
sous-interface
SW-COEUR VLAN 99 99 192.168.99.10 255.255.255.0 192.168.99.1
SW-DIST-1 VLAN 99 99 192.168.99.11 255.255.255.0 192.168.99.1
SW-DIST-2 VLAN 99 99 192.168.99.12 255.255.255.0 192.168.99.1
SW-0A1 VLAN 99 99 192.168.99.13 255.255.255.0 192.168.99.1
SW-0A2 VLAN 99 99 192.168.99.14 255.255.255.0 192.168.99.1
SW-1A1 VLAN 99 99 192.168.99.15 255.255.255.0 192.168.99.1
SW-1A2 VLAN 99 99 192.168.99.16 255.255.255.0 192.168.99.1
SW-2A1 VLAN 99 99 192.168.99.17 255.255.255.0 192.168.99.1
SW-2A2 VLAN 99 99 192.168.99.18 255.255.255.0 192.168.99.1
SW-3A1 VLAN 99 99 192.168.99.19 255.255.255.0 192.168.99.1
SW-3A2 VLAN 99 99 192.168.99.20 255.255.255.0 192.168.99.1

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 37


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

SW-SRV VLAN 99 99 192.168.99.21 255.255.255.0 192.168.99.1


PC0 VERIF 1 Carte Réseau 40 192.168.40.17 255.255.255.0 192.168.40.1
PC1 PERSAPPUI 1 Carte Réseau 30 192.168.30.11 255.255.255.0 192.168.30.1
PC2 ADMIN 1 Carte Réseau 10 192.168.10.6 255.255.255.0 192.168.10.1
PC3 TECH 1 Carte Réseau 20 192.168.20.20 255.255.255.0 192.168.20.1
PC4 TECH 2 Carte Réseau 20 192.168.20.19 255.255.255.0 192.168.20.1
PC5 VERIF 2 Carte Réseau 40 192.168.40.23 255.255.255.0 192.168.40.1
PC6 TECH 3 Carte Réseau 20 192.168.20.18 255.255.255.0 192.168.20.1
PC7 ADMIN 2 Carte Réseau 10 192.168.10.7 255.255.255.0 192.168.10.1
PC8 PERSAPPUI 2 Carte Réseau 30 192.168.30.15 255.255.255.0 192.168.30.1
PC9 VERIF 3 Carte Réseau 40 192.168.40.22 255.255.255.0 192.168.40.1
PC10 ADMIN 3 Carte Réseau 10 192.168.10.8 255.255.255.0 192.168.10.1
PC11 PERSAPPUI 3 Carte Réseau 30 192.168.30.14 255.255.255.0 192.168.30.1
PC12 ADMIN 4 (DG) Carte Réseau 10 192.168.10.9 255.255.255.0 192.168.10.1
PC13 ADMIN 5 (SP) Carte Réseau 10 192.168.10.10 255.255.255.0 192.168.10.1
PC14 VERIF 4 Carte Réseau 40 192.168.40.21 255.255.255.0 192.168.40.1
PC15 TECH 4 Carte Réseau 20 192.168.20.17 255.255.255.0 192.168.20.1
SRV-PERS Carte Réseau 20 192.168.20.252 255.255.255.0 192.168.20.1
SRV-COURRIER Carte Réseau 20 192.168.20.253 255.255.255.0 192.168.20.1
SRV-PERS SIGCF Carte Réseau 20 192.168.20.254 255.255.255.0 192.168.20.1

4.2.2. Configuration de base des équipements réseaux


Les configurations de base d’un équipement réseau concernent généralement:
- La configuration du nom de l’équipement ;
- La configuration des différents mots de passe (mots de passe console et mode pri-
vilégié).

 Configuration de base du routeur siège


C’est le routeur central reliant le réseau local de la DGCF avec l’INTRANET de l’Etat.
Ci-dessous les configurations de base du routeur siège :
Router > enable (le « > » signifie qu’on est en mode utilisateur simple)
Router # (le « # » signifie qu’on est en mode privilégié)
Router # conf t (Entrer dans la configuration du terminal)

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 38


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Router (config) # hostname RTSIEGE (configuration du nom du routeur)


RTSIEGE (config) # enable secret misei (mot de passe pour accéder au
mode privilégié)
RTSIEGE (config) # line console 0
RTSIEGE (config-line) # passworddgcf (mot de passe pour accéder à l’ILC)
RTSIEGE (config-line) # login
RTSIEGE (config-line) # line vty 0 15
RTSIEGE (config-line) # passworddgcf (mot de passe pour l’accès à distance)
RTSIEGE (config-line) # login
RTSIEGE (config) # banner motd #ACCES AUTORISE SEULEMENT#
RTSIEGE (config) # end
RTSIEGE # exit

