Vous êtes sur la page 1sur 62

UNIVERSITE FRANCAISE D’ABIDJAN ECOLE SUPERIEURE DE GENIE INFORMATIQUE

MEMOIRE
Pour l’obtention du Bachelor de l’Ecole Supérieure de Génie Informatique (ESGI - PARIS)
Discipline : Systèmes, Réseaux et Cloud Computing

MISE EN PLACE D’UN VPN (SITE-TO-SITE)


AU SEIN D’UNE
ENTREPRISE : CAS DE LA SOROUBAT
(SOCIETE DE ROUTES ET BATIMENTS)

Présenté par : Encadreur :

DENAGNON Franck M. AGBISSI Jean- Paul

Année académique 2017 - 2018


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

SOMMAIRE
SOMMAIRE.............................................................................................................................................02
AVANT-PROPOS.....................................................................................................................................03

REMERCIEMENTS.................................................................................................................................04

LISTE DES ABREVIATIONS ET ACRONYMES..............................................................................05

INTRODUCTION GENERALE.............................................................................................................07

INTRODUCTION.....................................................................................................................................08

PREMIERE PARTIE : APPROCHE METHODOLOGIQUE.............................................................10

INTRODUCTION DE LA PREMIERE PARTIE.....................................................................................11

CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET....................................................12

CHAPITRE 2 : ETUDE ET CRITIQUE DE L’EXISTANT................................................................15

CONCLUSION DE LA PREMIERE PARTIE.......................................................................................19

DEUXIEME PARTIE : ETUDE TECHNIQUE ET CONDITIONS DE REALISATION...................20

INTRODUCTION DE LA DEUXIEME PARTIE...............................................................................21

CHAPITRE 1 : GENERALITES SUR LES RESEAUX INFORMATIQUES.....................................22

CHAPITRE 2 : LES RESEAUX PRIVES VIRTUELS.............................................................................33

CHAPITRE 3 : ADMINISTRATION ET SECURITE..............................................................................40

TROISIEME PARTIE : MISE EN OEUVRE DE L’INTERCONNEXION.........................................43

CHAPITRE 1 : PLAN D’ACTION DU DEPLOIEMENT.....................................................................45

CHAPITRE 2 : CONFIGURATION DES EQUIPEMENTS ET SERVICES......................................47

CHAPITRE 3 : ESTIMATION FINANCIERE DU PROJET....................................................................60

CONCLUSION GENERALE................................................................................................................61

BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE.....................................................................62

ESGI / DENAGNON Page 2


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Avant-propos

L’Université Française d’Abidjan (UFRA) réunit sept établissements supérieurs (Groupe ESG)
dans les domaines du Management, Comptabilité, Finances, Ressources Humaines, Commerce
International, Marketing, Publicité et de l’Informatique. Le groupe compte un établissement de formation
continue.

La naissance de l’UFRA ou en d’autres termes la délocalisation en Côte d’Ivoire des Diplômes


Techniques Français, répond aux vœux formulés par de nombreux cadres et étudiants, désirant se
spécialiser dans les différentes filières de très haut niveau relevant du domaine du management, de
l'informatique et de la gestion des entreprises. Le but secondaire étant bien sûr de décrocher un Diplôme
Supérieur Français tout en restant à Abidjan.
La filière qui nous concerne, est la filière informatique de l’Ecole Supérieure de Génie
Informatique - PARIS (ESGI - PARIS)
Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin du cursus
académique, les futurs lauréats au titre du Bachelor, entreprennent au sein d’une entreprise des travaux
de recherche sur un thème d'actualité proposé par leurs structures d'accueil.
Ce projet permet aux étudiants de mettre en application les connaissances théoriques acquises pendant les trois
années de formation.

Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN (Site - to - Site)
au sein d’une entreprise ".

Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de formation et a pour but
de présenter le résultat du travail effectué sur ledit thème.

Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la mise en place
d’une infrastructure VPN (site- to -site), toutefois, il nous revient de chercher les solutions idoines aux
problèmes rencontrés en entreprise en nous appuyant sur l’ensemble de notre formation académique et de
nos réflexions empiriques.

ESGI / DENAGNON Page 3


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Remerciements

Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin de parvenir à
ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes qu’il convient
de remercier. Il aurait été certainement plus juste de remercier nommément chacune d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes pour leur
contribution particulière, tout en nous excusant auprès de celles dont les noms n’ont pu figurer ici.
Une pensée particulière à mes mamans chéries Denise, Sylvie, à mes frères et sœurs sans qui ce
travail n'aurait pas pu aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et soutenu tout le long
de mon parcours.
J’adresse mes remerciements à la direction d’UFRA, pour m'avoir permis d'effectuer cette
formation au sein de son établissement, un grand merci particulier à madame Nassif, Directrice de
l’université et Dr JABERT M., Recteur de l’Université Française d’Abidjan (UFRA)
J'exprime ma gratitude envers madame Akouavi Sossa et Monsieur Koffi pour m'avoir fourni une
aide précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. Abgbissi Jean- Paul,
pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus universitaire.
Merci à M. N’GUESSAN, mon formateur CISCO personnel, qui de par son expérience dans le
domaine de la supervision, a réussi à me pousser à toujours exécuter les bons choix, tout en respectant les
architectures en place.
Je remercie M. Talel SAHLI, le directeur Général, de la SOROUBAT, pour m’avoir donné ma
chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce projet de
Bachelor dont mes collègues et camarades de classe.

ESGI / DENAGNON Page 4


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Listes des abréviations et acronymes


AES : Advanced Encryption Standard

ARP : Adress Resolution Protocol

ANSI : American National Standard Institute

ADSL : Asymmetrical bit rate Digital Subscriber Line

AES : Application Environment Service

ASCII : American Standard Code for Information Interchange

CDMA : Code Division Multiple Access

CSMA/CD : Carrier Sense Multiple Access / Collision Detection.

DHCP : Dynamic Host Configuration Protocol

DNS : Domain Name System/Service

DMZ : DeMilitarized Zone

DES : Data Encryption Standard

EAP : Extensible Authentication Protocol

ERP : Enterprise Resource Planning

FAI : Fournisseur d'Accès Internet FDDI :

Fiber Distributed Data Interface FTP : File

Transfer Protocol

HTTP : Hyper Text Transfer Protocol

HTML : Hyper Text Markup Language

IKE : Internet Key Exchange

ISO : International Standards Organisation. ISP

: Internet Service Provider

IEEE : Institute of Electrical and Electronics Engineers

ICMP : Internet Control Message Protocol

IPSEC : Internet Protocol Security

ISAKMP : Internet Security Association and Key Management Protocol L2F

: Layer Two Forwarding

ESGI / DENAGNON Page 5


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

L2TP : Layer Two Tunneling Protocol

MAC : Message Authentification Code

MAU : Multisession Access Unit.

NAT : Network Adress Traduction

NAS : Network Attached Storage

NTIC : Nouvelles Technologies de l'Information et de la Communication OSI :

Open Systems Interconnection

PPP : Point To Point Protocol

PoE : Power over Ethernet PKI :

Public Key Infrastructure PING :

Packet Internet Groper.

PPTP : Point To Point Tunneling Protocol

QoS : Quality Of Service

RA : Registration Authority RFC

: Request For Comments

RIP : Routing Information Protocol

RNIS : Réseau Numérique à Intégration de Services SHA

: Secure Hash Algorithm

SSL : Secure Socket Layer

STP : Shielded Twisted Pair

SA : Security Association

SNMP : Simple Network Management Protocol. SARL :

Société par Actions à la Responsabilité Limité

SOROUBAT : Société Route et Bâtiments

TCP/IP : Transmission Control Protocol/Internet Protocol

UDP : User Datagram Protocol

UTP : Unshielded Twisted Pair

VSAT : Very Small Aperture Terminal

WAN : Wide Area Network ou réseau Etendu

WIFI : Wireless Fidelity

ESGI / DENAGNON Page 6


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Introduction générale

ESGI / DENAGNON Page 7


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Introduction
Naguère, considéré comme un facteur non déterminant de progrès, les télécommunications ont acquis
ces dernières décennies une importance indéniable. Aujourd’hui, aussi indispensable que l’eau et
l’électricité, aucun développement ne saurait se faire sans elles.

La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie, fax ou encore
internet), de nos jours paralyserait bons nombres de services (entreprises, institutions, administrations,
etc…).

C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat de Côte D’ivoire, a entrepris des
réformes dans le domaine de la télécommunication visant à informatiser les différents secteurs d’activité.

Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre besoin qui était celui
d’avoir accès à tout moment et de n’importe où aux ressources offertes par les entités informatisées
(entreprise, foyer, administrations, etc..) de manière sécurisée d’où la naissance du besoin en VPN
(Virtual Private Network ou Réseau Privé Virtuel).

C’est dans cette même veine de besoin à satisfaire que la SOROUBAT a initié ce projet ayant pour thème
« Mise en place d’un VPN (Site–to-Site) au sein d’une entreprise ».

I. Problématique
Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé graduellement
comme un instrument primordial dans le monde professionnel, devenant l'outil incontournable pour la
gestion de l'information allant jusqu’ à la prise de décision d’une importance capitale pour les entreprises
En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché
en 2007. Ce projet de 75,8 Km, entrant dans le cadre du prolongement de l’autoroute du Nord reliant
ABIDJAN à YAMOUSSOUKRO, est composé de 3 lots comportant 11 échangeurs et 9 passages
inférieurs :

- Lot 1 (14,5 Km) de SINGROBO à TAABO


- Lot 2 (29,5 Km) de TAABO à TOUMODI
- Lot 3 (31,8 Km) de TOUMODI à YAMOUSSOUKRO.

Suite à la réalisation de ce projet depuis fin 2012, la société SOROUBAT a axé sa stratégie de
développement sur son service informatique notamment en mettant en place une interconnexion entre ses
différents chantiers à l’intérieur du pays et son siège social sis à Abidjan.
Cependant, dans sa gestion quotidienne, la SOROUBAT éprouve plusieurs difficultés concernant
la gestion centralisée de ses données et informations ainsi que dans l’interactions avec ses sociétés du
groupe.

ESGI / DENAGNON Page 8


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Par exemple, vu la demande étendue à différents chantiers repartis sur le territoire ivoirien elle a
du mal à fédérer le suivi de ses stocks et demande en approvisionnement.
Pourtant, une rupture de stock ou un retard de livraison est susceptible d’immobiliser plusieurs
engins qui peuvent conduire à l’arrêt des travaux sur le chantier.
La nécessité pour la Direction Générale de disposer d’un moyen de transmission et de réception
(interconnexion) des flux de donnés regroupant, mobilité, itinérance et fidélité s’impose.
Cette interconnexion devrait constituer la boussole des services de transmissions à distance de
l’entreprise, il devient évident que la mise en place d’un tel système serait très judicieuse pour la
pérennité du système d’information du groupe SOROUBAT.
Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau Privé Virtuel
(VPN) au sein d’une entreprise ».
Cependant, cette situation suscite un certain nombre d’interrogations :
- Comment la SOROUBAT est-elle organisée dans son système d’information actuel ?
- Comment accéder à distance de n’importe où aux ressources de données du siège ?
- Quelles dispositions prendre pour assurer une interconnexion optimale des différents sites distants
au sein de la SOROUBAT ?

II. Méthode et stratégie de recherche

Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans les centres de
documentations et bibliothèques universitaires il s’agit de :

- La bibliothèque de l’Université Française d’Abidjan (UFRA) sis au plateau ;


- Au centre culturel Français d’Abidjan au plateau ;
- Les sites Internet de technologies

Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des ouvrages généraux, des
ouvrages spécialisés, des revues, des rapports d’études, des mémoires. Ces ouvrages et sites web
donnerons une connaissance générale sur le thème et nous permettrons d’élaborer un plan de travail
beaucoup plus scientifique.

L'architecture de l’étude s'articule autour de trois grands mouvements désignés sous le vocable de «
parties ».
Nous avons adopté pour une approche volontairement pédagogique et opératoire :

 La première partie sera une réflexion théorique et globale qui aborde de façon analytique le
thème.
Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.

 La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche du projet.
Un accent particulier sera mis sur une étude technique suivit de la présentation d’une solution
architecturale ainsi que sur l’administration et la sécurité du réseau.

 La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième partie sera
consacrée à la mise en service du VPN et des services associés de façon pratique suivi d’une
évaluation financière du projet.

Nous terminerons ce mémoire par une conclusion générale et des perspectives.

ESGI / DENAGNON Page 9


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Première partie :
Approche méthodologique

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Introduction de la première partie

Cette première partie de l'étude consiste en une réflexion purement théorique sur le sujet et expose la
démarche méthodologique adoptée pour le traiter. Elle s'attache ainsi, exclusivement, à montrer l'intérêt
scientifique du sujet, à poser le problème, à dégager les hypothèses de recherche, à élaborer la
méthodologie sur laquelle s'appuie la recherche, et enfin à indiquer les modes de mobilisation et de
production de l'information.

