Texte 2

MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT
(SOCIETE DE ROUTES ET BATIMENTS)

SOMMAIRE
SOMMAIRE ..........................................................................
.....................02
AVANTPROPOS........................................................................
................03
REMERCIEMENTS......................................................................
..............04
LISTE DES ABREVIATIONS ET DES ACRONYMES ..............................05
INTRODUCTION
GÉNÉRALE ..................................................................07
INTRODUCTION ......................................................................
................. 08 PREMIERE PARTIE : APPROCHE
METHODOLOGIQUE ...................... 10
INTRODUCTION DE LA PREMIERE PARTIE .......................................... 11
CHAPITRE 1 : PRESENTATION ET CONTEXTE DU PROJET.................12 CHAPITRE 2 :
ETUDE ET CRITIQUE DE L’EXISTANT.............................15 CONCLUSION DE LA
PREMIERE PARTIE .............................................19 DEUXIEME PARTIE :
ETUDE TECHNIQUE ET CONDITIONS DE
REALISATION........................................................................
.................... 20
INTRODUCTION DE LA DEUXIEME PARTIE............................................21
CHAPITRE 1 : GENERALITES SUR LES RESEAUX
INFORMATIQUES .....................................................................
.................22 CHAPITRE 2 : LES RESEAUX PRIVES
VIRTUELS ................................ 33 CHAPITRE 3 : ADMINISTRATION ET
SECURITE....................................40 TROISIEME PARTIE : MISE EN OEUVRE DE
L’INTERCONNEXION .....43 CHAPITRE 1 : PLAN D’ACTION DU
DEPLOIEMENT...............................45 CHAPITRE 2 : 60
CONCLUSIONGENERALE ................................................................
.......60BIBLIOGRAPHIE,
WEBOGRAPHIE ........................................................61
ISSAM MASSUSSI BILLONG Page 2
Institut supérieur des sciences art et métiers(ISSAM) réunit sept établissements

supérieurs (Groupe ESG) dans les domaines du Management, Comptabilité, Finances,
Ressources Humaines, Commerce International, Marketing, Publicité et de
l’Informatique. Le groupe compte un établissement de formation continue.
Il est de tradition, pour notre prestigieuse institution de formation qu'à la fin
d’un cursus académique, les futurs lauréats entreprennent au sein d’une entreprise
des travaux de recherche sur un thème d'actualité proposé par leurs structures
d'accueil.
Ce projet permet aux étudiants de mettre en application les connaissances
théoriques acquises pendant les trois années de formation.
Le thème de recherche qui nous a été confié est intitulé : "Mise en place d’un VPN
au sein d’une entreprise ".
Le présent document, soumis à votre approbation, tient lieu de mémoire de fin de
formation et a pour but de présenter le résultat du travail effectué sur ledit
thème.
Aussi, la présente étude n’a pas la prétention de proposer la solution idéale à la
mise en place d’une infrastructure VPN toutefois, il nous revient de chercher les
solutions idoines aux problèmes rencontrés en entreprise en nous appuyant sur
l’ensemble de notre formation académique et de nos réflexions empiriques.
Remerciements
Je rends grâce au bon Dieu de m’avoir donné la force, la volonté et la sagesse afin
de parvenir à ce niveau de formation.
Ce travail de recherche doit en partir son aboutissement à beaucoup de personnes
qu’il convient de remercier. Il aurait été certainement plus juste de remercier
nommément chacune d’elles.
Cependant, nous tenons à témoigner notre gratitude à quelques-unes de ces personnes
pour leur contribution particulière.
Une pensée particulière à mon papa chéri sans qui ce travail n'aurait pas pu
aboutir.
Je tiens à exprimer ma gratitude envers toutes les personnes qui m'ont suivi et
soutenu tout le long de mon parcours.
J’adresse mes remerciements à la direction de l’ISSAm pour m'avoir permis
d'effectuer cette formation au sein de son établissement, un grand merci
particulier à M. Jean pierre Amougou Belinga Directeur de l’université ISSAM.
J'exprime aussi ma gratitude envers mes professeurs pour m'avoir fourni une aide
précieuse ainsi que tous les renseignements nécessaires à ce travail
Grande est ma reconnaissance envers mon responsable pédagogique, M. TCHATCHOUANG
pour sa disponibilité et ses conseils qui m'ont guidé tout au long de mon cursus
universitaire.
Je remercie M. le directeur Général, de Macam Construction BTP, pour m’avoir donné
ma chance au sein de sa structure.