 Configuration de base des switchs


Les switchs à configurer sont de trois types : le switch cœur, les switchs de distribution
et les switchs d’accès. Pour ces trois types de switchs, les configurations sont les mêmes mais
seulement les noms sont différents. Donc, on va présenter ici la configuration d’un seul switch,
qui est le switch cœur :
Switch > enable
Switch #conf t
Switch (config) # hostname SWCOEUR
SWCOEUR (config) # enable secret misei
SWCOEUR (config) # line console 0
SWCOEUR (config-line) # passworddgcf
SWCOEUR (config-line) # login
SWCOEUR (config-line) # line vty 0 4
SWCOEUR (config-line) # passworddgcf
SWCOEUR (config-line) # login
SWCOEUR (config) # banner motd #ACCES AUTORISE SEULEMENT#
SWCOEUR (config) # end

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 39


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.2.3. Configurations des interfaces Ethernet


 Configuration de l’adressage IP des ordinateurs
La configuration des interfaces Ethernet consistent à l’attribution d’une adresse IP,
d’un masque de sous-réseau et de la passerelle par défaut à l’interface Ethernet des ordinateurs.
Dans le cas des ordinateurs, il n’y pas de commandes à entrer mais on introduit directement les
paramètres IP. En cliquant dessus sur un PC, une fenêtre, comme indique la figure ci-dessous,
apparait et il suffit de compléter les champs correspondants à l’adresse IP, au masque de sous-
réseau, à la passerelle par défaut et au serveur DNS suivant le tableau d’adressage. La figure 13
présente la fenêtre de configuration de l’interface « Ethernet » d’un ordinateur.

Figure 13 : Paramétrage IP de l’ordinateur PC0

 Désactivation de tous les ports des commutateurs


La désactivation ou la fermeture des ports non utilisés des switchs contribuent à la
sécurisation du réseau. Ainsi, elle permet d’empêcher un utilisateur non autorisé par
l’administrateur d’accéder au réseau. Les commandes à entrer pour la configuration de
fermeture des ports sont identiques pour tous les switchs. Donc, on va présenter ici seulement
la désactivation des ports du switch SW-0A1.
SW0A1 > enable
SW0A1 # conf t
SW0A1 (config) # interface range fa0/1-24
SW0A1 (config-if-range) # shutdown

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 40


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

SW0A1 (config) # interface range gi0/1-2


SW0A1 (config-if-range) # shutdown
SW0A1 (config-if-range) # end
 Réactivation des ports utilisateurs actifs:
Cette étape permet d’ouvrir, seulement, les ports à utiliser. Les ports actifs sur un
switch sont donc ceux qui ont été autorisés par l’administrateur. Pour ouvrir un port, il suffit de
spécifier le numéro de port et d’entrer la commande « no shutdown ».
Pour le switch d’accès SW0A1 (figure 12), que l’on va présenter ci-dessous, les ports
N° 1, 2, 11 et 17 sont à activer ; les restes seront fermés.
SW0A1 > enable
SW0A1 # conf t
SW0A1 (config) # interface range fa0/1-2
SW0A1 (config-if-range) # no shutdown
SW0A1 (config) # interface fa0/11
SW0A1 (config-if) # no shutdown
SW0A1 (config) # interface fa0/17
SW0A1 (config-if) # no shutdown
SW0A1 (config-if) # end

4.2.4. Implémentation des réseaux VLANs


 Configuration du protocole VTP
Le protocole VTP permet à l’administrateur réseau de contrôler les instances des
réseaux locaux virtuels sur le réseau en créant des domaines VTP. Dans chaque domaine VTP,
un ou plusieurs switchs sont configurés en tant que serveurs VTP. Les réseaux VLANs sont
alors crées sur le serveur VTP et élargis aux autres switchs du domaine.
Dans notre cas, on va designer les commutateurs SWCOEUR, SWDIST1 et SW1A1
(figure 12) en tant que serveurs VTP et les autres switchs en tant que client VTP. Le nom de
domaine VTP est « mfbdgcf » et le mot de passe VTP est « misei ».
Ci-dessous les configurations du protocole VTP de ces switchs :
- Switch cœur SWCOEUR (Serveur VTP)
SWCOEUR > enable
SWCOEUR # conf t
SWCOEUR (config)# vtp mode server (Définition du switch en mode serveur
VTP)
SWCOEUR (config)# vtp domain mfbdgcf (Définition du nom de domaine)

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 41


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

SWCOEUR (config)# vtp password misei (Définition du mot de passe de la base


de données du réseau local virtuel du switch)
SWCOEUR (config)# end

- Switch d’accès SW-0A1 (Client VTP)


SW0A1 > enable
SW0A1 # conf t
SW0A1 (config)# vtp mode client
SW0A1 (config)# vtp domain mfbdgcf
SW0A1 (config)# vtp password misei
SW0A1 (config)# end