Cette partie comporte deux chapitres :

- Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux scientifiques et pose
le problème. Il s'agit aussi, par une analyse de présenter « l 'état des lieux » d'un tel sujet.

- Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant sur lequel s'appuie la
recherche. Une deuxième phase de ce chapitre indique les besoins qui ressortent de cette analyse,
constituant la substance de l'étude.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 1 : Présentation et contexte du projet

I. Présentation de SOROUBAT

Dans cette partie de notre mémoire, nous parlerons des points tels que : la situation
géographique, l'historique, l'objectif, mission, l'activité principale, activité secondaire et la structure
organique de l'entreprise SOROUBAT-CI.

I.1 - Situation géographique et juridique

La « Société des Routes et Bâtiment » en abrégé SOROUBAT, est une entreprise de droit tunisien ayant
pour cœur d’activité principale les BTP (bâtiment et travaux publics), elle a une représentation en Côte
d’Ivoire.

En Côte d’Ivoire, le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché en
2007. La SOROUBAT-CI est une société à caractère privé, à responsabilité limitée (Sarl) au capital de 4.
000. 000.000 FCFA (Quatre milliards de Francs CFA).

Au départ succursale, elle est devenue une SARL. Elle se développe en groupe à ce jours
plusieurs sociétés émanent de SOROUBAT-CI (SAME BUSINESS, SOGECAR, MADALY SANTE,
MADALY TOUR, SIAG, SADEP, C2SR, SDIA, FC SAN PEDRO).

I.2 - Objectif et mission

SOROUBAT-CI, intervient dans le domaine des travaux publics tels que les routes,
l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais elle s’est plus particulièrement
spécialisée dans la construction des routes, autoroutes et ouvrages d’arts.

Par son bon fonctionnement et son activité, la SOROUBAT contribue à soutenir l'économie et la
politique nationale car pour la construction des infrastructures, la SOROUBAT utilise la main d'œuvre
locale, et paie les impôts à l'Etat Ivoirien.

I.3 - Activités

La SOROUBAT-CI a pour principale activité la construction des routes et des bâtiments. Elle a
actuellement le projet de la voie Odienné - Madinani -Boundiali et la voirie de la nouvelle zone
industrielle de Yopougon au PK24.

Aujourd’hui, la SOROUBAT a diversifié ses activités et est devenu un groupe avec différentes
filiales dont :

- SOGECAR (Société de Gestion de Carrière).

- SAME BUSINESS. (Vente d’engin)

- FONCIERE IVOIRIENNE. (Société de gestion foncière et immobilière)

- MADALY TOURS. (Agence de tourisme IATA)

- MADALY SANTE. (Vente d’équipement médicaux et paramédicaux)

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Ses caractéristiques principales sont les suivants :

- Raison sociale : Société de Routes et de Bâtiments en Côte d’Ivoire (SOROUBAT- CI)


- Localisation : II Plateaux Vallon, non loin de la SGBCI Vallon route d’Attoban.
- Statut juridique : Société à Responsabilité Limitée (SARL)
- Capital social : 4 000 000 000 FCFA
- Téléphone : 22 41 35 10
- Compte contribuable : 0717959 M
- Email : soroubatci@yahoo.fr

I.4 - Organisation

Structure organique de l'Entreprise : L’organisation de la SOROUBAT-CI s’articule autour de plusieurs


directions et services.

Pour mener à bien ses activités de construction de l’autoroute du nord, la SOROUBAT s’est
subdivisée en six (05) grandes directions :

- La Direction Générale ;
- La Direction Administrative et Comptable ;
- La Direction Financière ;
- La Direction des Projets ;
- La Direction du matériel.

II. Présentation du thème

II.1 - Intérêt de l’étude

Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses ressources.

Vu l’ambition de la SOROUBAT d’être leader des BTP sur l’échiquier international, et dans le but de lui
permettre d’être interconnecté entre ses différents sites nationaux et même internationaux, il a été jugé
bon de nous pencher sur la question de la : « Mise en place de Réseau Privé Virtuel (VPN) au sein d’une
entreprise » et d’en faire une référence.

II.2 - Objectifs de l'étude

II.2.1 Objectifs principaux

Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place d'une
interconnexion entre plusieurs site distant à travers un VPN afin de faciliter les échanges distants de
données au sein de la société SOROUBAT et de ce fait de mieux gérer le système d’information de
l’entreprise.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II.2.2 Objectifs spécifiques

Il est donc question ici pour nous de répondre aux attentes de la société en mettant en place un réseau
virtuel privé stable et opérationnel. Ceci nous amènera donc à étudier différents aspects :

- Nous évaluerons le type de VPN le mieux adapté aux besoins de l’entreprise.

- Nous définirons la sécurité des données.

- Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon fonctionnement.

II.3 - Cahier de charge

Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi riche et
prometteur que le thème.
En effet les contraintes globales que nous devons respecter sont les suivantes :
- Identifier les différents services de SOROUBAT ;

- Proposer un plan d’adressage par SUBNETTING ;

- Configurer les routeur VPN ;

- Assurer la confidentialité des connexions ;

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 2 : Etude et critique de l’existant

Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur l’existant quel qu’il soit.
La première tâche a été de rencontrer différentes personnes qui entretiennent directement ou
indirectement une relation avec le service informatique de SOROUBAT
Il s’agit principalement du Directeur Financier M. CHADI Issam, de M. SABER Drira, Directeur
Administratif, de M. Riadh AYACHI Responsable Achat.
Après quoi, nous avons réellement débuté le travail en menant différentes recherches. Cette
méthodologie de travail nous a permis d’avoir une connaissance large de l’existant.

I. Etude de l’existant

Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que possible, l'analyse
qualitative et quantitative du système d’information actuel de la SOROUBAT.

Une analyse de l'existant comprend trois parties distinctes :

- La première consiste à recueillir les informations ; elle est réalisée à partir d'entretiens ou de
questionnaires, tableaux de bords, catalogues, études, données statistiques etc.

- La seconde consiste à analyser, classer et donner une vue synthétique de l'ensemble des
informations collectées par domaine fonctionnel, en tenant compte des ressources humaines
(nombre et profil des personnes assignées aux diverses tâches).

- La troisième consiste à esquisser une modélisation à grosses mailles des données et des
traitements.

En effet, pour faire le déploiement de solution d’interconnexion, il est essentiel de disposer


d’informations précises sur l’infrastructure réseau physique et les problèmes qui ont une incidence sur le
fonctionnement du réseau.
En effet, ces informations affectent une grande partie des décisions que nous allons prendre dans le
déploiement du VPN.

Il s’agira donc pour nous de rassembler les informations relatives à l’organisation de l’existant.
Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de Télécommunication et des
services qui feront l’objet d’interconnexion.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

I.1 - Matériels et logiciels utilisés

Le recensement des outils informatiques associés aux départements, et services de la SOROUBAT nous a
donné pour le siège (Nb : Tout les PC fonctionnent sous Windows 10)
Tableau n° 01 : PC SIEGE

SIEGE
Direction Nbre des Pcs Marques Types HDD Mémoires
RAM
Dir. Générale 04 Dell Core I7 1Terra 8 Go
Dir. RH 04 HP Core I5 500 Go 4 Go
Dir. Technique 04 Dell Core I5 500 Go 4 Go
Services Achat 06 Dell Core I5 500 Go 4 Go
Dir. Financier 07 HP Core I5 500 Go 4 Go
Dir. Comptable 03 Dell Core I5 500 Go 4 Go
Dir Audit 02 HP Core I5 500 Go 4 Go
Dir Informatique 04 Dell Core I7 2 Terra 8 Go
Dir Transit 03 Dell Core I5 500 Go 4 Go
Service Juridique 01 Dell Core I5 500 Go 4 Go
Service Contrôle 06 HP Core I5 500 Go 4 Go
de gestion
Secrétariat 04 HP Core I5 1Terra 4 Go
TOTAL 48

Source : Nos réalisations

- LES SERVEURS

Un serveur est un dispositif informatique matériel et logiciel qui offre des services à différents clients. Les
serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous dans une salle machine et
présentent différentes caractéristiques énumérées comme suit :

Tableau n° 02 : Les serveurs de SOROUBAT

Nombres Rôle des serveurs Type de serveur O. S


01 Serveur de Domaine (AD) Serveur Dell Windows 2012 R2

01 Hyperviseur Navision Serveur Dell Windows 2012 R2


01 Hyperviseur Citrix Serveur Dell Windows 2008 R2
01 Serveur de redondance (AD) Serveur HP ProLiant Windows 2012 R2
10 Serveur de Vidéosurveillance Serveur HP Windows 10 Pro
14 Total

Source : Nos réalisations

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

- LES EQUIPEMENTS TERMINAUX


Tableau n° 03 : EQUIPEMENTS TERMINAUX

Types de terminaux Modèles Nombres


Téléphone IP Alcatel 50
Imprimantes Laserjet Canon & HP 12
Copieur IP Canon 04
Pointeuse Biométrique (IP) Zkteco 02
Camera IP HD HikVision 40
AUTOCOM (Passerelle VoIP) Vidéoconférence au ALCATEL OXO 01
Format H264 avec protocole SIP Large
TOTAL 109

Source : Nos réalisations

- LES EQUIPEMENTS D’INTERCONNEXION

Tableau n° 04 : EQUIPEMENTS D’INTERCONNEXION

Types de terminaux Modèles Nombres


Routeur fibre optique (Orange) Huawei 02
Routeurs Cisco 02
Switches (48 ports) Cisco 04
Switches (48ports) Alcatel 01
Point d’accès Wifi D-Link 06
Firewall FORTIGATE 60D Plus 01
Firewall SOPHOS XG 210 Entreprise 01
TOTAL 17

Source : Nos réalisations

I.2 - Topologie et type de média

De façon plus précise, le réseau LAN de SOROUBAT, est un réseau FAST ETHERNET commuté à
10/100Mbps, essentiellement basé sur une topologie en étoile.

Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant des paires torsadées FTP
catégorie 6.

I.3 - Les applications utilisées

Les applications de SOROUBAT sont diverses et installées sur les serveurs contenus en salle machine en
mode client-serveur sur les autres machines.

Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis les chantiers de
SOROUBAT à l’intérieur du pays et en dehors.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans le tableau ci- après.

Tableau n° 05 : Applications métier du SIEGE

Applications Rôles Bénéficiaire


Progiciel de gestion intégré (Achats,
MICROSOFT DYNAMICS production, gestion de projets, RH, Utilisateur de logiciel
NAVISION gestion financière, etc.…) métier

IVMS-4500 HD (HikVision IP Monitoring et gestion de camera IP Utilisateur des services


CAM) de surveillance

Source : Nos réalisations

II. Critique de l’existant

La critique de l'existant est un jugement objectif portant sur l'organisation actuelle de l'entreprise
qui vient d'être présenté.

Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les serveurs être mis en DMZ.

La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué principalement des
ordinateurs serveurs et isolée par un pare-feu, comprenant des machines se situant entre un réseau interne
(LAN) et un réseau externe. Elle permet à des machines d'accéder à Internet et/ou de publier les services
sur internet sur le contrôle de Pare-feu externe.

Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur d'impression, un serveur
d'antivirus, un serveur de Navision, un serveur de messagerie (Exchange) ils assurent tous l'échange des
informations entre les employés de l'entreprise, etc.

Les informations de l'entreprise arrivent par le routeur du FAI, elles sont directement envoyées au pare-
feu qui lui, les envoient au travers d’un switch fédérateur à un serveur en fonction bien entendu de la
nature de l'information (données, etc.) à son tour le serveur concerné route l'information au terminal du
destinataire. Les informations provenant du réseau externe (internet) sont préalablement analysées par le
pare-feu avant d'être acceptée dans le réseau ou tout simplement rejetée.

Les points à déplorer sont :

- Un plan d’adressage réseau peu optimal et évolutif en l’absence de Vlan.


- Il existe trop de nœud d’interconnexion, ce qui accroit la perte de connectivité.
- Il n’existe pas de serveur d’antivirus, ni de serveur de messagerie (Exchange) pour assurer
les échanges ;

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

III. Spécifications des besoins

Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier aux contraintes
précédemment mentionnées.

Ce sont les besoins exprimés par les différents services de la SOROUBAT pour mener à bien ce projet.

III.1 - Les besoins fonctionnels

Dans ce cadre, nous allons :

- Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les domaines de diffusion
(VLAN) ;

- Proposer une architecture physique d’interconnexion VPN avec débits adaptés.

- La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux, filtrage) ;

III.2 - Les besoins non-fonctionnels

Les besoins non fonctionnels représentent les exigences implicites auxquelles le système doit répondre.

Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères suivants :

- La simplicité d’utilisation des services implémentés.

- La centralisation de l’administration et de la gestion des utilisateurs.

- La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de rétablissement).

- La gestion de sauvegarde des fichiers.

- La documentation du réseau.

Conclusion de la première partie


Le but de cet exercice de réflexion théorique à la fois délicat et intellectuellement passionnant sur
l’articulation entre la présentation du projet et la critique de l’existant était de fournir une indication
suffisamment élaborée et claire des objectifs et enjeux sur le sujet, ses objectifs et enjeux ainsi que sur la
façon dont il serait conduit.
Nous espérons, avoir faire ressortir ce lien dialectique au terme de cette partie.