Aussi, merci à toutes les personnes qui ont su contribuer au bon déroulement de ce
projet de dont mes collègues
Listes des abréviations et acronymes
AES : Advanced Encryption Standard
ARP : Adress Resolution Protocol
ANSI : American National Standard Institute
ADSL : Asymmetrical bit rate Digital Subscriber Line
AES : Application Environment Service
ASCII : American Standard Code for Information Interchange
CDMA : Code Division Multiple Access
CSMA/CD : Carrier Sense Multiple Access / Collision Detection. DHCP : Dynamic Host
Configuration Protocol
DNS : Domain Name System/Service
DMZ : DeMilitarized Zone
DES : Data Encryption Standard
EAP : Extensible Authentication Protocol
ERP : Enterprise Resource Planning
FAI : Fournisseur d'Accès Internet
FDDI : Fiber Distributed Data Interface
FTP : File Transfer Protocol
HTTP : Hyper Text Transfer Protocol
HTML : Hyper Text Markup Language
IKE : Internet Key Exchange
ISO : International Standards Organisation.
ISP : Internet Service Provider
IEEE : Institute of Electrical and Electronics Engineers
ICMP : Internet Control Message Protocol
IPSEC : Internet Protocol Security
ISAKMP : Internet Security Association and Key Management Protocol
L2F : Layer Two Forwarding
L2TP : Layer Two Tunneling Protocol MAC : Message Authentification Code
MAU : Multisession Access Unit.
NAT : Network Adress Traduction
NAS : Network Attached Storage
NTIC : Nouvelles Technologies de l'Information et de la Communication OSI : Open
Systems Interconnection
PPP : Point To Point Protocol
PoE : Power over Ethernet
PKI : Public Key Infrastructure
PING : Packet Internet Groper.
PPTP : Point To Point Tunneling Protocol QoS : Quality Of Service
RA : Registration Authority
RFC : Request For Comments
RIP : Routing Information Protocol
RNIS : Réseau Numérique à Intégration de Services
SHA : Secure Hash Algorithm
SSL : Secure Socket Layer
STP : Shielded Twisted Pair
SA : Security Association
SNMP : Simple Network Management Protocol.
SARL : Société par Actions à la Responsabilité Limité
SOROUBAT : Société Route et Bâtiments
TCP/IP : Transmission Control Protocol/Internet Protocol
UDP : User Datagram Protocol
UTP : Unshielded Twisted Pair
VSAT : Very Small Aperture Terminal
WAN : Wide Area Network ou réseau Etendu
WIFI : Wireless Fidelity
ESGI / UFRA DENAGNON FRANCK Page 6
Introduction
Naguère, considéré comme un facteur non déterminant de progrès, les
télécommunications ont acquis ces dernières décennies une importance indéniable.
Aujourd’hui, aussi indispensable que l’eau et l’électricité, aucun développement ne
saurait se faire sans elles.
La preuve en est qu’une longue panne des réseaux de télécommunications (Téléphonie,
fax ou encore internet), de nos jours paralyserait bons nombres de services
(entreprises, institutions, administrations, etc...).
C’est ainsi que résolument inscrit dans une logique d’émergence, l’Etat du Cameroun
, a entrepris des réformes dans le domaine de la télécommunication visant à
informatiser les différents secteurs d’activité.
Et comme tout progrès engendre de nouveaux défis, au fil du temps naquit un autre
besoin qui était celui d’avoir accès à tout moment et de n’importe où aux
ressources offertes par les entités informatisées (entreprise, foyer,
administrations, etc..) de manière sécurisée d’où la naissance du besoin en VPN
(Virtual Private Network ou Réseau Privé Virtuel).
C’est dans cette même veine de besoin à satisfaire que Macam Construction a initié
ce projet ayant pour thème « Mise en place d’un VPN au sein d’une entreprise ».
I. Problématique
Depuis l'apparition de l'informatique dans les années 1950, celui-ci s’est imposé
graduellement comme un instrument primordial dans le monde professionnel, devenant
l'outil incontournable pour la gestion de l'information allant jusqu’ à la prise de
décision d’une importance capitale pour les entreprises
Au Cameroun le Groupe Macam Construction s’est installé suite à l’obtention d’un
important marché en 2014 . Suite à la réalisation de ses premiers projets projet
depuis fin 2016, la société Macam a axé sa stratégie de développement sur son
service informatique notamment en mettant en place une interconnexion entre ses
différents chantiers à l’intérieur du pays et son siège social sis à Abidjan.
Cependant, dans sa gestion quotidienne, MACAM éprouve plusieurs difficultés
concernant la gestion centralisée de ses données et informations ainsi que dans
l’interactions avec ses sociétés
Par exemple, vu la demande étendue à différents chantiers repartis sur le
territoire camerounais elle a du mal à fédérer le suivi de ses stocks et demande en
approvisionnement.