Les configurations ci-dessus sont décrites pour ces deux switchs mais tous les switchs
doivent être configurés de la même manière selon qu’il est serveur VTP ou client VTP.
 Configuration des ports d’agrégation
Pour tous les switchs d’accès, les ports Fa0/1 et Fa0/2 seront configurés comme ports
agrégés.
SW0A1 # conf t
SW0A1 (config)# interface range FastEthernet 0/1-2
SW0A1 (config-if-range)# switchport mode trunk
SW0A1 (config-if-range)# switchport trunk native vlan 99
SW0A1 (config-if-range)# no shutdown
SW0A1 (config-if-range)# end

Les commandes ci-dessus sont décrites pour le commutateur SW0A1 uniquement mais
tous les commutateurs ayant des interfaces agrégées doivent être configurés de la même façon.
 Création et configuration des réseaux VLANs
 Création des réseaux VLANs sur les serveurs VTP
D’après l’analyse des groupes d’utilisateurs dans le chapitre précèdent, cinq réseaux
VLANs sont à créer :
- Vlan Administrateurs ;
- Vlan Techniciens ;
- Vlan PersAppuis ;
- Vlan Vérificateur ;
- Vlan de Gestion.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 42


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Le switch utilisé comme serveur VTP pour créer ces VLANs est le switch d’accès
SW1A1. Ci-dessous les configurations sur la création de ces VLANs :
SW1A1 # conf t
SW1A1 (config) # vlan 99
SW1A1 (config-vlan) # name Gestion
SW1A1 (config-vlan) # exit
SW1A1 (config)# vlan 10
SW1A1 (config-vlan) # name Administrateurs
SW1A1 (config-vlan) # exit
SW1A1 (config)# vlan 20
SW1A1 (config-vlan) # name Techniciens
SW1A1 (config-vlan) # exit
SW1A1 (config)# vlan 30
SW1A1 (config-vlan) # name PersAppuis
SW1A1 (config-vlan) # exit
SW1A1 (config)# vlan 40
SW1A1 (config-vlan) # nameVerificateurs
SW1A1 (config-vlan) # exit
SW1A1 (config) # end

 Configuration de l’adresse de l’interface de gestion sur les com-


mutateurs
Afin de pouvoir gérer les commutateurs à distance, il faut définir les adresses IP de
l’interface de gestion.
D’après le tableau d’adressage du modèle type (tableau 10), le VLAN de Gestion a
comme plage d’adresse réseau 192.168.99.0/24. Voici les configurations des interfaces de
gestions des commutateurs suivant le tableau d’adressage.
- Pour le switch cœur
SWCOEUR (config) # interface vlan 99
SWCOEUR (config-if) # ip address 192.168.99.10 255.255.255.0
SWCOEUR (config-if) # no shutdown
SWCOEUR (config-if) # end
Les commandes ci-dessus sont décrites pour le switch cœur mais tous les switchs
doivent être configurés de la même façon suivant le tableau d’adressage.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 43


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Affectations des ports aux VLANs


L’affectation des ports de commutateurs aux VLANs est une étape fondamentale après
la création de ces derniers. Elle consiste à l’attribution d’un ou plusieurs ports à un VLAN.
Conformément au diagramme de topologie crée, ci-dessous les configurations d’affectations de
ports aux différents commutateurs d’accès :
- Pour le switch d’accès SW-0A1
SW0A1 (config) # interface FastEthernet 0/11
SW0A1 (config-if) # switchport mode access
SW0A1 (config-if) # switchport access vlan 30
SW0A1 (config-if) # exit
SW0A1 (config) # interface FastEthernet 0/17
SW0A1 (config-if) # switchport mode access
SW0A1 (config-if) # switchport access vlan 40
SW0A1 (config-if) # end

- Pour le switch d’accès SW-1A2


SW1A2 (config) # interface FastEthernet 0/7
SW1A2 (config-if) # switchport mode access
SW1A2 (config-if) # switchport access vlan 10
SW1A2 (config-if) # exit
SW1A2 (config) # interface FastEthernet 0/18
SW1A2 (config-if) # switchport mode access
SW1A2 (config-if) # switchport access vlan 20
SW1A2 (config-if) # end

Les configurations ci-dessus sont décrites pour les deux switchs d’accès SW0A1 et
SW1A2 mais tous les switchs d’accès doivent également être configurés de la même façon.

 Configuration du protocole STP


Le protocole Rapid-PVST (Per Vlan STP), une version améliorée du protocole STP est
activé par défaut sur les switchs CISCO récents. Dans notre cas, les liaisons issues des ports Fa
0/1 de chaque switch d’accès sont désignées comme routes principales et que les liaisons issues
des ports Fa 0/2 sont des liaisons redondants. Autrement dit, le protocole Rapid-PVST a mis le
port Fa 0/1 en état actif et que le port Fa 0/2 est en état bloqué.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 44


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.2.5. Configuration des agrégations des liens