Nous nous attèlerons maintenant à faire ressortir les démonstrations empiriques auxquelles
confronter la réflexion théorique qui a été faite. C’est ce à quoi la deuxième partie et notamment la
troisième partie (à travers une étude de cas) vont s’attacher.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Deuxième partie :
Etude technique et conditions de réalisation

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Introduction de la deuxième partie

La mise en place optimale d’une solution VPN, exige une connaissance suffisante en matière
d’architecture informatique et de liaison d’interconnexion, tant au plan général des infrastructures
réseaux qu'au niveau spécifique des télécommunications. La présente partie de l'étude s'efforce
d'apporter cette indispensable connaissance.

Cette deuxième partie comporte trois chapitres :

- Le chapitre 1 offre un aperçu général sur les différents types de réseaux et topologies
informatiques, ainsi que sur les équipements d’interconnexion des réseaux qui sont des prérequis
indispensables à assimiler pour notre étude technique. Il en relève par ailleurs les contraintes
infrastructurelles.

- Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des différents types de
VPN afin de savoir quand implémenter chaque type.

- Le chapitre 3 donne une indication sur l’administration et la sécurité adéquate à mettre en place
afin de sécuriser le réseau. Cette réflexion constitue en quelque sorte une transition pour entamer la
troisième partie de la recherche qui instruit réellement sur la mise en œuvre de l’interconnexion et des
services VPN.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 1 : Généralités sur les réseaux informatiques


Nous allons aborder dans ce premier chapitre, quelques notions sur les réseaux.

I. Les réseaux informatiques

I.1. - Définition d’un réseau

Un réseau informatique est un ensemble de moyens matériels et logiciels mis en œuvre pour assurer les
communications (échange de messages entre utilisateurs, l’accès à distance à des bases de données ou
encore le partage de fichiers) de données, et le partage de services entre ordinateurs, terminaux
informatiques. Ces communications étaient, bien avant, destinées aux transports de données
informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui intègrent, à la fois, des données, la
voix, et la vidéo.

Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à comprendre pourquoi certaines
topologies existent.

I.1.1 Les types de réseaux

Les réseaux en fonction de la localisation, la distance et le débit, sont classés en trois types : Tableau

n° 6 : Classification d'un réseau

Distance entre Processus Localisation Type des réseaux


10 m Salle Réseau local (LAN)
100 m Bâtiment
1000 m = 1 Km Campus Réseau Métropolitain (MAN)
100.000 m = 100 Km Pays Réseau longue distance
1.000.000 m = 1000 Km Continent (WAN)
10.000.000 m = 10.000 Km Planète Internet

100.000.000 m = 100.000 Km Système terre - lune Le satellite artificiel

Source : Mémoire « Mise en place d'un réseau VPN. Cas de la BRALIMA Sarl en RDC »

• LAN (Local Area Network ou réseau local en français) : Il s’´étend sur quelques dizaines à
quelques centaines de mètres. C’est un réseau local, il correspond par sa taille aux réseaux intra-
entreprises et permet l’échange de données et le partage de ressources.

• MAN (Metropolitan Area Network ou réseau métropolitain en français) : Réseau


métropolitain qui également nommé réseau fédérateur assure les communications de plusieurs sites à
l’échelle d’une ville (quelques dizaines de kilomètres).

• WAN (Wide Area Network ou réseau étendu au public en français) : Réseau typiquement à
l'échelle d'un pays, d'un continent, ou de la planète entière, généralement celui des opérateurs. Le plus
connu des WAN est Internet. Un WAN est en fait une succession de plusieurs LAN Dans ce document.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

I.1.2 Les types de topologies

Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et logique.

- La topologie physique :

L'agencement physique, c'est-à-dire la configuration spatiale des éléments constitutifs d’un réseau est
appelée topologie physique. C'est donc en d’autres termes la forme, l’architecture physique, l'apparence
du réseau.

Il en existe plusieurs dont la :

• Topologie en bus
Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus (pensez, que
chaque passager peut y accéder et se trouver une place pour
poursuivre le trajet).
Dans cette topologie, tous les ordinateurs sont connectés entre eux
par le biais d'un seul câble réseau débuté et terminé par des
terminateurs.
Ce qui n'est pas du tout pratique, et ceux pour 2 raisons majeures. La
première est que, parce que toutes les machines utilisent le même
Schéma d'un réseau en bus câble, le réseau n'existe plus si le câble vient à être défectueux.
Alors, il n'y aura plus de communication possible étant donné que
tous les hôtes partagent un câble commun.
La seconde est que, puisque le câble est commun, la vitesse
de transmission est très faible.
Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, il ne faut pas que 2 machines
communiquent simultanément, sinon cela créé des collisions !
Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas assurée à 100% car
tous Les hôtes peuvent voir les données destinées à un hôte du réseau, heureusement que d'autres
topologies plus simples et plus pratiques existent.

• Topologie en étoile (la plus utilisée)

Dans un réseau en étoile, la forme physique du réseau ressemble à


une étoile. Pour parler à une autre entité on passe par le matériel
central (qui peut être le routeur, switch, etc.). En pratique, dans un
réseau d'entreprise en étoile, au centre on trouve un switch.
Le principal défaut de cette topologie, c'est que si l'élément central
ne fonctionne plus, plus rien ne fonctionne : toute communication
est impossible. Cependant, cette topologie est plus avantageuse que
Schéma d'un réseau en étoile celle vue précédemment, car il n'y a pas de risque de collision de
données.

Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal de cette topologie
réside dans la longueur des câbles utilisés.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

• Topologie en anneau

Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau.

Cependant, la topologie physique d'un réseau en anneau est


similaire à celui du bus.

En réalité, dans une topologie anneau, les ordinateurs ne sont


pas reliés en boucle, mais sont reliés à un répartiteur (appelé
MAU, Multi-station Access Unit) qui va gérer la communication
entre les ordinateurs qui lui sont reliés en impartissant à chacun
d'entre-deux un temps de parole système de jeton (token)

Dans un réseau possédant une topologie en anneau, les


ordinateurs sont situés sur une boucle et communiquent chacun à
Schéma d'un réseau en anneau leur tour.

Les deux principales topologies logiques utilisant cette topologie


physique sont Token ring (anneau à jeton) et FDDI.

• Topologie maillée

Une topologie maillée, est une évolution de la topologie en


étoile, elle correspond à plusieurs liaisons point à point (peer to
peer).
Concrètement, le principe de la topologie maillée est de relier
tous les ordinateurs entre eux (aucun risque de voir une isolation
du réseau si un des points névralgiques tombent en panne
générale, l'inconvénient est le nombre de liaisons nécessaires qui
devient vite très élevé. On implémente une topologie maillée
afin de garantir une protection maximale contre l'interruption de
service
Schéma d'un réseau en maille
La formule pour connaitre le nombre de câbles est n(n-1) / 2,
avec n le nombre d'ordinateurs. Donc rien qu'avec 20
ordinateurs par exemple, ça nous donnera 20 (20-1) / 2, soit 190
câbles !

Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle infrastructure.

Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple : Internet, systèmes de
contrôle en réseau d'une centrale nucléaire, armée). L'information peut parcourir le réseau suivant des
itinéraires divers, sous le contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de
routage réparties.

L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien, l'information peut quand
même être acheminée.

Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de topologie mesh mais ne
concerne que les routeurs WiFi.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

- La topologie logique :

La topologie logique est la structure logique d'une topologie physique, c’est-à-dire qu’elle représente la
façon dont les données transitent dans les lignes de communication. Les topologies logiques les plus
courantes sont Ethernet, Token Ring et FDDI.

Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence physique, la forme) de
votre réseau, l'autre (topologie logique) définit comment la communication se déroule dans cette forme
physique.

II. Les systèmes d’interconnexion


Dans ce chapitre, selon le modèle OSI ou TCP/IP, nous étudierons les composants réseaux, sans oublier
les supports de transmission qui nous permettent de les relier aux ordinateurs. Il sera aussi
question de normalisation.
II.1 - Nécessité de l’interconnexion
« L’interconnexion des réseaux est la possibilité de faire dialoguer plusieurs sous réseaux initialement
isolés, par l’intermédiaire de périphériques spécifiques (récepteur, concentrateur, pont, routeur, modem),
dans ce cas, des équipements spécifiques sont nécessaires » Wikipédia
En d’autres termes un réseau local a pour but d’interconnecter les périphériques informatiques d'une
organisation, il s’avère dans la pratique que plusieurs réseaux locaux peuvent se trouver au sein d’une
même organisation (université par exemple), les relier entre eux devient indispensable. Dans ce cas, des
équipements spécifiques sont nécessaires.
Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames de l'un sur l'autre. Dans
le cas contraire, c'est-à-dire lorsque les deux réseaux utilisent des protocoles différents, il est
indispensable de procéder à une conversion de protocole avant de transférer les trames. Ainsi, les
équipements à mettre en œuvre sont différents selon la configuration face à laquelle on se trouve.
II.2 - Normalisation
II.2.1 Modèle OSI
L’organisme ISO (International Organization for Standardization) en français (Organisation
Internationale de Normalisation) a défini en 1984 un modèle de référence, nommé modèle OSI (de
l'anglais Open Systems Interconnection) destiné à normaliser les échanges entre deux machines dans les
systèmes informatiques.
La normalisation émane de la volonté des gouvernements d'harmoniser les technologies afin
d'assurer la compatibilité des équipements.
Le modèle OSI décrit la manière dont deux éléments d’un réseau (station de travail, serveur...etc)
communiquent, en décomposant les différentes opérations à effectuer en sept étapes successives, qui sont
nommées.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Tableau n° 7 : Diagramme du modèle OSI.

Source : Wikipédia
• Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur un canal de
communication. Cette couche doit garantir la parfaite transmission des données. L’unité d’information
typique de cette couche est le bit, représenté par une certaine différence de potentiel.
• Couche2 : (Liaison de données) Elle va transformer la couche physique en une liaison a priori
exempte d’erreurs de transmission pour la couche réseau. Elle fractionne les données d’entrée de
l’émetteur en trames, transmet ces trames en séquence et gère les trames d’acquittement renvoyées par le
récepteur. L’unité d’information de la couche liaison de données est la trame.
• Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à parcourir à partir
des adresses), des blocs de données entre les deux systèmes d’extrémités, ainsi elle contrôle également
l’engorgement du sous-réseau.
• Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des informations entre les
deux extrémités, afin de rendre le transport transparent pour les couches supérieures, elle assure le
découpage des messages en paquets pour le compte de la couche réseau et les constitue pour les couches
supérieures. Un des tous derniers rôles à évoquer est le contrôle de flux. C’est l’une des couches les plus
importantes, car c’est elle qui fournit le service de base à l’utilisateur, et c’est par ailleurs elle qui gère
l’ensemble du processus de connexion, avec toutes les contraintes qui y sont liées.
• Couche 5 : (Session) Elle assure l’échange de données, entre deux applications distantes. Elle
réalise le lien entre les adresses logiques et les adresses physiques des tâches réparties. Elle assure surtout
la synchronisation de l’échange (qui doit parler, qui parle…) entre deux programmes d’application devant
coopérer. Dans ce dernier cas, ce service d’organisation s’appelle la gestion du jeton. Elle assure aussi la
reprise de l’échange en cas d’erreurs.
• Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la sémantique des données
transmises : c’est elle qui traite l’information de manière à la rendre compatible entre tâches
communicantes. Elle va assurer l’indépendance entre l’utilisateur et le transport de l’information.
Typiquement, cette couche peut faire la mise en forme des données, la conversion des codes (ASCII),
pour délivrer à la couche application un message compréhensible. Elle peut aussi assurer le décryptage et
la compression de données.
• Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur et le réseau. C’est
donc elle qui va apporter à l’utilisateur les services de base offerts par le réseau, comme par exemple le
transfert de fichier, la messagerie.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II.2.2 Classe d’adresse


Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le routage) des
paquets entre les différents réseaux. Ces groupes ont été baptisés classes d’adresses IP. Ces classes
correspondent à des regroupements en réseaux de même taille. Les réseaux de la même classe ont le
même nombre d’hôtes maximum.
• La Classe A : Le premier octet a une valeur comprise entre 1 et 126, soit un bit de poids fort égal à 0.

• La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2 bits de poids fort égaux à
10.

• La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3 bits de poids fort égaux à
110.

• La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3 bits de poids fort égaux à
111, il s’agit d’une zone d’adresses dédiées aux services de multidiffusion vers des groupes d’hôtes (host
groups).