Pourtant, une rupture de stock ou un retard de livraison est susceptible
d’immobiliser plusieurs engins qui peuvent conduire à l’arrêt des travaux sur le
chantier.
La nécessité pour la Direction Générale de disposer d’un moyen de transmission et
de réception (interconnexion) des flux de donnés regroupant, mobilité, itinérance
et fidélité s’impose.
Cette interconnexion devrait constituer la boussole des services de transmissions à
distance de l’entreprise, il devient évident que la mise en place d’un tel système
serait très judicieuse pour la pérennité du système d’information du groupe MACAM.
Ainsi il a été soumis à notre étude le thème suivant : « Mise en place d’un Réseau
Privé Virtuel (VPN) au sein d’une entreprise ».
- - -
Cependant, cette situation suscite un certain nombre d’interrogations :
Comment MACAM Construction est-elle organisée dans son système d’information actuel
? Comment accéder à distance de n’importe où aux ressources de données du siège ?
Quelles dispositions prendre pour assurer une interconnexion optimale des
différents sites distants au sein de MACAM construction?
II. Méthode et stratégie de recherche
Nos sources de recherches ont été pléthoriques, ainsi nous nous sommes rendus dans
les centres de documentations et bibliothèques universitaires il s’agit de :
- Les Archives de l’Institut supérieure des sciences Arts et Métiers (ISSAM);
- Au centre culturel Français de Yaoundé
- Les sites Internet de technologies
Dans ces lieux, les documents de plusieurs types ont été consultés. Il s’agit des
ouvrages généraux, des ouvrages spécialisés, des revues, des rapports d’études, des
mémoires. Ces ouvrages et sites web donnerons une connaissance générale sur le
thème et nous permettrons d’élaborer un plan de travail beaucoup plus scientifique.
L'architecture de l’étude s'articule autour de trois grands mouvements désignés
sous le vocable de « parties ».
Nous avons adopté pour une approche volontairement pédagogique et opératoire :
 La première partie sera une réflexion théorique et globale qui aborde de façon
analytique le thème.
Elle consistera en une présentation du thème à l’étude en expliquant les objectifs.
 La deuxième partie donnera une idée des prés-requis à avoir pour la bonne marche
du projet.
Un accent particulier sera mis sur une étude technique suivit de la présentation
d’une solution architecturale ainsi que sur l’administration et la sécurité du
réseau.
 La théorie n’étant jamais suffisante à elle seule pour convaincre, la troisième
partie sera consacrée à la mise en service du VPN et des services associés de façon
pratique suivi d’une évaluation financière du projet.
Nous terminerons ce mémoire par une conclusion générale et des perspectives.
Première partie : Approche méthodologique
Introduction de la première partie
Cette première partie de l'étude consiste en une réflexion purement théorique sur
le sujet et expose la démarche méthodologique adoptée pour le traiter. Elle
s'attache ainsi, exclusivement, à montrer l'intérêt scientifique du sujet, à poser
le problème, à dégager les hypothèses de recherche, à élaborer la méthodologie sur
laquelle s'appuie la recherche, et enfin à indiquer les modes de mobilisation et de
production de l'information.
Cette partie comporte deux chapitres :
- Le chapitre 1 définit les concepts opératoires de l'étude, en montre les enjeux
scientifiques et pose le problème. Il s'agit aussi, par une analyse de présenter «
l 'état des lieux » d'un tel sujet.
- Le chapitre 2 est consacré, dans une première phase, à l’analyse de l’existant
sur lequel s'appuie la recherche. Une deuxième phase de ce chapitre indique les
besoins qui ressortent de cette analyse, constituant la substance de l'étude.
Chapitre 1 : Présentation et contexte du projet I. Présentation de MACAM
Construction BTP
Dans cette partie de notre mémoire, nous parlerons des points tels que : la
situation géographique, l'historique, l'objectif, mission, l'activité principale,
activité secondaire et la structure organique de l'entreprise MACAM Construction
BTP Cameroun
I.1 - Situation géographique et juridique
MACAM Construction BTP , est une entreprise de droit tunisien ayant pour cœur
d’activité principale les BTP (bâtiment et travaux publics).
le Groupe SOROUBAT s’est installé suite à l’obtention d’un important marché en
2014. MACAM Construction BTP est une société à caractère privé, à responsabilité
limitée (Sarl) au capital de 4. 000. 000.000 FCFA (Quatre milliards de Francs CFA).
Au départ succursale, elle est devenue une SARL.
I.2 - Objectif et mission
MACAM Construction intervient dans le domaine des travaux publics tels que les
routes, l’assainissement, le drainage, les ouvrages d’art et les bâtiments, mais
elle s’est plus particulièrement spécialisée dans la construction des routes,
autoroutes et ouvrages d’arts.