La mise en place d’une agrégation de liens entre deux équipements réseaux revient à
combiner deux ou plusieurs connexions afin d’augmenter la bande passante entre les deux
dispositifs. Un peu comme si les deux connexions ne formaient qu’une. Dans notre modèle
type, deux liens agrégés sont créés :
- Le lien agrégé Po1 (Po pour Port-channel), constitué de deux ports FastEthernet (liai-
son à 100 Mbits/s), reliant le switch cœur (SWCOEUR) et le switch des ser-
veurs (SWSRV) (Figure 14);
- Le lien agrégé Po3, constitué de deux ports FastEthernet, reliant le switch cœur
(SWCOEUR) et le switch de distribution 2 (SWDIST2).
Pour mettre en œuvre cette technique d’agrégation de liens, deux protocoles existent :
le LACP (Link Aggregation Control Protocol) et le PAgP (Port Aggregation Protocol). Mais
dans notre cas, on a utilisé LaCP.
Les deux liens agrégés Po1 et Po3 sont présentés dans la figure 14.

Lien agrégé Po 1

Switch cœur

Lien agrégé Po3

Switch des serveurs

Switchs de distribution

Figure 14: Présentation des liens agrégés Po1 et Po3


 Configuration du lien agrégé Po1 formé par Fa 0/1 et Fa 0/2
Ci-dessous les configurations du switch cœur, du switch des serveurs et du switch de
distribution 2 (Figure 14) pour la formation des deux agrégés Po1 et Po3.
D’abord, il faut configurer le switch cœur (SWCOEUR).
SWCOEUR (config) # interface range FastEthernet 0/1-2
SWCOEUR (config-if-range) # channel-protocol lacp
SWCOEUR (config-if-range) # channel-group 1 mode active
SWCOEUR (config-if-range) # exit
SWCOEUR (config) # interface port-channel 1
SWCOEUR (config-if) # switchport trunk encapsulation dot1q

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 45


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

SWCOEUR (config-if) # switchportmode trunk


SWCOEUR (config-if) # switchport trunk native vlan 99
SWCOEUR (config-if) # no shutdown

Ensuite, le switch du serveur SWSRV


SWSRV (config) # interface range FastEthernet 0/1-2
SWSRV (config-if-range) # channel-protocol lacp
SWSRV (config-if-range) # channel-group 1 mode active
SWSRV (config-if-range) # exit
SWSRV (config) # interface port-channel 1
SWSRV (config-if) # switchport mode trunk
SWSRV (config-if) # switchport trunk native vlan 99
SWSRV (config-if) # no shutdown

 Configuration du lien agrégé Po3 formé par Fa 0/11 et Fa 0/12:


Configuration du switch cœur SWCOEUR :
SWCOEUR (config) # interface range FastEthernet 0/11-12
SWCOEUR (config-if-range) # channel-protocol lacp
SWCOEUR (config-if-range) # channel-group 3 mode active
SWCOEUR (config-if-range) # exit
SWCOEUR (config) # interface port-channel 3
SWCOEUR (config-if) # switchport trunk encapsulation dot1q
SWCOEUR (config-if) # switchportmode trunk
SWCOEUR (config-if) # switchport trunk native vlan 99
SWCOEUR (config-if) # no shutdown

Configuration du switch de distribution 2 SWDIST2


SWDIST2 (config) # interface range FastEthernet 0/11-12
SWDIST2 (config-if-range) # channel-protocol lacp
SWDIST2 (config-if-range) # channel-group 3 mode active
SWDIST2 (config-if-range) # exit
SWDIST2 (config) # interface port-channel 3
SWDIST2 (config-if) # switchport mode trunk
SWDIST2 (config-if) # switchport trunk native vlan 99
SWDIST2 (config-if) # no shutdown

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 46


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.2.6. Configuration du routage inter-VLAN


Le routage inter-VLANs se définisse comme un processus d’acheminement du trafic
réseau d’un VLAN à un autre. Il permet à des périphériques connectés aux divers VLANs de
connecter entre eux. Il existe plusieurs moyens d’implémenter le routage inter-VLAN, soit par
l’utilisation d’un routeur, soit grâce à un switch de niveau 3.
Dans notre modèle type, on a choisi la méthode « Router on a stick » ou « Routage
Inter-VLAN Logique » comme méthode de routage. Avec cette méthode, une seule interface
physique achemine le trafic entre plusieurs VLANs d’un réseau mais en utilisant des sous-
interfaces, qui sont des interfaces logiques crées à partir de l’interface physique. Chaque VLAN
utilise chacun une sous-interface.
Pour configurer ce type de routage inter-VLAN, il faut d’abord configurer le switch
cœur (SWCOEUR) pour que l’interface GigabitEthernet G 0/2soit un lien « trunk », puis
configurer le routeur.
Le tableau 11 présente les détails des paramètres IP des sous-interfaces de l’interface
GigabitEthernet 0/2 du routeur siège.
Tableau 11: Les sous-interfaces du routeur avec ses adresses IP et ses VLANs associés
Sous-Interface du routeur Adresse IP VLAN Associé
SIEGE
Interface GigabitEthernet 0/2.10 192.168.10.1/24 VLAN 10
Interface GigabitEthernet 0/2.20 192.168.20.1/24 VLAN 20
Interface GigabitEthernet 0/2.30 192.168.30.1/24 VLAN 30
Interface GigabitEthernet 0/2.40 192.168.40.1/24 VLAN 40
Interface GigabitEthernet 0/2.99 192.168.99.1/24 VLAN 99