• La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit d’une zone d’adresses
réservées aux expérimentations. Ces adresses ne doivent pas être utilisées pour adresser des hôtes ou des
groupes d’hôtes.
Tableau n° 8 : Classes des adresses IP
1er Octet Nbr de réseaux / Notation
Classe Valeur
binaire Nbr d’hôtes CIDR
128 réseaux (2^7) /
A 1.0.0.0 à 126.255.255.255 0xxx xxxx 16 777 214 hôtes /8
(2^24-2)
16384 réseaux
(2^14) /
B 128.0.0.0 à 191.255.255.255 10xx xxxx /16
65 534 hôtes (2^16-
2)
2 097 152 réseaux
C 192.0.0.0 à 223.255.255.255 110x xxxx (2^21) / /24
254 hôtes (2^8-2)

D 224.0.0.0 à 239.255.255.255 1110 xxxx Multicast - Diffusion -


partielle
Expérimentale
E 240.0.0.0 à 247.255.255.255 1111 xxxx -
(Réservée)
Source : https://www.inetdoc.net/articles/adressage.ipv4/adressage.ipv4.class.htm l

Tableau n° 09 : Cas particuliers (Source : Nos réalisations)

Plage IP Utilité
0.0.0.0 Utilisé pour définir une route par défaut sur un routeur
127.0.0.0 – 127.255.255.255 Localhost Loopback Address (boucle locale)

169.254.0.0 - 169.254.255.255 APIPA Automatic Private IP Addressing (65 534 hôtes)

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II.3 - Equipements d’Interconnexion des réseaux

Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à mettre en relation,
indépendamment de la distance qui sépare et des protocoles qu'elle utilise, des machines appartenant à des
réseaux physiquement distincts.
Dans les sections suivantes, nous présenterons les principaux équipements matériels mis en place dans les
réseaux locaux que sont :
Les répéteurs, permettant de régénérer un signal
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes
Les ponts (bridges), permettant de relier des réseaux locaux de même type
Les commutateurs (switches) permettant de relier divers éléments tout en segmentant le réseau
Les passerelles (Gateway), permettant de relier des réseaux locaux de types différents
Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à permettre la circulation
de données d'un réseau à un autre de la façon optimale
Les B-routeurs, associant les fonctionnalités d'un routeur et d'un pont.

II.3.1 Repeater (Répéteur)

Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du signal, le
répéteur permet d’amplifier ce signal et d’augmenter la taille
d’un réseau, afin d’étendre la distance du câblage.

C'est un équipement simple qui opère au niveau 1 du


modèle OSI (couche physique), et qui ne nécessite aucune
administration. Le répéteur génère de nouveau un signal à
partir du signal reçu.
Repeater (Répéteur)
On distingue deux catégories du répéteur :
 StandAlone : Les débits sur les deux câbles doivent être les mêmes.
 Store and Forward : Avec mémoire, il support les vitesses différents sur les différents
tronçons.

II.3.2 Hub (Concentrateur)

Le concentrateur est un périphérique qui opère au niveau 1 du


modèle OSI (couche physique), il permet de connecter plusieurs
machines entre elles ; il a pour but de concentrer le trafic réseau
qui provient de plusieurs hôtes, et aussi de régénérer le signal.
Il réduit le trafic (segmentation).

Son unique but est de récupérer les données binaires provenant


Hub (Concentrateur)
d'un port et de les diffuser sur l'ensemble des
ports. Ils servent à raccorder deux segments de câbles ou deux réseaux identiques (Ethernet) qui
constituent alors un seul réseau logique.

Ils sont en général dotés d'un port spécial appelé "Up Link".

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

On distingue deux catégories du concentrateur :


 Concentrateur Actif : Ils sont alimentés électriquement, permettant de régénérer le signal
sur les différents ports.
 Concentrateur Passif : Diffuser le signal à tous les hôtes sans amplification. Ne nécessitent
pas une quelconque alimentation

II.3.3 Bridge (Pont)


Un pont est un équipement informatique d'infrastructure de réseaux de type passerelle, il opère
au niveau logique c'est-à-dire au niveau de la couche 2 du
modèle OSI (couche liaison de données), il permet de relier deux
réseaux identiques ou deux parties de même réseau.
Le pont travail comme un relais qui transmet d'un réseau à l'autre
les trames dont l'adresse ne figure pas dans le premier réseau et
permet donc aux deux éléments qu'il relie de fonctionner
indépendamment.
Son usage le rapproche fortement de celui d'un
Bridge (Pont)
commutateur (switch), à l'unique différence que le
commutateur ne convertit pas les formats de transmissions de données. Le pont ne doit pas être confondu
avec le routeur.

II.3.4 Les commutateurs (switches)

C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les trames arrivant sur les
ports d’entrées et les filtre pour aiguiller sur les ports adéquats. Il dispose d'une table d'adresses MAC des
machines connectés, et qui opère au niveau 2 du modèle OSI (couche liaison de données).

« Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs segments (câbles ou
fibres) dans un réseau informatique et de télécommunication et qui permet de créer
des circuits virtuels.

La commutation est un des deux modes de transport de


trame au sein des réseaux informatiques et de
communication, l'autre étant le routage. Dans les
réseaux locaux (LAN), il s'agit le plus souvent d'un
boîtier disposant de plusieurs ports RJ45 (entre 4 et
Les commutateurs (switches)) plusieurs centaines), il a donc la même apparence
qu'un concentrateur (hub).

Il existe aussi des commutateurs pour tous les types de réseau en mode point à point comme pour les
réseaux ATM, relais de trames, etc. Il est fréquent qu'un commutateur intègre, par exemple, le Spanning
Tree Protocol que l'on rencontre dans les ponts. Le commutateur est d'ailleurs souvent vu d'une manière
réductrice comme un pont multiport. » Wikipédia

Sa présence permet d'optimiser les performances des réseaux et d'autoriser les utilisateurs d'un réseau à
accéder à toutes les ressources disponibles sur le réseau.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II.3.5 Router (Routeur)

C'est un élément intermédiaire dans un réseau informatique, assurant le routage des paquets en choisissant
le chemin selon un ensemble de règles formant la table de routage. Il opère au niveau 3 du modèle OSI
(couche réseau).

« C’est un dispositif d’interconnexion de réseaux


informatiques permettant d’assurer le routage des
paquets entre deux réseaux ou plus afin de déterminer le
chemin qu’un paquet de données va emprunter. Ils sont
plus puissants : ils sont capables d'interconnecter
plusieurs réseaux utilisant le même protocole. »
Wikipédia

Il permet d'interconnecter deux entités de la couche


Les routeurs (routers) Réseau i.e. deux réseaux proprement dits. Le routeur
assure les fonctions de routage et d'aiguillage comme
son nom l'indique. Le routeur sélectionne un parcours
approprié pour diriger les
messages vers leurs destinations.

La fonction de routage traite les adresses IP en fonction de leur adresse réseau définie par le masque de
sous-réseaux et les redirige selon l'algorithme de routage et sa table associée. Ces protocoles de routage
sont mis en place selon l'architecture de notre réseau et les liens de communication inter sites et inter
réseaux.

Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de relier des réseaux
locaux de types différents.

II.4 - Les protocoles de routage

Les protocoles de routages permettent l'échange des informations à l'intérieur d'un système autonome. On
retient les protocoles suivants :
 États de lien, ils s'appuient sur la qualité et les performances du média de communication qui les
séparent. Ainsi chaque routeur est capable de dresser une carte de l'état du réseau pour utiliser la
meilleure route : OSPF
 Vecteur de distance, chaque routeur communique aux autres routeurs la distance qui les sépare.
Ils élaborent intelligemment une cartographie de leurs voisins sur le réseau : RIP
 Hybride des deux premiers, comme EIGRP

Les protocoles couramment utilisés sont :


 Routing Information Protocol (RIP)
 Open Shortest Path First (OSPF)
 Enhanced Interior Gateway Routing Protocol (EIGRP)

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

III. Les réseaux locaux virtuels (Vlan)

Avant d’arriver à la conception technique globale de la solution retenue, nous ferons une étude
brève sur les fonctionnalités des VLANs. Celle-ci nous permettra de définir à travers ces fonctionnalités,
une meilleure planification du déploiement future.

III.1 - Généralités

Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local virtuel
(logique) utilisant la technologie Ethernet pour regrouper les éléments du réseau (utilisateurs,
périphériques, etc.) selon des critères logiques (fonction, partage de ressources, appartenance à un
département, etc.), sans se heurter à des contraintes physiques (dispersion des ordinateurs, câblage
informatique inapproprié, etc.).

III.2 - Avantages offerts par les Vlan

Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière dont les
réseaux sont conçus, administrés et maintenus. La technologie de VLAN comporte ainsi de nombreux
avantages et permet de nombreuses applications intéressantes. Parmi les avantages liés à la mise en œuvre
d’un VLAN, on retiendra notamment :

• La flexibilité de segmentation du réseau : Les utilisateurs et les ressources entre lesquels les
communications sont fréquentes peuvent être regroupés sans devoir prendre en considération leur
localisation physique.
• La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement d’éléments existants
peut être réalisé rapidement.
• L’augmentation considérable des performances du réseau (réduction du domaine de collision)
: Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein du VLAN qui lui est associé, de la
bande passante est libérée, ce qui augmente les performances du réseau.
• Une meilleure utilisation des serveurs réseaux.
• Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par les VLANs ne pouvant
être franchies que par le biais de fonctionnalités de routage, la sécurité des communications est renforcée.

III.3- Technique et méthodes d’implantation des Vlan

Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de niveau 2 du
modèle OSI qui supportent le VLAN.

On distingue généralement trois techniques pour construire des VLANs. Nous pouvons les
associer à une couche particulière du modèle OSI :

• VLAN de niveau 1 ou VLAN par ports :

On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte réseau à un
VLAN est déterminée par sa connexion à un port du commutateur. Les ports sont donc affectés
statiquement à un VLAN.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

• VLAN de niveau 2 ou VLAN MAC :

On affecte chaque adresse MAC à un VLAN. L’appartenance d’une carte réseau à un VLAN est
déterminé par son adresse MAC.

En fait, il s’agit à partir de l’association MAC/VLAN d’affecter dynamiquement les ports des
commutateurs à chacun des VLAN.

• VLAN de niveau 3 ou VLAN d’adresses réseaux :

On affecte un protocole de niveau 3 ou de niveau supérieur à un VLAN. L’appartenance d’une


carte réseau à un VLAN est déterminée par le protocole de niveau 3 ou supérieur qu’elle utilise.

III.3 - Principe du routage INTER-VLAN

Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur est
nécessaire ou un commutateur de couche 3.

La connectivité entre les VLANs peut être établie par le biais d’une connectivité physique ou
logique. Une connectivité logique implique une connexion unique, ou agrégation, du commutateur au
routeur. Cette agrégation peut accepter plusieurs VLAN. Cette topologie est appelée « router-on-a-stick »
car il n’existe qu’une seule connexion physique avec le routeur. En revanche, il existe plusieurs
connexions logiques entre le routeur et le commutateur.

Une connectivité physique implique une connexion physique séparée pour chaque VLAN. Cela
signifie une interface physique distincte pour chaque VLAN.

Les premières configurations de VLAN reposaient sur des routeurs externes connectés à des
commutateurs compatibles VLAN.

Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un routeur ou
commutateur de couche 3. Le terme commutateur de couche 3 désigne un commutateur capable d’assurer
une fonction de routage en plus de ses fonctions habituelles. Ainsi, au lieu d’un routeur externe, on aura
un routeur interne au commutateur.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 2 : Les réseaux privés virtuels (VPN)


Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées sur le
serveur d’un siège depuis une succursale distante de plusieurs milliers de kilomètres se fait-il par exemple
?

La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel). Avant
l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées TRANSPAC, ou bien des lignes
louées. Les VPN ont alors permis de démocratiser ce type de liaison. Le terme VPN sera notamment
utilisé pour l’accès à des structures de type cloud computing.

I. Concept de VPN

En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en plus quand une
entreprise croît, il arrive qu’elle doive faire face à un besoin de communiquer avec des succursales, des
filiales, ou même donner accès à ses ressources à son personnel géographiquement éloigné. Concrètement
comment une succursale d’une entreprise peut-elle accéder aux données situées sur un serveur de la
maison mère distant de plusieurs milliers de kilomètres ?

L’interconnexion par le biais de la liaison spécialisée est la première alternative, toutefois son
coût très élevé rend difficile son implémentation dans la plupart des entreprises,
« Un bon compromis consiste à utiliser Internet comme support de transmission en utilisant un
protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation impropre parfois du terme
"tunnelisation"), c'est-à-dire encapsulant les données à transmettre de façon chiffrée. On parle alors de
réseau privé virtuel (noté RPV ou VPN, acronyme de Virtual Private Network) pour désigner le réseau
ainsi artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux) par une liaison non
fiable (Internet), et privé car seuls les ordinateurs des réseaux locaux de part et d'autre du VPN peuvent
"voir" les données. » Source : Commeçamarche.

II. Fonctionnement d’un VPN

Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation (tunneling),
l’avantage de ce protocole est de faire circuler des données de manière chiffrée. Le principe très simple
consiste via ce protocole à créer un tronçon virtuel en chiffrant par des algorithmes de cryptologie chaque
extrémité du tronçon. Ainsi, les utilisateurs ont l’impression de se connecter directement sur le réseau de
leur entreprise.

Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du chiffrement de l'entrée et de la
sortie du VPN rendant incompréhensif les données transmises sur le tronçon pour toutes personnes en
dehors de ce tunnel en cas d’interception (écoute).

Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément permettant de
chiffrer et de déchiffrer les données du côté utilisateur (client) et serveur VPN (ou plus généralement
serveur d'accès distant) l'élément chiffrant et déchiffrant les données du côté de l’entreprise.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

« De cette façon, lorsqu'un


utilisateur nécessite d'accéder au
réseau privé virtuel, sa requête va
être transmise en clair au système
passerelle, qui va se connecter au
réseau distant par l'intermédiaire
d’une
infrastructure de réseau public, puis
va transmettre la requête de façon
chiffrée.
L'ordinateur distant va alors
VPN (Virtual Private Network)
fournir les données au serveur VPN
de son réseau local qui va
transmettre la réponse de façon chiffrée. A la réception sur le client VPN de l'utilisateur, les données
seront déchiffrées, puis transmises à l'utilisateur. »

III. Les protocoles de tunnelisation

Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs que dans le VPN les
trames ne sont pas envoyées telles quelles, elles sont d'abord encapsulées par le protocole de tunneling, et
décapsulé par ce même protocole à l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation, la transmission et
la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation d'un même
protocole aux ordinateurs communicants (PPTP, SSL, IPsec…).
Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à savoir :
- Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F
- Les protocoles de niveau 3 tels que IPsec et MPLS
- Les protocoles de niveau 4 tels que SSL et SSH
Les principaux protocoles permettant de créer des VPN sont les suivants :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine protocole
transportant des paquets de couche 3, mais pouvant désormais aussi transporter la couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames de
couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF
(RFC 393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole
transportant des sessions PPP (couche 2).
IPsec est un protocole transportant des paquets (couche 3), issu des travaux de l'IETF,
permettant de transporter des données chiffrées pour les réseaux IP. Il est associé au protocole IKE pour
l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer du PPP
sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous Windows.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet également
l'utilisation d'un navigateur Web comme client VPN. Ce protocole est notamment utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est connecté.
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2 (L2VPN)
point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment en IPv4 (VPNv4) et/ou
IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF (Virtual routing and forwarding – tables de
routage virtuelles) sur l'ensemble du réseau MPLS.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point to Point
Protocol), c'est pourquoi nous allons tout d'abord rappeler le fonctionnement de ce protocole.

III.1 - Le protocole PPP


Le protocole PPP (Point To Point Protocol) est un ensemble de protocole standard garantissant
l'interopérabilité des logiciels d'accès distant de divers éditeurs.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire d'un serveur
PPP standard de l'industrie. PPP permet également à un serveur d'accès à distance de recevoir des appels
entrants et de garantir l'accès au réseau à des logiciels d'accès distant d'autres éditeurs, conformes aux
normes PPP.
Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres plateformes, sans
avoir besoin d'installer un autre logiciel. Malheureusement, il est à oublier car il n'est pas réputé fiable.

III.2 - Le protocole PPTP


Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des trames sous le
protocole PPP et de les encapsuler dans un datagramme IP.
Protocole en partie développé par Microsoft, il est le protocole standard pour VPN depuis sa
création. Premier protocole VPN à être pris en charge par Windows, PPTP offre une bonne sécurité en
s’appuyant sur toute une gamme de méthodes d’authentification, comme MS_CHAP v2, la plus courante
du lot.
Chaque appareil ou plateforme compatible avec un VPN a le mode PPTP par défaut, et puisqu’il
est simple à configurer, il reste le choix le plus courant pour les fournisseurs de VPN, mais aussi les
entreprises.
Son installation ne nécessite pas de performance techniques avancées, le rendant l’un des
protocoles VPN les plus rapides du marché.
Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques vulnérabilités en
matière de sécurité, la plus sérieuse étant la possibilité de faille de l’authentification MS-CHAP v2.

À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été réparée par
Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser SSTP ou L2TP à la place.
Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans avoir besoin d’installer un
autre logiciel.
Inconvénient : Il est réputé pour n'être pas fiable.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

III.3 - L2TP et L2TP/IPsec


* Le protocole L2TP (Layer 2 Tunnel Protocol) est un protocole standard développé par
Cisco très proche du PPTP. Ainsi le protocole L2TP encapsule des trames protocole PPP, encapsulant
elles-mêmes d'autres protocoles (tels que IP, IPX ou encore NetBIOS).
Layer 2 Tunnel Protocol, contrairement aux autres protocoles VPN, n’offre aucune confidentialité
ni aucun cryptage au trafic qui y passe. Il est donc souvent accompagné d’une suite de protocoles appelée
IPsec pour crypter les données avant leur transmission, offrant ainsi confidentialité et sécurité aux
utilisateurs.
Tous les appareils modernes compatibles avec un VPN et tous les systèmes d’exploitation
possèdent L2TP/IPsec.
La configuration est aussi rapide et simple qu’un PPTP, mais il peut y avoir des soucis, puisque
ce protocole utilise le port 500 UDP, qui peut facilement se retrouver bloqué par des firewalls NAT. Il
faudra donc peut-être rediriger le port si on l’utilise avec un firewall.
Il n’y a pas de vulnérabilités majeures associées au cryptage IPsec, et il peut être fiable, s’il est
installé correctement.
* IPsec
IPSEC est un "Framework " qui spécifie plusieurs protocoles à utiliser afin de fournir un standard de
sécurité.
Les protocoles spécifiés par IPSEC sont :
Encapsulatlnq Securltv Payload : ESP
Il est le plus utilisé par IPSEC, ESP va encrypter les données. ESP protège également contre des
attaques basées sur du trafics " replayed "·
Authentication Header : AH
AH fournit l'authentification de la donnée. Il est peu utilisé, ESP étant plus efficace et cryptant
le tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu'il permet de
crypter les données en utilisant DES, 3DES ou AES. AH ne permet pas cela
Internet Key Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés d'authentification
utilisée par le VPN. IKE va permettre d'établir un échange de clé de manière sécurisé sur un réseau " non
sécurisé "·
Les VPN IPSEC utilisent le protocole IKE afin d'établir une communication sécurisée entre deux
« peers » à travers un réseau non sécurisé. IKE utilise l'algorithme de DIFFIE-HELLMAN afin
d'échange des clés symétriques entre deux " peers " et de configurer les paramètres de sécurités associé au
VPN. IKE utilise le port UDP 500 et envoie des « keepalive » toutes les 10 secondes.
IKE :
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur chaque " peer "·
- Permet de configurer une durée de vie pour la SA (Security association) de IPSEC. Une SA est
un " ensemble de contrat de sécurité "·
- Permet de changer les clés d'encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ... »
- Supporte l'architecture PKI.
- Permet une authentification dynamique de chaque peer.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il n’est pas aussi
efficace que les solutions SSL, et légèrement plus lent que les autres protocoles VPN.
Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires OS.
Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes et peut poser problème si
on l’utilise avec un firewall restrictif.

III.4 - SSL (Secure Sockets Layer) / TLS (Transport Layer Security)


Ce sont des protocoles permettant de sécuriser les échanges sur internet. Développé à l'origine
sous le nom SSL par Netspace, l'IETF en reprend le développement en le rebaptisant TLS. Ce sont des
protocoles très largement utilisé car les protocoles de la couche application comme HTTP n'ont pas
besoin d'être profondément modifiés pour utiliser une connexion sécurisée. Ils sont seulement
implémentés au-dessus de ces protocoles, ce qui donne pour le HTTP : le HTTPS.
Avantages : Il permet l'utilisation d'un navigateur Web comme client VPN.

III.5 - OpenVPN
« Technologie open source relativement récente, OpenVPN utilise les protocoles SSLv3/TLSv1
et la bibliothèque OpenSSL, avec une combinaison d’autres technologies, pour offrir à ses utilisateurs une
solution VPN fiable et solide. Le protocole est facilement configurable et fonctionne le mieux avec un
port UDP, mais il peut être configuré pour fonctionner sur n’importe quel port, rendant difficile pour
Google et d’autres services similaires de le bloquer.
Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL prend en
charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES, Camellia, Blowfish,
CAST-128 et bien plus encore, même si Blowfish et AES sont presque exclusivement utilisé par les
fournisseurs de VPN.
Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le considère comme
la référence absolue. C’est tout simplement parce qu’il n’a pas de faille connue, et il a été adopté par le
gouvernement américain et ses agences pour protéger des données sécurisées.

Tout d’abord, la vitesse de performance de protocole OpenVPN dépend du niveau de cryptage


utilisé, mais c’est en principe plus rapide que IPsec.
Au niveau de la configuration, c’est un peu plus ardu quand on compare avec L2TP/IPsec et
PPTP, particulièrement quand on utilise le OpenVPN classique. Non seulement il vous faudra télécharger
et installer le client, mais aussi des fichiers de configuration additionnels, peu évidents. De nombreux
fournisseurs de VPN vivent ce problème de configuration dû au nombre de clients VPN customisés.
Les preuves mathématiques indiquent qu’OpenVPN, quand il est combiné à un cryptage solide,
est le seul protocole VPN qui peut être considéré comme sûr. » Source :
https://fr.vpnmentor.com

Avantage : Hautement sécurisé et configurable. Il peut contourner facilement les pares-feux et étant
open source, on peut facilement vérifier la présence de backdoors.
Inconvénients : Nécessite des logiciels tiers.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

IV. Différentes catégories de VPN


Il existe 02 grandes catégories d’utilisation des VPN. En étudiant ces schémas d’illustration, il est possible
d’isoler les fonctionnalités indispensables des VPN.

IV.1 – VPN to site ou VPN nomade ou VPN Remote-Access

Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au réseau privé. Il
est utilisé pour accéder à certaines ressources prédéfinies d'une entreprise sans y être physiquement
présent.

Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite se connecter au
réseau de son entreprise tout en étant géographiquement éloigné. L’utilisateur se sert d'une connexion
Internet pour établir la connexion VPN. Il existe deux cas :

- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée vers le serveur
distant : il communique avec le Nas (Network Access Server) du fournisseur d'accès et c'est le
Nas qui établit la connexion cryptée.

- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il établit directement la
communication de manière cryptée vers le réseau de l'entreprise.

Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :

- La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant plusieurs


tunnels, mais nécessite un fournisseur d'accès proposant un NAS compatible avec la solution
VPN choisie par l'entreprise. De plus, la demande de connexion par le NAS n'est pas cryptée
ce qui peut poser des problèmes de sécurité.

- La deuxième méthode, ce problème disparaît puisque l’intégralité des informations sera cryptée
dès l’établissement de la connexion. Par contre, cette solution nécessite que chaque client
transporte avec lui le logiciel, lui permettant d’établir une communication cryptée. Pour pallier à
ce genre de problème certaines entreprises mettent en place des VPN à base du protocole SSL,
technologie implémentée dans la majorité des navigateurs Internet du marché.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre bien l’importance
dans le VPN d'avoir une authentification forte des utilisateurs. Cette authentification peut se faire par une
vérification "login / mot de passe", par un algorithme dit "Tokens sécurisés" (utilisation de mots de passe
aléatoires) ou par certificats numériques.

IV.2 - L'intranet VPN ou VPN Site-to-Site

L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type de réseau est
particulièrement utile au sein d'une entreprise possédant plusieurs sites distants. Le plus important dans
ce type de réseau est de garantir la sécurité et l'intégrité des données. Certaines données très sensibles
peuvent être amenées à transiter sur le VPN (base de données clients, informations financières...).
Des techniques de cryptographie sont mises en
œuvre pour vérifier que les données n'ont pas été altérées, on parle d’intégralité.

Il s'agit d'une authentification au niveau paquet pour assurer la validité des données, de
l'identification de leur source ainsi que leur non-répudiation. La plupart des algorithmes utilisés font
appel à des signatures numériques qui sont ajoutées aux paquets.

La confidentialité des données est, elle aussi, basée sur des algorithmes de cryptographie. La
technologie en la matière est suffisamment avancée pour permettre une sécurité quasi parfaite.
Généralement pour la confidentialité, le codage en lui-même pourrait être moyen voir faible, mais sera
combiné avec d'autres techniques comme l'encapsulation IP dans IP pour assurer une sécurité raisonnable.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 3 : Administration et sécurité

I. GESTION DE L’ADRESSAGE

Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement (ou le routage)
des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d’adresses IP qui
correspondent à des regroupements en réseaux de même taille. Les réseaux de la même classe ont le
même nombre d’hôtes maximum.

En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la configuration des
différents nœuds (poste, routeur) du réseau.

En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines (sans adresses broadcast
et réseau) et a un masque réseau qui est 255.255.255.0.

Pour prévoir une extensibilité future du réseau, il convient d’attribuer une adresse de cette classe à chacun
des sites. Les adresses étant différentes, les différents sites ne pourront pas communiquer sans
l’implémentation d’un mécanisme de routage soit par un routeur ou un commutateur multicouche
(commutateur faisant le routage IP). Nous opterons pour le commutateur multicouche, étant donné qu’il
est plus rapide dans le traitement en interne.

Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la segmentation et réduire le
domaine de collision.

Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que les
communications autorisées, des VLAN et un routage Inter-VLAN sera définis.

Tableaux n° 10 : Tableaux donnant une répartition des Vlans et de l’adressage

Equipements Login par défaut IP dans le réseau


Routeur & Switch 192.168.1.0/24 Vlan 1
Serveur de Domaine & 192.168.2.0/24 Vlan 2
Hyperviseur
Copieurs IP & 192.168.3.0/24 Vlan 3
Imprimantes
Téléphone IP + Autocom 192.168.4.0/24 Vlan 4
VoIP
Pointeuse Biométrique 192.168.5.0/24 Vlan 5
(IP)
Camera et Serveur de 192.168.6.0/24 Vlan 6
Vidéosurveillance

Source : Nos réalisations

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II. SECURITE DES LIAISONS ET DE L’ACCES AUX SERVICES

Dès lors que le réseau privé transite par internet, le problème de la sécurité se pose : les informations
qu’il véhicule possèdent de la valeur et ne doivent pas être accessibles à tout le monde, l’infrastructure
réseau n’y échappent pas aussi. Il convient donc de mettre en place toute une politique de sécurité pour
garantir un maximum de sécurité.

II.1 - Charte de sécurité

La charte de sécurité définit un ensemble de règles de bonne conduite à respecter par les utilisateurs
dans le but de faciliter le déploiement de la politique sécurité.

Il s’agit d’un document qui garantit à tous une libre circulation de l’information, un libre accès aux
ressources informatiques, électroniques et numériques dans le respect de la légalité.

Elle sert également à faire prendre conscience aux utilisateurs de certains risques qu’ils pourraient
encourir et des conséquences de tels risques.

Nous allons donc rédiger une stratégie de sécurité qui concernera tous les utilisateurs du réseau à
déployer, en les éduquant aux bonnes conduites à tenir.

II.2 – Sécurité logicielle

C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour protéger le réseau
contre toutes sortes de compromissions, d’agressions venant de l’extérieur et même de l’intérieur.

- Pare-feu et Antivirus :

 Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau filtrant tout ce
qui entre et tout ce qui sort du réseau (services Netbios, RPC, Telnet, NFS…).
 Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux données
confidentielles.
 Installer des programmes antivirus mis à jour régulièrement sur tous les postes.

- Authentification :

 Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2-
PSK(AES).
 Authentification avec code d’accès pour les utilisateurs Wifi.
 Mise en place de mots de passe sur les nœuds les plus importants du réseau (serveur, routeur).

- Autres :
 Configurer des VLANs relatifs aux différents services à l’intérieur de chaque site dans le but de
ne permettre que les communications autorisées entre ces services.
 Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) : HTTPS, SSH,
IMAPS, DNSSEC, etc.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

II.3 Sécurité physique

Elle concerne tous les dispositifs déjà mis en place pour assurer le bon fonctionnement et la protection
des équipements.

- Protection électrique des équipements

Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif permettant de protéger
des matériels électroniques contre les aléas électriques. Il s’agit ainsi d’un boîtier placé en interface entre
le réseau électrique (branché sur le secteur) et les matériels à protéger afin d’éviter des pertes de données
et des interruptions de service, voire des dégâts matériels.

- Protection Mécanique des équipements

Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets sécurisés (panneaux de
brassage) pour éviter tout désagrément. Les équipements du réseau cœur seront par ailleurs centralisés
dans la salle serveur qui est mieux protégée par une porte à accès biométrique si possible.

- Système de refroidissement

Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés d’un split fonctionnant
à une température abordable afin de protéger les composants électroniques.

Conclusion de la deuxième partie

Cette partie de nos recherches, est une partie charnière qui a eu pour effet de mieux appréhender
la teneur de notre projet tout en cernant mieux les contours.
Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en place des VPN
intersite et qu’une technologie, l’IPSec semblent s’imposer aujourd’hui pour la construction des VPN
site-to-site. Nous avons appris plusieurs points clés tel que :
- La technologie IPSec permet d’offrir des services de sécurité classiques (authentification,
confidentialité, intégrité, etc.) pour chaque datagramme transitant par un réseau de transport (par
exemple, Internet).

- Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un fournisseur de
service dans le cadre d’infogérance. Deux limitations essentielles sont à retenir pour cette
technologie : (1) elle ne permet pas de gérer la qualité de service en cœur du réseau ; (2) elle ne
transporte que les datagrammes IP.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Troisième partie :
Mise en œuvre de l’interconnexion

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Introduction de la troisième partie

Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment mettre en
place un système VPN.

Les chapitres de cette partie présentent donc de façon analytique cette étude de cas :
- Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de mettre en exergue les
besoins en moyen tant logistiques que matériels pour la bonne exécution du projet aussi il sera fait
mention du planning.

- Le chapitre 2 traite la configuration des équipements VPN, partie essentielle de notre mémoire, ce
chapitre sera notre champ d’étude approfondi.

- Le chapitre 3 aborde la question de l’estimation financière du projet.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

CHAPITRE I : Plan d’action de déploiement


Les tunnels VPN IPsec de site à site sont utilisés pour permettre la transmission sécurisée de
données, de voix et de vidéo entre deux ou plusieurs sites (Dans notre cas entre notre siège et nos
succursales). Le tunnel VPN est créé sur le réseau public Internet et crypté à l’aide d’un certain nombre
d’algorithmes de cryptage avancés pour assurer la confidentialité des données transmises entre les deux
sites.

Aussi, il a été défini un programme d’exécution des tâches en vue de la réalisation du projet.
Celui-ci met en synergie plusieurs moyens qui seront défini ci-après.

I. Les moyens

I.1 - Moyens humains

Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et peut en être
l'architecte.

Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle de patron, le
maître d'œuvre est responsable du bon déroulement des travaux et joue un rôle de conseil dans le choix
des entreprises qui vont les réaliser.

Il est responsable du suivi des délais et des budgets selon les modalités définies dans le cahier des
clauses administratives particulières. Dans notre cas, à la SOROUBAT, le département informatique tient
ce rôle pour ce qui est du projet réel de conception d'un réseau VPN site-à site. Le maître d'ouvrage, qui
se comporte dans ce cas comme le commanditaire du projet reviendra à la direction de la SOROUBAT.

En principe, une fois le projet réalisé et livré, il est important de déléguer d’ordinaire la
responsabilité du suivi du système mis en place à un personnel spécial du Département Informatique.

I.2 - Moyens matériels

Les équipements définis dans le tableau ci-après ont été choisi selon les principes de :

- Performances, haute sécurité et fiabilité haut de gamme ;

- Configuration rapide et facile ;

- Prise en charge d’un éventail extrêmement large d’applications sur une même plateforme avec,
notamment, l’intégration des données, de la voix, de la vidéo ;

Equipements Quantité
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U 05
(Pour les 05 sites distants)
Switch CISCO Small Business SG 350X -48 – Rackable 48 X 05
1000Base-T

Onduleur UPS 2000 VA (Pour armoire informatique) 05

Tableau n° 11 : Equipements à Installer

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Les équipements sont fournis par la SOROUBAT et installés par nos services.

I.3 - Moyens logistiques

Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les différents sites
durant tout le déploiement.

Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer sur un avion de la
compagnie AIR IVOIRE, le coût du transport étant à la charge de la SOROUBAT.

Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi instantanée.

II. Nombre de sites à installer

Nous aurons à installer trois (3) sites selon les coordonnées suivantes :

Tableau n° 12 : Coordonnées Géographiques des sites à installer

SITES Longitude Latitude Distance


Taabo 6.256893 -5.138010 161,72 Km
Bassam 5.213186 -3.749728 32.6 Km
Odienné 9.672539 -6.945121 559,57 Km
Daloa 6.895249 -6.466118 319.92 Km
PK 22 5.409668 -4.156859 18.97 Km
Source : Nos réalisations

III. Le planning

- Une moyenne de 1 jour par site est prévue


- Une marge de manœuvre de 3 jours pour les déplacements et divers (Voir tableau ci-dessous)

Tableau n° 13 : Planning des installations


SITE DATE
Taabo 03 Jours
Bassam 02 Jours

Odienné 05 Jours
Daloa 03 Jours
PK 22 01 Jours
TOTAL 14 Jours
Source : Nos réalisations

Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril 2017. Après dépôt
préalable du projet le 03 Avril 2017 auprès du service Financier de SOROUBAT pour validation du
budget. Le chronogramme détaillé de ce planning donne le programme qui suit :

• Jusqu’ au Mercredi 03 Mai 2017 : Configuration des équipements ;


• Lundi 08 Mai 2017 : Effectuer des tests de latence du réseau et de l’accessibilité aux services VPN sur
tous les sites distants ;

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 2 : Configuration des équipements et services.


L’installation, la configuration des serveurs et des équipements d’interconnexion (routeurs et
switch) se feront de façon identique sur les cinq sites distants. Pour éviter la redondance nous vous
présenterons les configurations sur un routeur à titre de référant pour les autres switch et routeurs
configurés.
On dispose d’un Switch de niveau 3 (48ports FastEthernet, 2 ports Gigabits) et d’un routeur (1 port
Gigabit, 1 port série). On souhaite diviser le switch en 6 VLANS disposant chacun de 6 Interfaces Fa.

I. Configuration Vlan du switch CISCO

Switch CISCO Small Business SG 350X (48 Ports)

1. VLAN1 : 192.168.1.0 / 255.255.255.0 Fa0/1-Fa0/8 (vlan10 routeur)


2. VLAN2 : 192.168.2.0 / 255.255.255.0 Fa0/9-Fa0/16 (vlan20 PC)
3. VLAN3 : 192.168.3.0 / 255.255.255.0 Fa0/17-Fa0/24 (vlan30 imprimante)
4. VLAN4 : 192.168.4.0 / 255.255.255.0 Fa0/25-Fa0/32 (vlan40 VoIP)
5. VLAN5 : 192.168.5.0 / 255.255.255.0 Fa0/33-Fa0/40 (vlan50 pointeuse)
6. VLAN6 : 192.168.6.0 / 255.255.255.0 Fa0/41-Fa0/48 (vlan60 camera)

Etape 1 :

Configuration du nom et mot de passe du switch

Switch>en Switch#configure terminal


Enter configuration commands, one per line.End with CNTL/Z. Switch (config)#hostname
SRBCI (config) #enable secret admin@sorou

Création des Vlan et des SVI (IP de gestion aux commutateurs)

« On crée et on configure les VLAN 1, 2, 3, 4, 5 et 6 avec respectivement les adresses 192.168.1.254,


192.168.2.254, 192.168.3.254, 192.168.4.254, 192.168.5.254, 192.168.6.254 et un masque de
255.255.255.0.

NB : Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP à chaque VLAN créer
sur un switch, sauf dans le cas d’un switch niveau 3.
Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée pour chaque VLAN. Cependant,
cela permet dans une certaine mesure de tester le routage inter-vlan sans avoir besoin de connecter de machine
sur le switch. »

SRBCI (config)#vlan 1
SRBCI (config-vlan)#name routeur SRBCI(config-vlan)#exit SRBCI(config)#interface vlan
%LINK-5-CHANGED: Interface Vlan1, changed state to up SRBCI(config-if)#ip address 192
SRBCI(config-if)#exit

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

SRBCI(config)#vlan 20
SRBCI(config-vlan)#name PC
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 20
%LINK-5-CHANGED: Interface Vlan20, changed state to up
SRBCI(config-if)#ip address 192.168.2.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 30
SRBCI(config-vlan)#name Imprimante
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 30
%LINK-5-CHANGED: Interface Vlan30, changed state to up
SRBCI(config-if)#ip address 192.168.3.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 40
SRBCI(config-vlan)#name VoIP
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 40
%LINK-5-CHANGED: Interface Vlan40, changed state to up
SRBCI(config-if)#ip address 192.168.4.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI (config)#vlan 50
SRBCI(config-vlan)#name Pointeuse
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 50
%LINK-5-CHANGED: Interface Vlan50, changed state to up
SRBCI(config-if)#ip address 192.168.5.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

SRBCI(config)#vlan 60
SRBCI(config-vlan)#name Camera
SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 60
%LINK-5-CHANGED: Interface Vlan60, changed state to up
SRBCI(config-if)#ip address 192.168.6.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config-if)#exit

Activation du routage sur le switch

SRBCI(config)#ip routing

Attributions des interfaces

Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs ports à partir des commandes
suivantes :
SRBCI (config)#interface nom_interface
SRBCI (config-if)#switchport mode access

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

SRBCI (config-if)#switchport access vlan id_vlan


SRBCI (config-if)#exit

On place maintenant les interfaces dans les vlans.


*Astuce : Pour configurer plusieurs ports dans un VLAN, on peut utiliser la variable range.