Par son bon fonctionnement et son activité, MACAM contribue à soutenir l'économie
et la politique nationale car pour la construction des infrastructures, MACAM
utilise la main d'œuvre locale, et paie les impôts à l'Etat camerounais .
I.3 - Activités
MACAM a pour principale activité la construction des routes et des bâtiments.
Aujourd’hui, MACAM a diversifié ses activités et est devenu un groupe avec
différentes filiales dont :
- SOGECAR (Société de Gestion de Carrière).
- SAME BUSINESS. (Vente d’engin)
- FONCIERE CAMEROUN . (Société de gestion foncière et immobilière)
- MADALYSANTE.(Vented’équipementmédicauxetparamédicaux)
Ses caractéristiques principales sont les suivants :
- Localisation : Avenue Mduf-Fouda à Yaoundé .

- Statut juridique : Société à Responsabilité Limitée (SARL)
- Capital social : 4 000 000 000 FCFA
- Téléphone : +237697333322
- Email :Macamconstruction@yahoo.fr
I.4 - Organisation
Structure organique de l'Entreprise : L’organisation de MACAM s’articule autour de
plusieurs directions et services.
Pour mener à bien ses activités de construction des routes et bâtiments , MACAM
s’est subdivisée en cinq (05) grandes directions :
- - - - -
II.
La Direction Générale ;
La Direction Administrative et Comptable ; La Direction Financière ;
La Direction des Projets ;
La Direction du matériel.
Présentation du thème
II.1 - Intérêt de l’étude
Toute entreprise est appelée à s’étendre selon ses activités tout en fédérant ses
ressources.
Vu l’ambition de MACAM d’être leader des BTP sur l’échiquier international, et dans
le but de lui permettre d’être interconnecté entre ses différents sites nationaux
et même internationaux, il a été jugé bon de nous pencher sur la question de la : «
Mise en place de Réseau Privé Virtuel (VPN) au sein d’une entreprise » et d’en
faire une référence.
II.2 - Objectifs de l'étude
II.2.1 Objectifs principaux
Au regard des ambitions sus évoqués, notre étude devra aboutir à la mise en place
d'une interconnexion entre plusieurs site distant à travers un VPN afin de
faciliter les échanges distants de données au sein de la société MACAM et de ce
fait de mieux gérer le système d’information de l’entreprise.
II.2.2 Objectifs spécifiques
Il est donc question ici pour nous de répondre aux attentes de la société en
mettant en place un réseau virtuel privé stable et opérationnel. Ceci nous amènera
donc à étudier différents aspects :
- Nous évaluerons le type de VPN le mieux adapté aux besoins de l’entreprise.
- Nousdéfinironslasécuritédesdonnées.
- Une fois le réseau installé, nous réaliserons des tests afin de vérifier son bon
fonctionnement.
II.3 - Cahier de charge
Le cahier de charge qui accompagne ce projet pour sa bonne réalisation est aussi
riche et prometteur que le thème.
En effet les contraintes globales que nous devons respecter sont les suivantes : -
Identifier les différents services de MACAM;
- Proposer un plan d’adressage par SUBNETTING ; - Configurer les routeur VPN ;
- Assurer la confidentialité des connexions ;
Chapitre 2 : Etude et critique de l’existant
Nous ne saurions débuter ce travail sans avoir une idée claire et précise sur
l’existant quel qu’il soit.
La première tâche a été de rencontrer différentes personnes qui entretiennent
directement ou indirectement une relation avec le service informatique de MACAM
Il s’agit principalement du Directeur Financier M. FONKAM Sylvain , de M. SABER
Drira, Directeur Administratif, de M. TAGUE Responsable Achat.
Après quoi, nous avons réellement débuté le travail en menant différentes
recherches. Cette méthodologie de travail nous a permis d’avoir une connaissance
large de l’existant.
I. Etude de l’existant
Notre étude de l'existant consiste à mettre à plat, de façon aussi claire que
possible, l'analyse qualitative et quantitative du système d’information actuel de
MACAM Construction .
Une analyse de l'existant comprend trois parties distinctes :
- La première consiste à recueillir les informations ; elle est réalisée à partir
d'entretiens ou de questionnaires, tableaux de bords, catalogues, études, données
statistiques etc.
- La seconde consiste à analyser, classer et donner une vue synthétique de
l'ensemble des informations collectées par domaine fonctionnel, en tenant compte
des ressources humaines (nombre et profil des personnes assignées aux diverses
tâches).
- La troisième consiste à esquisser une modélisation à grosses mailles des données
et des traitements.