- Configuration de l’interface GigabitEthernet 0/2 comme un lien « trunk »


SWCOEUR (config) # interface GigabitEthernet 0/2
SWCOEUR (config-if) # switchport trunk encapsulation dot1q
SWCOEUR (config-if) # switchportmode trunk
SWCOEUR (config-if) # switchport trunk native vlan 99
SWCOEUR (config-if) # no shutdown
- Configuration de l’interface et des sous-interfaces du routeur SIEGE
RTSIEGE (config) # interface GigabitEthernet 0/2
RTSIEGE (config-if) # no shutdown
RTSIEGE (config-if) # exit
RTSIEGE (config) # interface GigabitEthernet 0/2.10

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 47


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

RTSIEGE (config-subif) # encapsulation dot1Q 10


RTSIEGE (config-subif) # ip address 192.168.10.1 255.255.255.0
RTSIEGE (config-if) # exit
RTSIEGE (config) # interface GigabitEthernet 0/2.20
RTSIEGE (config-subif) # encapsulation dot1Q 20
RTSIEGE (config-subif) # ip address 192.168.20.1 255.255.255.0
RTSIEGE (config-if) # exit
RTSIEGE (config) # interface GigabitEthernet 0/2.30
RTSIEGE (config-subif) # encapsulation dot1Q 30
RTSIEGE (config-subif) # ip address 192.168.30.1 255.255.255.0
RTSIEGE (config-if) # exit
RTSIEGE (config) # interface GigabitEthernet 0/2.40
RTSIEGE (config-subif) # encapsulation dot1Q 40
RTSIEGE (config-subif) # ip address 192.168.40.1 255.255.255.0
RTSIEGE (config-if) # exit
RTSIEGE (config) # interface GigabitEthernet 0/2.99
RTSIEGE (config-subif) # encapsulation dot1Q 99
RTSIEGE (config-subif) # ip address 192.168.99.1 255.255.255.0
RTSIEGE (config-if) # end

4.2.7. Configuration de la sécurité des ports


Tous les ports d’un switch doivent être sécurisés avant le déploiement de ce dernier
afin d’empêcher n’importe quel poste de travail de se connecter. Sinon, un pirate peut relier un
système à un port inutilisé, actif et de rassembler des informations ou bien mener des attaques
au réseau. La sécurité des ports restreint le nombre d’adresses MAC autorisées sur un port.
- Configuration de la sécurité de port sur le switch d’accès SW0A1
SW0A1 (config) # interface FastEthernet 0/11
SW0A1 (config-if) # switchport port-security
SW0A1 (config-if) # switchport port-security mac-address sticky
SW0A1 (config-if) # switchport port-security violation shutdown
SW0A1 (config-if) # exit
SW0A1 (config) # interface FastEthernet 0/17
SW0A1 (config-if) # switchport port-security
SW0A1 (config-if) # switchport port-security mac-address sticky
SW0A1 (config-if) # switchport port-security violation shutdown
Les configurations ci-dessus sont décrites pour le switch d’accès SW0A1 mais tous les
switchs d’accès doivent également être configurés de la même façon.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 48


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CHAPITRE 5 : RESULTATS ET DISCUSSION

4.1.Test et résultats de la simulation du réseau


Pour bien vérifier le bon fonctionnement de la simulation du réseau sous « Packet
Tracer », et pour voir les résultats des différentes configurations effectuées relatives aux
solutions proposées, on a conduit quelques tests de base depuis les postes clients et les
périphériques réseaux :
- test sur les configurations des équipements réseaux ;
- test de connectivité entre machines et entre équipements réseaux;
- test sur le routage entre VLANs et la sécurité d’un port.

4.1.1. Test sur les configurations des équipements réseaux


Le test sur les configurations des équipements consiste à vérifier si les configurations
sont bien prise en compte par les équipements réseaux. Pour cela, on a utilisé les commandes
de base « show » ou « sh » compatibles avec les réseaux CISCO.
 Test de la configuration du protocole VTP sur les switchs
Le test de la configuration du protocole VTP consiste à vérifier les paramètres VTP
courants sur chaque switch. Pour cela on utilise la commande « show vtp status ».
Selon la figure15, le switch cœur SWCOEUR est bien configuré en tant que serveur
VTP et que le domaine VTP est « mfbdgcf ».