SRBCI(config)#interface range fastEthernet0/1-8


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 10
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/9-16


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 20
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/17-24


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 30
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/25-32


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 40
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/33-40


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 50
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

SRBCI(config)#interface range fa0/41-48


SRBCI(config-if-range)#switchport mode access
SRBCI(config-if-range)#switchport access vlan 60
SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit

Vérification de la bonne mise en place des VLAN « show vlan brief »

SRBCI #show vlan brief


VLAN Name Status Ports

1 default active Gig1/1, Gig1/2

2 VLAN10 active Fa0/1, Fa0/2, Fa0/3, Fa0/4,Fa0/5


Fa0/6, Fa0/7, Fa0/8
3 VLAN20 active Fa0/9, Fa0/10, Fa0/11, Fa0/12,Fa0/13
Fa0/14, Fa0/15, Fa0/16
4 VLAN30 active Fa0/17, Fa0/18, Fa0/19, Fa0/20,Fa0/21
Fa0/22, Fa0/23, Fa0/24
5 VLAN40 active Fa0/25, Fa0/26, Fa0/27, Fa0/28, Fa0/29
Fa0/30, Fa0/31, Fa0/32

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

6 VLAN50 active Fa0/33, Fa0/34, Fa0/35, Fa0/36, Fa0/37


Fa0/38, Fa0/39, Fa0/40
7 VLAN60 active Fa0/41, Fa0/42, Fa0/43, Fa0/44, Fa0/45
Fa0/46, Fa0/47, Fa0/48

Sauvegardons notre configuration

SRBCI # copy running-config startup-config Destination filename [startup-config]? [en


Building configuration… [OK]

Configuration des Vlan avec le routeur

On passe maintenant à la configuration de la liaison avec le routeur qui doit être un trunk. On utilise ici
l’interface Gigabit 1/1.

SRBCI(config)#interface g1/1
SRBCI (config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state to
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state to
SRBCI (config-if)#exit

Configuration du routeur en mode inter-vlan

On va s’occuper maintenant de la configuration du routeur, sur lequel on créera des sous- interfaces pour
chaque VLAN supplémentaires créés. Et de les configurer (IP, …). A noter qu’il faut
configurer l’encapsulation de la sous interface pour pouvoir lui attribuer une adresse IP.

RSIEGE >en
RSIEGE #conf t
Enter configuration commands, one per line.End with CNTL/Z. RSIEGE(config)#int gigabi
RSIEGE (config-if)#ip address 192.168.1.1 255.255.255.0 RSIEGE (config-if)#no shut

Ceci correspond à l’adresse principale de l’interface, et également au VLAN1 (Vlan Natif). Créons maintenant
la sous-interface pour le VLAN2, 3, 4, 5, 6.

RSIEGE (config)#interface gigabitEthernet 0/0.2


%LINK-5-CHANGED: Interface GigabitEthernet0/0.2, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.2, changed state t
RSIEGE (config-subif)#encapsulation dot1Q 2
RSIEGE (config-subif)#ip address 192.168.2.1 255.255.255.0 RSIEGE (config-subif)#no s
RSIEGE (config-subif)#exit

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

RSIEGE (config)#interface gigabitEthernet 0/0.3


%LINK-5-CHANGED: Interface GigabitEthernet0/0.3, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.3,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 3
RSIEGE(config-subif)#ip address 192.168.3.1 255.255.255.0

RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE (config)#interface gigabitEthernet 0/0.4


%LINK-5-CHANGED: Interface GigabitEthernet0/0.4, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.4,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 4
RSIEGE(config-subif)#ip address 192.168.4.1 255.255.255.0
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE(config)#interface gigabitEthernet 0/0.5


%LINK-5-CHANGED: Interface GigabitEthernet0/0.5, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.5,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 5
RSIEGE(config-subif)#ip address 192.168.5.1 255.255.255.0
RSIEGERSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

RSIEGE(config)#interface gigabitEthernet 0/0.6


%LINK-5-CHANGED: Interface GigabitEthernet0/0.6, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.6,
changed state to up
RSIEGE(config-subif)#encapsulation dot1Q 6
RSIEGE(config-subif)#ip address 192.168.6.1 255.255.255.0
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit

Dans la commande « encapsulation dot1Q X », le chiffre X en fin de ligne correspond au n° du VLAN

II. Configuration VPN du routeur CISCO

La SOROUBAT ayant besoin d’une connexion WAN entre son siège et ses succursales basées à
l’intérieur du pays, nous allons créer une liaison avec un tunnel IPsec.

IPsec est un protocole VPN qui fonctionne sur la couche 3 du modèle OSI. C’est aussi un standard
IETF, ce qui signifie que nous pouvons l’utiliser entre les équipements de différents fabricants.

Les VPN IPSEC pour rappel permettent :


- Une authentification de chaque paquet.
- Une vérification de l’intégrité des données de chaque paquet.
- De rendre confidentiels les données de chaque paquet IP.

Le diagramme ci-dessous montre notre scénario simple. Les deux sites ont une adresse IP publique
statique, comme indiqué dans le diagramme.
R1 est configuré avec 105.235.19.10 /24 et R2 avec l'adresse IP 160.120.145.178 /24.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

À partir de maintenant, les deux routeurs ont une configuration très basique telle que adresses IP, NAT
overload, route par défaut, noms d'hôte, connexions SSH, etc.

Chaque site étant une image d'un petit réseau disposant d'un accès à internet, la configuration se fera
en 02 étapes :

 Configuration du routage pour que les deux réseaux puissent communiquer


 Configuration du VPN

Configuration du routage pour que les deux réseaux puissent communiquer

Prérequis
Avant de commencer à configurer le VPN IPsec, toujours s’assurer que les deux routeurs peuvent se
joindre.

II.1 Configuration de base des routeurs (SIEGE-FAI-TAABO)


* Configuration des interfaces WAN et LAN (RSIEGE)
Router(config)#hostname
* Configuration desRSIEGE
interfaces WAN (FAI)
RSIEGE(config)#interface s0/0/0
RSIEGE(config-if)#ip address 105.235.19.10 255.255.255.0
FAI# configure terminalshutdown
RSIEGE(config-if)#no
FAI (config)#interface s0/0/1
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
FAI (config-if)#ip addresse 105.235.19.11
%LINEPROTO-5-UPDOWN: 255.255.255.0
Line protocol on Interface Serial0/0/0, changed state to up
FAI (config-if)#no shut
RSIEGE(config-if)#exit
FAI (config-if)#
RSIEGE(config)#interface g0/0
%LINK-5-CHANGED:address
RSIEGE(config-if)#ip Interface Serial0/0/1, 255.255.255.0
192.168.1.254 changed state to up
RSIEGE(config-if)#no shutdown

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to up FAI


(config-if)#exit
FAI (config)#interface s0/0/0
FAI (config-if)#ip addresse 160.120.145.10 255.255.255.0

* Configuration de l’interface WAN et LAN (RTAABO)


RTAABO(config)#interface s0/0/0
II.2 Configuration
RTAABO(config-if)#ip de la route par
address 160.120.145.178 défaut, routeurs (SIEGE-FAI-TAABO).
255.255.255.0
RTAABO(config-if)#no shutdown
RTAABO (config-if)#des routes sur routeur SIEGE (RSIEGE)
* Configuration
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
RSIEGE(config)#ip
* Configuration route
%LINEPROTO-5-UPDOWN: 0.0.0.0
des routes sur0.0.0.0
routeur105.235.19.11
Line protocol
FAI
on Interface Serial0/0/0, changed state to up
FAI(config)#ip route 0.0.0.0 0.0.0.0 105.235.19.10
RTAABO(config-if)#exit
RTAABO(config)#interface
FAI(config)#ip route 0.0.0.0g0/0
0.0.0.0 160.120.145.178
RTAABO(config-if)#ip address 192.168.2.254 255.255.255.0
* Configuration des routes sur routeur TAABO (RTAABO)
RTAABO(config-if)#no shut down
RTAABO (config-if)# route 0.0.0.0 0.0.0.0 160.120.145.10
RTAABO(config)#ip
Après un ping de Interface
%LINK-5-CHANGED: vérification, nous pouvons confirmer
GigabitEthernet0/0, que to
changed state lesuptrois routeurs peuvent
communiquer. Maintenant que le routage s'est bien passé nous
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0, allons sécuriser
changedle state
réseau.
to up
RTAABO(config-if)#exit
II.3 Mise en place d'un VPN IPsec

Nous avons 6 étapes à suivre pour la mise en place du VPN


 Définir la politique ISAKMP (IKE Phase1 : Méthode de chiffrement, durée de vie, méthode
d’intégrité, ce qui va permettre de définir une IKE Security Association).
 Créer la clé partagée
 Créer une transform-set (IKE Phase2 : Nous allons configurer les politiques de sécurité
IPSec « protocole esp, vérifier le type de liaison » afin d’avoir un IPSec Security Association).
 Mettre en place une ACL (qui définira quel trafic peut/doit emprunter le VPN)
 Créer un crypto map
 Appliquer le crypto map à l’interface de sortie du routeur

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

- Configuration du routeur site 1 (Routeur Siege)


On s’assure tout d’abord que l’IOS de notre routeur supporte le VPN à travers la commande « sh version
» en mode configuration ou faire une MAJ de l’IOS vers un /K9, ensuite nous entamons la première
partie qui consiste à configurer la politique c’est-à-dire qu’elle encryption on utilise, qu’elle hash quel
type d’authentification, etc.

Étape 1. Définition de la politique ISAKMP

RSIEGE(config)#crypto isakmp enable


Voici les détails de chaque commande utilisée ci-dessus,
 RSIEGE(config)#crypto
Crypto isakmp policyisakmp policy
1 - Cette 1
commande crée la stratégie ISAKMP numéro 1. Nous pouvions
RSIEGE(config-isakmp)#encryption
créer plusieurs stratégies, par exemple aes7, 8, 9 avec une configuration différente. Les routeurs
participant à la négociation de la md5
RSIEGE(config-isakmp)#hash phase 1 essaient de faire correspondre une stratégie ISAKMP à la liste
des stratégies une par une. Si une stratégie est
RSIEGE(config-isakmp)#authentication mise en correspondance, la négociation IPSec passe à la
pre-
phase suivante. On crée donc
share RSIEGE(config-isakmp)#group 2 ici une stratégie avec un numéro de séquence 1.
Ce numéro indique la priorité
RSIEGE(config-isakmp)#lifetime de l'utilisation de la stratégie. Plus petit est ce nombre plus la priorité est
grande.
86400 RSIEGE(config-isakmp)#exit
 authentication pre-share - La méthode d'authentification est la clé pré-partagée.
 encryption 3aes - L’algorithme de cryptage 3AES (Advanced Encryption Standard) sera
utilisé pour la confidentialité.
 hash md5 - L’ algorithme de hachage md5 sera utilisée pour l'intégrité.
 group 2 - Méthode de distribution des clés partagées DH-2. Le groupe Diffie-Hellman utilisé ici
est le groupe 2 pour la méthode d’échange des clés.
 lifetime 86400 - Spécifie le temps de validité de la connexion avant une nouvelle négociation des
clefs. (Valeur par défaut)

Ensuite, toujours dans la première partie, nous créons la clé partagée

Étape 2. Création de la clé de partage

 crypto isakmp key cisco@123


RSIEGE(config)#crypto isakmp keyaddress
cisco@123 160.120.145.178- On crée ainsi la clé pré-
address 160.120.145.178
partagée, ici «cisco@123» qu'on associe avec l'adresse IP de l'homologue à l'autre bout du
tunnel ici 160.120.145.178.
On définit par ailleurs si on doit identifier le routeur par son adresse ou par son hostname (ici on
choisit l'adresse publique fixe), l'identification par hostname peut être utile si on fonctionne
avec une adresse publique dynamique, ce qui permet d'éviter trop de modifications de
configuration en cas de changement d'adresse.

La deuxième partie, quant à elle consiste à définir comment les données seront cryptées. Tout

d'abord on crée la méthode de cryptage (transform-set) que l'on nomme ici vpnset.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Étape 3. Création d’une transform-set

RSIEGE(config)#crypto
Voici le détail de la commandeipsec transform-set
utilisée ci-dessus, vpnset esp-aes esp-md5-hmac
RSIEGE(cfg-crypto-trans)#crypto ipsec security-association
 crypto ipsec transform-set vpnset - Crée un ensemble de transformationlifetimeappelé
seconds
vpnset
 3600 RSIEGE(cfg-crypto-trans)#exit
esp-aes - la méthode de cryptage AES et le protocole ESP IPSec seront utilisés.
 esp-md5-hmac - L'algorithme de hachage MD5 sera utilisé.
 crypto ipsec security-association lifetime seconds- Il s'agit de la durée de vie de la clé de
cryptage.

Nous prenons soin de vérifier d’avoir utilisé les mêmes protocoles d’encryptions et de Hash utilisés dans la
première étape.

Dans notre cas : Encryption : aes, hash : md5

Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic intéressant (ACL).