En effet, pour faire le déploiement de solution d’interconnexion, il est essentiel
de disposer d’informations précises sur l’infrastructure réseau physique et les
problèmes qui ont une incidence sur le fonctionnement du réseau.
En effet, ces informations affectent une grande partie des décisions que nous
allons prendre dans le déploiement du VPN.
Il s’agira donc pour nous de rassembler les informations relatives à l’organisation
de l’existant.
Ici, nous allons faire l’inventaire de tous les outils informatiques, du réseau de
Télécommunication et des services qui feront l’objet
I.1 - Matériels et logiciels utilisés
Le recensement des outils informatiques associés aux départements, et services de
MACAM nous a donné pour le siège (Nb : Tout les PC fonctionnent sous Windows 10)
Tableau n° 01 : PC SIEGE
SIEGE
Nbre des Pcs Marques
04 Dell 04 HP 04 Dell 06 Dell 07 HP 03 Dell 02 HP 04 Dell 03 Dell 01 Dell 06 HP
04 HP
48
réalisations
Direction
Dir. Générale Dir. RH
Dir. Technique Services Achat Dir. Financier Dir. Comptable Dir Audit
Dir Informatique
Dir Transit
Service Juridique
Service Contrôle de gestion
Types
Core I7 Core I5 Core I5 Core I5 Core I5 Core I5 Core I5 Core I7 Core I5 Core I5
Core I5
Core I5
HDD
Mémoires RAM
Secrétariat
TOTAL
Source : Nos
1Terra 8Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 500 Go 4Go 2
Terra 8Go 500 Go 4Go 500 Go 4Go 500 Go 4Go
1Terra 4Go
- LES SERVEURS
Un serveur est un dispositif informatique matériel et logiciel
clients. Les serveurs dont nous disposons dans le réseau de SOROUBAT, sont tous
dans une salle machine et présentent différentes caractéristiques énumérées comme
suit :
Tableau n° 02 : Les serveurs MACAM
qui offre des services à différents
Nombres
Rôle des serveurs
Type de serveur
Serveur Dell
Serveur Dell
Serveur Dell Serveur HP ProLiant Serveur HP
O. S
Windows 2012 R2
Windows 2012 R2 Windows 2008 R2 Windows 2012 R2 Windows 10 Pro
01 Serveur de Domaine (AD)
01 Hyperviseur Navision
01 Hyperviseur Citrix
01 Serveur de redondance (AD) 10 Serveur de Vidéosurveillance 14 Total
Source : Nos réalisations
ISSAM MASSUSSI BILLONG
Page 16
- LES EQUIPEMENTS TERMINAUX
Tableau n° 03 : EQUIPEMENTS TERMINAUX
Types de terminaux
Téléphone IP
Imprimantes Laserjet
Copieur IP
Pointeuse Biométrique (IP)
Camera IP HD
AUTOCOM (Passerelle VoIP) Vidéoconférence au Format H264 avec protocole SIP
TOTAL
- LES EQUIPEMENTS D’INTERCONNEXION
Tableau n° 04 : EQUIPEMENTS D’INTERCONNEXION
Modèles
Nombres
Alcatel Canon & HP Canon Zkteco HikVision ALCATEL Large
OXO
50
12
04
02
40
01
109
Types de terminaux
Modèles
Huawei
Cisco Cisco
Alcatel
D-Link
60D Plus
XG 210 Entreprise
Nombres
02
02 04
01 06 01 01
17
Routeur fibre optique (Orange)
Routeurs
Switches (48 ports)
Switches (48ports) Point d’accès Wifi Firewall FORTIGATE Firewall SOPHOS
TOTAL
I.2 - Topologie et type de média
De façon plus précise, le réseau LAN de MACAM , est un réseau FAST ETHERNET commuté
à 10/100Mbps, essentiellement basé sur une topologie en étoile.
Les normes de câblage réseau utilisées sont en 100 BASE TX et câblée en utilisant
des paires torsadées FTP catégorie 6.
I.3 - Les applications utilisées
Les applications de MACAM sont diverses et installées sur les serveurs contenus en
salle machine en mode client-serveur sur les autres machines.
Nous disposons de deux (2) applications qui feront l’objet d’interconnexion depuis
les chantiers deMACAM à l’intérieur du pays et en dehors.
Page 17
Les utilisateurs travaillent en temps réel sur ces applications mentionnées dans
le tableau ci- après.
Tableau n° 05 : Applications métier du SIEGE
Applications
IVMS-4500 HD (HikVision IP CAM)
II. Critique de l’existant
Rôles
Monitoring et gestion de camera IP
Bénéficiaire
Utilisateur des services de surveillance
MICROSOFT DYNAMICS NAVISION
Progiciel de gestion intégré (Achats, production, gestion de projets, RH, gestion
financière, etc....)