Figure n° 15 : Vérification de la configuration du protocole VTP sur le switch cœur


Le test est ici destiné au switch cœur mais la commande est la même pour les autres
switchs.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 49


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Test de la configuration des créations des VLANs


Pour vérifier que les VLANs ont été bien crée, on utilise la commande « sh vlan
brief ».Selon la figure 16, les cinq VLANs sont bien crées et sont distribués sur chaque switch.

Figure n° 16 : Vérification de la configuration de la création des VLANS

 Test sur la configuration des affectations des ports aux VLANS


La commande « sh vlan brief » est utilisée pour vérifier quels ports du switch sont
affectés à quels VLANs.
Selon la figure 17, le port Fa 0/11 du switch d’accès SW0A1 est affecté au VLAN 30 et
que le port Fa 0/17 est affecté au VLAN 40.

Figure n° 17: Vérification de la configuration d’affectation des ports aux VLANS

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 50


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Test de vérification des liens agrégés


Dans notre conception, on a créé deux liens agrégés : le lien Po 1 reliant le switch cœur
et le switch des serveurs et le lien Po 3 reliant le switch cœur et le switch de distribution 2
(Figure 12). On utilise la commande « sh etherchannelsummary » pour vérifier la création de
ces deux liens.

Figure 18: Vérification des liens agrégés Po 1 et Po 3


D’après la figure 18, le lien agrégé po1 est constitué par les deux ports Fa 0/1 et Fa 0/2 et
le lien agrégé Po 3 est constitué par Fa 0/11 et Fa 0/12 et que le protocole utilisé est bien LACP.
4.1.2. Test de connectivité entre machines et entre équipements réseaux
Le test de connectivité entre machines et entre équipements réseaux consiste à vérifier
si les machines ou les équipements réseaux situant dans un même VLAN arrive à envoyer des
requêtes PING entre eux.
Selon la figure 19, les deux machines appartenant à un même VLAN (PC1 et PC8)
(Figure 12) peuvent communiquer entre eux.

Figure 19: Requête PING entre PC1 et PC8 qui sont dans le même VLAN 30

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 51


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

Dans la figure 20, le switch de distribution SWDIST1 peut communiquer sans


problème avec le switch d’accès SW0A2.

Figure 20: Requête PING entre le switch SWDIST 1 et le switch SW0A2

4.1.3. Test sur le routage inter-VLANs et sur la sécurité des ports


 Test sur le routage inter-VLANs
Le test sur le routage inter-VLANs consiste à vérifier si des machines situant dans des
VLANs différents peuvent se communiquer entre eux. On utilise l’outil « PING » pour
effectuer ce test.
Selon la figure 21, après configuration du routage inter-VLANs, la machine PC2
appartenant au VLAN 10 peut communiquer à la machine PC5 appartenant au VLAN 40.

Figure 21: Requête PING entre PC2 du VLAN 10 et PC 5 du VLAN 40

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 52


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

 Test sur la sécurité des ports


Le test sur la sécurité d’un port du switch consiste à vérifier que si on tente de brancher
une machine autre que celle, dont l’adresse MAC est déjà enregistrée, le port est désactivé.
Dans la figure 22, le port FastEthernet 0/17 est au vert c'est-à-dire qu’il est activé. Ensuite, selon
la figure 23, les adresses MAC des deux machines branchées sur les ports FastEthernet 0/11 et
0/17 sont déjà enregistrées par le switch d’accès SW0A1 (figure 12).
Par contre, selon la figure 24, quand on branche sur le port FastEthernet 0/17 la machine
PC16, après tentative d’envoi de paquet vers une machine du réseau, le switch SW0A1 détecte
une violation de l’accès au port FastEthernet 0/17 et le désactive automatiquement.

Figure 22 : Port FastEthernet 0/17 activé

Figure 23 : Adresses MAC enregistrées par le switch SW0A1 autorisées sur les deux ports

Figure 24 : Violation de l’accès au port FastEthernet 0/17 détectée par le switch

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 53


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

4.2.Résultats de la modernisation de l’architecture et de l’implémentation des réseaux