Nous créons la crypto ACL qui est une ACL qui va identifier le trafic « intéressant » c’est à dire le trafic
qui doit passer par le tunnel VPN (ici c’est le trafic depuis le LAN SIEGE vers le LAN TAABO, ça sera
l’inverse sur l’autre routeur). Le trafic permit par cette ACL sera chiffré dans le tunnel IPSEC, le reste
non…On crée donc une access-list étendue :
Cette ACL définit le trafic qui doit passer par le tunnel VPN. Ici, le trafic en provenance du réseau
RSIEGE(config)#ip
192.168.1.0 access-list
vers le réseau 192.168.2.0extended vpn-traffic
sera acheminé via le tunnel VPN. Cette ACL sera utilisée à l’étape
5 RSIEGE(config-ext-nacl)#permit
de Crypto Map. ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
RSIEGE(config-ext-nacl)#exit
Étape 5. Configuration de Crypto Map.

Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : La politique IPSec,
l’adresse IP du routeur distant avec lequel on veut communiquer, la crypto ACL et le transform-set pour
la politique IPSec.
Voici le détail de la commande
RSIEGE(config)#crypto maputilisée ci-dessus,10 ipsec-isakmp
IPSEC-VPN
% ipsec-isakmp
NOTE: This new - Crée une nouvelle
crypto map will carte de chiffrement
remain disabledavec
untille anuméro de séquence 10. On peut
peer plusieurs
créer and a valid access
numéros list have
de séquence been
avec configured.
le même nom, si on a plusieurs sites.
RSIEGE(config-crypto-map)#set peer
 set peer 160.120.145.178– Associe l’ IP destination, ici l'adresse IP publique de RTAABO
160.120.145.178 RSIEGE(config-crypto-map)#match
match vpn-traffic
address address vpn-traffic - Associe l’ ACL précédemment crée et nommé vpn-traffic .
RSIEGE(config-crypto-map)#set
 set transform-set vpnset - Ceci relie le transform-set à la configuration de la crypto map.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Étape 6. Application de la Crypto Map à l'interface sortante de RSIEGE.

La configuration de RSIEGE est presque terminée nous devons appliquer la crypto map sur l’interface de
sortie de ce routeur, dans notre cas s0/0/0.

UnRSIEGE(config)#int
message vous indiques0/0/0que la crypto map fonctionne.
RSIEGE(config-if)#crypto map IPSEC-VPN
*Mar 71. Exclue
Étape 19:16:14.231: %CRYPTO-6-ISAKMP_ON_OFF:
le traffic VPN du NAT Overload. ISAKMP is ON

RSIEGE(config)#ip
Au-dessus de l’ACL 101,access-list extended
le trafic intéressant sera101
exclu du NAT.
RSIEGE(config-ext-nacl)#deny ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
RSIEGE(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255
- any
Configuration du routeur site 2 (Routeur Taabo)
RSIEGE(config-ext-nacl)#exit
RSIEGE(config)#ip nat inside source list 101 interface S0/0/0 overload
La configuration est la même que pour le Routeur Siège à certaines exceptions :
 Dans l’ACL « vpn-traffic » on doit inverser l’adresse IP de l’hôte source et de l’hôte de
destination
 Dans la définition du transform-set on doit changer l’adresse du peer en mettant l’adresse IP de
RSIEGE
 Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de destination
 Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RSIEGE

Nous allons répéter les étapes de RSIEGE à l’identique sur le routeur RTAABO à l’exception de l’access-
list qui doit être inversé au vu de la source et de la destination

Étape 1. Définition de la politique ISAKMP

RTAABO(config)#crypto isakmp enable


Étape 2. Création de la clé de partage
RTAABO(config)#crypto isakmp policy 1
RTAABO(config-isakmp)#encryption aes
RTAABO(config)#crypto isakmp
RTAABO(config-isakmp)#hash key cisco@123 address 105.235.19.10
md5
RTAABO(config-isakmp)#authentication pre-
share RTAABO(config-isakmp)#group 2
RTAABO(config-isakmp)#lifetime
86400 RTAABO(config-isakmp)#exit

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Étape 3. Création d’une transform-set

RTAABO(config)#crypto
Étape ipsec
4. Configuration de la liste de transform-set vpnset
contrôle d'accès esp-aes
étendu pour esp-md5-hmac
un trafic intéressant (ACL).
RTAABO(cfg-crypto-trans)#crypto ipsec security-association lifetime seconds
RTAABO(config)#ip
Étape 5. Configurationaccess-list
de Crypto Map. extended vpn-traffic
RTAABO(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

RTAABO(config)#crypto map IPSEC-VPN 10 ipsec-isakmp


Étape 6. Application de la Crypto Map à l'interface sortante de RTAABO
% NOTE: This new crypto map will remain disabled until a
peer and a valid access list have been configured.
RTAABO(config)#int
Étape 7. Exclue le traffics0/0/0
RTAABO(config-crypto-map)#set
VPN du NAT peer 105.235.19.10
Overload
RTAABO(config-if)#crypto map IPSEC-
RTAABO(config-crypto-map)#match address vpn-
VPN
traffic RTAABO(config-crypto-map)#set
RTAABO(config)#ip access-list extendedtransform-set
101
VERIFICATION ET
RTAABO(config-ext-nacl)#deny TEST ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
RTAABO(config-ext-nacl)#permit ip 192.168.2.0 0.0.0.255
Pour tester la connexion VPN, nous envoyons tout d’abord une requête ping de PCSIEGE à PCTAABO.
any RTAABO(config-ext-nacl)#exit
RTAABO(config)#ip
PC>ping 192.168.2.10 nat inside source list 101 interface S0/0/0 overload
Pinging 192.168.2.10 with 32 bytes of data :
Reply from 192.168.2.10: bytes=32 time=2ms
TTL=126 Reply from 192.168.2.10: bytes=32
time=7ms TTL=126 Reply from 192.168.2.10:
bytes=32 time=2ms TTL=126 Reply from
192.168.2.10: bytes=32 time=2ms TTL=126
Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0%
loss), Approximate round trip times in milli-

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Pour vérifier la connexion IPSec Phase 1, on tape « show crypto isakmp sa » comme indiqué :

RSIEGE#show crypto isakmp sa IPv4 Crypto ISAKMP SA


Dstsrc
stateconn-idslotstatus QM_IDLE10260active
160.120.145.178105.235.19.10
------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto isakmp sa IPv4 Crypto ISAKMP SA

Dst 105.235.19.10 src state conn-idslotstatus 10260active


160.120.145.178QM_IDLE

QM_IDLE : Signifie que le Tunnel est bien monté. Pour vérifier la connexion IPSec Phase 2, on tape «
show crypto ipsec sa » comme indiqué :

RSIEGE#show crypto ipsec sa

interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 105.235.19.10
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
current_peer 160.120.145.178 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0
………………..

local crypto endpt.: 105.235.19.10, remote crypto endpt.:160.120.145.178


path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x133B6163(322658659)

inbound esp sas:


spi: 0x49363F4A(1228291914)
transform: esp-aes esp-md5-
hmac , in use settings ={Tunnel, }
…………….
Status:
ACTIVE
----------------------------------------------------------------------------------------------------------------------------

RTAABO#show crypto ipsec


sa interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr
160.120.145.178 protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0)
current_peer 105.235.19.10 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 0
……………….
local crypto endpt.: 160.120.145.178, remote crypto endpt.:105.235.19.10
path mtu 1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x49363F4A(1228291914)

inbound esp sas:


spi: 0x133B6163(322658659)
transform: esp-aes esp-md5-
hmac , in use settings ={Tunnel, }
………..

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Pour vérifier la crypto map, on tape « show crypto map » sur chacun des routeurs comme indiqué

RSIEGE#show crypto map


Crypto Map IPSEC-VPN 10 ipsec-
isakmp Peer = 160.120.145.178
Sur l’ordinateur
Extended PC-SIEGE
IP access nous faisons un « traceroute » vers PC-TAABO
list vpn-traffic
access-list vpn-traffic
PC>tracert 192.168.2.10 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: 160.120.145.178
Tracing route to 192.168.2.10 over a maximum of 30 hops: 1 0 ms 0 ms 0 ms 192.168.1.254
2 2Security
ms * 1 association lifetime: 4608000 kilobytes/3600 seconds
ms 160.120.145.178
PFS (Y/N): N
3 2 ms 1 ms 2 ms 192.168.2.10
Transform
sets={ vpnset,
Trace complete. <= On voit ici l’IP de RTAABO
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0

------------------------------------------------------------------------------------------------------------------------
RTAABO#show crypto map
Crypto Map IPSEC-VPN 10 ipsec-
isakmp Peer = 105.235.19.10
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 105.235.19.10
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform
sets={ vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Chapitre 3 : Estimation financière du projet


Ici, il est question de moyens financiers concernant le coût de réalisation de ce projet.

Le présent tableau apporte un résumé des dépenses effectuées en termes de matériels, cette facture fera foi de
bilan financier :

Equipements Quantité Prix Unitaire (Ttc) Prix Total (Ttc)


Routeur Cisco 1921 / K9 - 04 850.000 Fcfa 3 400 000 Fcfa
GigE- Montable sur rack -
modulaire - 1U (Pour les 04 sites
distants)
Switch CISCO Small 04 750 000 Fcfa 3 000 000 Fcfa
Business SG 350X -48 –
Rackable 48 X 1000Base-T
Onduleur UPS 2000 VA (Pour 04 150 000 Fcfa 600 000 Fcfa
armoire informatique)

TOTAL 7 000 000 Fcfa

Tableaux 12 : Estimation Financière du Projet

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

Conclusion générale

Conclusion

Le développement de la technologie en général et de l’informatique en particulier a suscité un


engouement pour la modernisation du traitement des systèmes d’information.

Ces technologies ont pu se développer grâce aux performances toujours plus importantes des
réseaux locaux. Mais le succès de ces systèmes d’information a fait aussi apparaître un de leur écueil.

Ce projet nous a permis de mieux appréhender les problèmes liés aux réseaux locaux dont ceux
relatifs au déploiement d’un réseau VPN comprenant plusieurs sites distants tout en garantissant une
qualité de service.

En outre il nous a permis de nous familiariser davantage aux équipements CISCO.

Il ressort entre autres de cette présente étude qu’il y a accord entre la réflexion théorique menée et la mise
en place pratique des VPN, constat qui à notre sens valide notre projet.

Toutes fois nous admettons que nos théories et nos réflexions bien qu’empiriques ne soient pas des vérités
indubitables et définitives.
Elles sont susceptibles d'être réfutées par des modèles plus robustes ou par des observations postérieures
divergentes qui seraient liées à l'évolution des technologies, elles-mêmes en constante mutation. C'est le
propre de toute proposition intellectuelle de s'attendre à être un jour ou l'autre dépassée.
Mais elle peut tout aussi bien être plus tard renforcée par d'autres approches et mises en place.

ESGI / DENAGNON Page


MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT (SOCIETE DE ROUTES ET

BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE


- BIBLIOGRAPHIE :

 Jean-François Challande Jean-Louis Lequeux. – Le grand livre DU DSI, Edition Eyrolles 2009 ;
 Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud Soullié, Alexandre
Anzala-Yamajako, Thomas Debize. – Sécurité informatique pour le DSI, 5 ème éditions,
editions-eyrolles
 C. Pernet. – Sécurité et espionnage informatique
 Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris, 2011 ;

- WEBOGRAPHIE :

 Mémoire « Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la BRALIMA Sarl en
RDC » : https://www.memoireonline.com/01/13/6733/m_Mise-en-place-dun-reseau- VPN-au-
sein-dune-entreprise-Cas-de-la-BRALIMA-Sarl-en-RDC17.html
 Réseau privé virtuel VPN : https://www.frameip.com/vpn/
 Les réseaux de zéro : https://openclassrooms.com/fr/courses/1561696-les-reseaux-de-
zero/3199431-les-topologies
 OpenVpn : https://fr.vpnmentor.com
 VPN site to site Ipsec: http://idum.fr/spip.php?article214
 Configure Site to Site IPSec VPN Tunnel in Cisco IOS Router :
http://www.mustbegeek.com/configure-site-to-site-ipsec-vpn-tunnel-in-cisco-ios-router/
 VPN site to site : https://www.supinfo.com/articles/single/921--vpn-site-to-site
 La mise en place d'un VPN : https://www.supinfo.com/articles/single/2384-mise-place-vpn
 Configuration d’un vpn ipsec entre deux routeurs cisco :
http://www.lolokai.com/blog/2012/03/27/configuration-dun-vpn-ipsec-entre-deux-routeurs-
cisco/
 IKE : http://pteu.fr/doku.php?id=informatique:cisco:ipsec
 CONFIGURATION D’UN VLAN SUR SWITCH CISCO :
https://www.fbotutos.com/configuration-dun-vlan-sur-switch-cisco.htm l

- VIDEOTHEQUE

 Alphorm - Reseaux Cisco (1-2) - Maitriser la sécurité


 Alphorm.Formation. Cisco.CCNA.CCNP.[Pack.Complet].Video.mp4-ArcheryTeam
 Video2Brain Fondamentaux Réseaux
 Faire communiquer des machines dans des vlans différents via un routeur (Prince Attobla)
https://www.youtube.com/watch?v=UXRphawCH4c

ESGI / DENAGNON Page

Vous aimerez peut-être aussi