Utilisateur de logiciel métier
La critique de l'existant est un jugement objectif portant sur l'organisation
actuelle de l'entreprise qui vient d'être présenté.
Le réseau actuel devrait être plutôt subdivisé en sous réseaux (VLAN) et les
serveurs être mis en DMZ.
La DMZ (Demilitarized zone ou Zone démilitarisée) est un sous réseau constitué
principalement des ordinateurs serveurs et isolée par un pare-feu, comprenant des
machines se situant entre un réseau interne (LAN) et un réseau externe. Elle permet
à des machines d'accéder à Internet et/ou de publier les services sur internet sur
le contrôle de Pare-feu externe.
Dans notre cas, nous devons avoir en plus, un serveur de données, un serveur
d'impression, un serveur d'antivirus, un serveur de Navision, un serveur de
messagerie (Exchange) ils assurent tous l'échange des informations entre les
employés de l'entreprise, etc.
Les informations de l'entreprise arrivent par le routeur du FAI, elles sont
directement envoyées au pare-feu qui lui, les envoient au travers d’un switch
fédérateur à un serveur en fonction bien entendu de la nature de l'information
(données, etc.) à son tour le serveur concerné route l'information au terminal du
destinataire. Les informations provenant du réseau externe (internet) sont
préalablement analysées par le pare-feu avant d'être acceptée dans le réseau ou
tout simplement rejetée.
Les points à déplorer sont :
- Unpland’adressageréseaupeuoptimaletévolutifenl’absencedeVlan.
- Ilexistetropdenœudd’interconnexion,cequiaccroitlapertedeconnectivité.
- Il n’existe pas de serveur d’antivirus, ni de serveur de messagerie (Exchange)
pour
assurer les échanges ;
III. Spécifications des besoins
Suite à la critique de l’existant, quelques besoins ont été relevés afin de pallier
aux contraintes précédemment mentionnées.
Ce sont les besoins exprimés par les différents services de MACAM pour mener à bien
ce projet.
III.1 - Les besoins fonctionnels
Dans ce cadre, nous allons :
- Proposer un plan d’adressage par SUBNETTING (sous réseaux) pour limiter les
domaines de diffusion (VLAN) ;
- Proposer une architecture physique d’interconnexion VPN avec débits adaptés.
- La sécurité des accès au réseau (mot de passe : longueur, caractères spéciaux,
filtrage) ;
III.2 - Les besoins non-fonctionnels
Les besoins non fonctionnels représentent les exigences implicites auxquelles le
système doit répondre.
Ainsi à part les besoins fondamentaux, notre système doit répondre aux critères
suivants :
- La simplicité d’utilisation des services implémentés.
- La centralisation de l’administration et de la gestion des utilisateurs.
- La fiabilité (moyenne de temps de bon fonctionnement, Le temps moyen de
rétablissement). - La gestion de sauvegarde des fichiers.
- La documentation du réseau.
Conclusion de la première partie
Le but de cet exercice de réflexion théorique à la fois délicat et
intellectuellement passionnant sur l’articulation entre la présentation du projet
et la critique de l’existant était de fournir une indication suffisamment élaborée
et claire des objectifs et enjeux sur le sujet, ses objectifs et enjeux ainsi que
sur la façon dont il serait conduit.
Nous espérons, avoir faire ressortir ce lien dialectique au terme de cette partie.
Nous nous attèlerons maintenant à faire ressortir les démonstrations empiriques
auxquelles confronter la réflexion théorique qui a été faite. C’est ce à quoi la
deuxième partie et notamment la troisième partie (à travers une étude de cas)
Deuxième partie :
Etude technique et conditions de réalisation
Introduction de la deuxième partie
La mise en place optimale d’une solution VPN, exige une connaissance suffisante en
matière d’architecture informatique et de liaison d’interconnexion, tant au plan
général des infrastructures réseaux qu'au niveau spécifique des télécommunications.
La présente partie de l'étude s'efforce d'apporter cette indispensable
connaissance.
Cette deuxième partie comporte trois chapitres :
- Le chapitre 1 offre un aperçu général sur les différents types de réseaux et
topologies informatiques, ainsi que sur les équipements d’interconnexion des
réseaux qui sont des prérequis indispensables à assimiler pour notre étude
technique. Il en relève par ailleurs les contraintes infrastructurelles.
- Le chapitre 2 met en exergue la notion de VPN et fournit une évaluation des
différents types de VPN afin de savoir quand implémenter chaque type.