VLANs
4.2.1. Points forts
 Basculement vers une architecture hiérarchique
La mise en place d’une architecture hiérarchique a été l’étape fondamentale du projet
d’amélioration de performance du réseau informatique de la DGCF. Elle a permis de faciliter
la gestion des équipements réseaux actifs grâce à la division de l’architecture entière en
plusieurs couches ou modules.
La séparation de niveau entre les équipements réseaux qui prennent en charge
directement les utilisateurs (switchs d’accès), et les équipements réseaux intermédiaires
(switchs de distribution et cœur, routeur) facilite l’ajout des nouveaux utilisateurs et l’extension
du réseau.
 Amélioration de la sécurisation de l’accès au réseau
L’accès des utilisateurs au réseau est très bien contrôlé par l’administrateur. Aucun
utilisateur non inscrit dans le plan d’adressage ne peut pas avoir un accès au réseau car :
- Premièrement, tous les ports non utilisé ont été désactivés administrativement. L’ac-
tivation de ces ports est un privilège de l’administrateur réseau et se configure depuis l’Interface
en Ligne de Commande ou ILC de chaque équipement. Or, l’accès à l’ILC est contrôlé par mot
de passe que seul l’administrateur est censé le connaitre.
- Deuxièmement, si un nouvel utilisateur tente de brancher sa nouvelle machine sur un
port actif sans passer par l’administrateur, l’accès au réseau est encore impossible car l’adresse
MAC de la machine propriétaire de ce port est déjà enregistrée grâce à la sécurité de port con-
figuré sur le switch ; Ce port se désactive automatiquement si le switch détecte une adresse
MAC autre que celle déjà enregistrée, dédié à utiliser ce port.
 Segmentation du réseau en sous-réseaux et implémentation des VLANs
La segmentation du réseau en cinq sous-réseaux logiques a amélioré la performance
en termes de temps de latence car au lieu d’avoir un grand domaine de diffusion, on avait cinq
domaines plus petits. Cette segmentation a permis aussi d’isoler les trafics réseaux des groupes
des Administrations que les autres groupes ne devront pas le voir.
 Installation des chemins redondants et des liens agrégés
La mise en place des chemins redondants au niveau de la couche distribution
matérialisé par le branchement de chaque switch d’accès à deux switchs de distributions
différents a permis d’augmenter la disponibilité du réseau. La connexion est toujours
permanente car en cas de coupure du chemin principal, la connexion se bascule facilement vers

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 54


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

l’autre chemin redondant. Ce basculement est automatique grâce au protocole Rapid-PVST, une
autre variante du protocole STP, configuré sur chaque switch.
 Mise en place des agrégations de liens
La mise en place d’une agrégation de deux liens entre le switch cœur et le switch des
serveurs via la technologie EtherChannel existant dans les équipements CISCO a permis de
doubler le débit de cette liaison. Ceci améliore la vitesse de transfert de données entre les
machines serveurs et les machines clients.
 Elaboration du plan d’adressage
L’élaboration du plan d’adressage servant de documentation réseau a permis de mieux
contrôler les utilisateurs d’un côté et de l’autre côté de faciliter la maintenance et le dépannage
en cas de panne. La détection des ports et du switch concernés par cette panne est facile.
D’ailleurs, le plan d’adressage permet aussi de mieux gérer les adresses IP utilisées et ceux
disponibles.
 Utilisation des équipements performants et manageables
L’utilisation des équipements performants et manageables comme les équipements
CISCO est recommandée afin de mettre en œuvre l’implémentation des réseaux VLANS et de
pouvoir effectuer les configurations de sécurité de ports, des agrégations des liens et d’activer
les protocoles Rapid-PVST au niveau des switchs.

4.2.2. Remarques
La mise en œuvre de ces solutions est conditionnée par les coûts des équipements car
plus un équipement a beaucoup de fonctionnalités, plus il est coûteux. D’ailleurs, grâce à la
mise en place de l’architecture hiérarchique et des liaisons redondants, le nombre de switchs et
des câbles utilisés dans le réseau a augmenté.
Mais quand on a fait une analyse des résultats et des avantages obtenus par la mise en
œuvre de ces solutions avec l’utilisation de ces équipements performants, les coûts des
équipements et de l’installation ne sont pas du tout trop élevés.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 55


Modernisation de l’architecture et implémentation des VLANs sécurisés : Cas du réseau de la DGCF MISEI

CONCLUSION

Notre mémoire de fin d’étude est une étape importante non seulement dans le cadre de
notre formation, mais aussi dans le renforcement de notre expérience professionnelle. Les
connaissances théoriques reçues tout au long de notre formation se voient consolidées
davantage par les acquis pratiques au cours de la réalisation de ce projet.
Ce mémoire aura permis de mieux appréhender les techniques de mise en œuvre d’une
architecture réseau moderne en couche et de l’implémentation des réseaux locaux virtuels au
sein de la DGCF. Les analyses et constats effectués ont conduit à dégager quelques faiblesses
du réseau existant entrainant la dégradation de la performance, la non-disponibilité du réseau
durant plusieurs moments ainsi que la difficulté de gestion, d’exploitation et de maintenance
du réseau. D’une manière générale, l’architecture et les équipements réseau de la DGCF
nécessite certaines révisions et améliorations pour satisfaire à l’attente en termes de
performance de la Direction Générale.
En ce sens, les améliorations ont porté essentiellement sur la nécessité de mettre en
place une architecture hiérarchique, de procéder à la segmentation logique du réseau en
plusieurs sous-réseaux virtuels, d’utiliser des équipements réseaux performants et manageables
comme les équipements réseaux CISCO afin de facilité la gestion et d’augmenter la
performance. De plus, les améliorations ont été aussi émises sur la nécessité d’élaborer une
documentation réseau dans le but de faciliter la maintenance, le dépannage et l’exploitation du
réseau.
Par ailleurs, la DGCF doit tenir compte de l’importance de la disponibilité du réseau.
Dans ce cas, la mise en place des liaisons redondants, l’agrégation des liens et la restructuration
du système de câblage a été fondamentale afin d’augmenter la disponibilité du réseau.
Enfin, des améliorations sur la sécurisation des ports d’accès des utilisateurs et la
sécurisation d’accès aux différents équipements de gestion du réseau ont été aussi proposées.
Cependant, la mise en place des dispositifs pour renforcer la sécurité du réseau est très
recommandée dans le but d’augmenter la fiabilité et la performance du réseau. Nous espérons
que les analyses et les propositions de solution constitueront d’aide et de guide pour les
Responsables de la DGCF afin d’améliorer la performance de son réseau informatique qui est
un des éléments essentiels contribuant à la réalisation des réformes sur la gestion des finances
publiques qu’elle mène aujourd’hui.