- Le chapitre 3 donne une indication sur l’administration et la sécurité adéquate à
mettre en place afin de sécuriser le réseau. Cette réflexion constitue en quelque
sorte une transition pour entamer la troisième partie de la recherche qui instruit
réellement sur la mise en œuvre de l’interconnexion et
Chapitre 1 : Généralités sur les réseaux informatiques
Nous allons aborder dans ce premier chapitre, quelques notions sur les réseaux.
I. Les réseaux informatiques I.1. - Définition d’un réseau
Un réseau informatique est un ensemble de moyens matériels et logiciels mis en
œuvre pour assurer les communications (échange de messages entre utilisateurs,
l’accès à distance à des bases de données ou encore le partage de fichiers) de
données, et le partage de services entre ordinateurs, terminaux informatiques. Ces
communications étaient, bien avant, destinées aux transports de données
informatiques, bien qu’aujourd’hui, cela a évolué vers des réseaux qui intègrent, à
la fois, des données, la voix, et la vidéo.
Avant tout, il nous faut parler de quelques types de réseaux, cela aidera à
comprendre pourquoi certaines topologies existent.
I.1.1 Les types de réseaux
Les réseaux en fonction de la localisation, la distance et le débit, sont classés
en trois types : Tableau n° 6 : Classification d'un réseau
Distance entre Processus 10 m
100 m
1000 m = 1 Km
100.000 m = 100 Km 1.000.000 m = 1000 Km 10.000.000 m = 10.000 Km
100.000.000 m = 100.000 Km
Localisation Salle Bâtiment Campus Pays Continent Planète
Système terre - lune
Type des réseaux Réseau local (LAN)
Réseau Métropolitain (MAN)
Réseau longue distance (WAN)
Internet
Le satellite artificiel
Source : Mémoire « Mise en place d'un
réseau VPN. Cas de la BRALIMA Sarl en RDC »
• LAN (Local Area Network ou réseau local en français) : Il s’ ́étend sur quelques
dizaines à quelques centaines de mètres. C’est un réseau local, il correspond par
sa taille aux réseaux intra- entreprises et permet l’échange de données et le
partage de ressources.
• MAN (Metropolitan Area Network ou réseau métropolitain en français) : Réseau
métropolitain qui également nommé réseau fédérateur assure les communications de
plusieurs sites à l’échelle d’une ville (quelques dizaines de kilomètres).
• WAN (Wide Area Network ou réseau étendu au public en français) : Réseau
typiquement à l'échelle d'un pays, d'un continent, ou de la planète entière,
généralement celui des opérateurs. Le plus connu des WAN est Internet. Un WAN est
en fait une succession de plusieurs LAN Dans ce document.
I.1.2 Les types de topologies
Tout d'abord, il est à noter qu'il existe deux types de topologies : physique et
logique.
- La topologie physique :
L'agencement physique, c'est-à-dire la configuration spatiale des éléments
constitutifs d’un réseau est appelée topologie physique. C'est donc en d’autres
termes la forme, l’architecture physique, l'apparence du réseau.
Il en existe plusieurs dont la :
• Topologie en bus
Comme son nom l'indique, la topologie en bus a les caractéristiques d'un bus
(pensez, que chaque passager peut y accéder et se trouver une place pour
poursuivre le trajet).
Dans cette topologie, tous les ordinateurs sont connectés entre eux par le biais
d'un seul câble réseau débuté et terminé par des terminateurs.
Ce qui n'est pas du tout pratique, et ceux pour 2 raisons majeures. La première est
que, parce que toutes les machines utilisent le même câble, le réseau n'existe plus
si le câble vient à être défectueux. Alors, il n'y aura plus de communication
possible étant donné que tous les hôtes partagent un câble commun.
La seconde est que, puisque le câble est commun, la vitesse
de transmission est très faible.
Il y a encore d’autres raisons qui font que cette topologie est très peu utilisée.
Dans cette topologie, étant donné que le câble de transmission est commun, il ne
faut pas que 2 machines communiquent simultanément, sinon cela créé des
collisions !
Elle est extrêmement vulnérable vu que la sécurité des données transmises n'est pas
assurée à 100% car tous Les hôtes peuvent voir les données destinées à un hôte du
réseau, heureusement que d'autres topologies plus simples et plus pratiques
existent.
• Topologie en étoile (la plus utilisée)
Dans un réseau en étoile, la forme physique du réseau ressemble à une étoile. Pour
parler à une autre entité on passe par le matériel central (qui peut être le
routeur, switch, etc.). En pratique, dans un réseau d'entreprise en étoile, au
centre on trouve un switch.
Le principal défaut de cette topologie, c'est que si l'élément central ne
fonctionne plus, plus rien ne fonctionne : toute communication est impossible.