RAZAFINDRAKOTO Tahiry Solonavalona - DGCF - Septembre 2017 56


REFERENCES BIBLIOGRAPHIQUES

1- Site de la DGCF : http://www.mefb.gov.mg/dgcf


2- Cours sur les architectures hiérarchiques : http://reussirsonccna.fr/
3- Cours sur les VLANS : https://www.it-connect.fr/mise-en-place-de-vlans-et-de-routage-
inter-vlans
4- Cours sur les créations des VLANs : http://reussirsonccna.fr/comment-separer-son-
reseau-avec-les-vlan/
5- Principes d’installation des réseaux : http://reseau-
informatique.prestataires.com/conseils/installation-
reseau-etapes-respecter
6- Principe d’agrégations des liens : http://www.lolokai.com/blog/2012/05/04/agregez-nos-
liens-sur-les-equipements-cisco/
7- Agrégation des liens avec EtherChannel : http://blog.clemanet.com/agregation-de-liens-
cisco-etherchannel/
8- Principe de sécurisation des ports : https://www.ciscomadesimple.be/2009/11/14/cisco-
securiser-les-ports-non-utilises-dun-switch/
9- Routage inter-VLANs : https://www.inetdoc.net/articles/inter-vlan-routing/inter-vlan-
routing.routing.html
10- Configuration des équipements CISCO : http://www.cisco.com/cisco/web/support/CA/fr/
11- Configuration des équipements CISCO : https://www.ciscomadesimple.be
Titre du mémoire : MODERNISATION DE L’ARCHITECTURE ET IMPLEMENTATION
DES RESEAUX LOCAUX VIRTUELS SECURISES – Cas du réseau informatique de la
Direction Générale du Contrôle Financier
Nombre de pages : 56
Nombre de tableaux : 11
Nombre de figures : 24

RESUME
La Direction Générale du Contrôle Financier (DGCF) est un département où une
grande partie de ses activités dépendent énormément de son réseau informatique. Une panne
de plusieurs minutes ou un temps de latence considérable constaté au niveau de ce dernier
n’est pas tolérable. D’ailleurs, les reformes sur la gestion des finances publiques qu’elle veut
mener aujourd’hui exige un réseau informatique performant, moderne et hautement
disponible.
Ce mémoire propose d’étudier la modernisation de l’architecture et les infrastructures
réseau de la DGCF grâce à la mise en place d’une architecture hiérarchique, la segmentation
du réseau et l’implémentation des réseaux locaux virtuels, l’élaboration d’une documentation
réseau, la mise en place des liens agrégés et des liaisons redondants, la restructuration du
système de câblage. La mise en œuvre de ces solutions permet d’améliorer les performances
et la disponibilité de son réseau.
Mots clés : Architecture hiérarchique, segmentation du réseau, réseaux locaux virtuels,
documentation réseau, liens agrégés, liaisons redondants, système de câblage.

ABSTRACT
The General Director of Financial Control (DGCF) is a department where a large part
of its activities depend mainly on its computer network. A failure of several minutes or a
considerable latency period observed at the level of the latter is not tolerable. Moreover, the
reforms on the management of public finances that it wants to carry out today demands a
computer network that is efficient, modern and highly available.
This disertation proposes to study the modernization of the architecture and the
network infrastructures of the DGCF through the implementation of a hierarchical
architecture, the segmentation of the network and the implementation of the virtual local
networks, the elaboration of network documentation, the establishment of aggregated links
and redundant links, restructuring of the cabling system. Implementing these solutions
improves the performance and availability of its network.
Keywords: Hierarchical architecture, network segmentation, virtual local area networks,
network documentation, aggregated links, redundant links, cabling system.

ENCADREUR : RAZAFINDRAKOTO Tahiry Solonavalona

Tel : 034 01 678 62

Lot VT 1 Ter VQSA Ambohipo - Antananarivo

RAKOTOARIMANANA Liva Graffin E-mail : tahirynavalon@yahoo.fr

Vous aimerez peut-être aussi