Cependant, cette topologie est plus avantageuse que celle vue précédemment, car il
n'y a pas de risque de collision de données.
Le réseau Ethernet est un exemple de topologie en étoile. L'inconvénient principal
de cette topologie réside dans la longueur des câbles utilisés.
Schéma d'un réseau en bus
Schéma d'un réseau en étoile
• Topologie en anneau
Comme vous pouvez vous en douter, un réseau en anneau a la forme d'un anneau.
Cependant, la topologie physique d'un réseau en anneau est similaire à celui du
bus.
En réalité, dans une topologie anneau, les ordinateurs ne sont pas reliés en
boucle, mais sont reliés à un répartiteur (appelé MAU, Multi-station Access Unit)
qui va gérer la communication entre les ordinateurs qui lui sont reliés en
impartissant à chacun d'entre-deux un temps de parole système de jeton (token)
Dans un réseau possédant une topologie en anneau, les ordinateurs sont situés sur
une boucle et communiquent chacun à leur tour.
Les deux principales topologies logiques utilisant cette topologie physique sont
Token ring (anneau à jeton) et FDDI.
• Topologie maillée
Une topologie maillée, est une évolution de la topologie en étoile, elle correspond
à plusieurs liaisons point à point (peer to peer).
Concrètement, le principe de la topologie maillée est de relier tous les
ordinateurs entre eux (aucun risque de voir une isolation du réseau si un des
points névralgiques tombent en panne générale, l'inconvénient est le nombre de
liaisons nécessaires qui devient vite très élevé. On implémente une topologie
maillée afin de garantir une protection maximale contre l'interruption de service
La formule pour connaitre le nombre de câbles est n(n-1) / 2, avec n le nombre
d'ordinateurs. Donc rien qu'avec 20 ordinateurs par exemple, ça nous donnera 20
(20-1) / 2, soit 190 câbles !
Cette topologie reste peu utilisée vu la difficulté à mettre en place une telle
infrastructure.
Cette mise en place se rencontre dans les grands réseaux de distribution (Exemple :
Internet, systèmes de contrôle en réseau d'une centrale nucléaire, armée).
L'information peut parcourir le réseau suivant des itinéraires divers, sous le
contrôle de puissants superviseurs de réseau, ou grâce à des méthodes de routage
réparties.
L'armée utilise également cette topologie, ainsi, en cas de rupture d'un lien,
l'information peut quand même être acheminée.
Elle existe aussi dans le cas de couverture Wi-Fi. On parle alors bien souvent de
topologie mesh mais ne concerne que les routeurs WiFi.
Schéma d'un réseau en anneau
Schéma d'un réseau en maille
- La topologie logique :
Latopologie logique estla structure logique d'une topologie physique, c’est-à-dire
qu’elle représente la façon dont les données transitent dans les lignes de
communication. Les topologies logiques les plus courantes sont Ethernet, Token Ring
et FDDI.
Pour résumé, l'une (topologie physique) définit la structure physique (l'apparence
physique, la forme) de votre réseau, l'autre (topologie logique) définit comment la
communication se déroule dans cette forme physique.
II. Les systèmes d’interconnexion
Dans ce chapitre, selon le modèle OSI ou TCP/IP, nous étudierons les composants
réseaux, sans oublier les supports de transmission qui nous permettent de les
relier aux ordinateurs. Il sera aussi question de normalisation.
II.1 - Nécessité de l’interconnexion
« L’interconnexion des réseaux est la possibilité de faire dialoguer plusieurs sous
réseaux initialement isolés, par l’intermédiaire de périphériques spécifiques
(récepteur, concentrateur, pont, routeur, modem), dans ce cas, des équipements
spécifiques sont nécessaires » Wikipédia
En d’autres termes un réseau local a pour but d’interconnecter les périphériques
informatiques d'une organisation, il s’avère dans la pratique que plusieurs réseaux
locaux peuvent se trouver au sein d’une même organisation (université par exemple),
les relier entre eux devient indispensable. Dans ce cas, des équipements
spécifiques sont nécessaires.
Lorsqu'il s'agit de deux réseaux de même type, il suffit de faire passer les trames
de l'un sur l'autre. Dans le cas contraire, c'est-à-dire lorsque les deux réseaux
utilisent des protocoles différents, il est indispensable de procéder à une
conversion de protocole avant de transférer les trames. Ainsi, les équipements à
mettre en œuvre sont différents selon la configuration face à laquelle on se
trouve.
II.2 - Normalisation
II.2.1 Modèle OSI
L’organisme ISO (International Organization for Standardization) en français
(Organisation Internationale de Normalisation) a défini en 1984 un modèle de
référence, nommé modèle OSI (de l'anglais Open Systems Interconnection) destiné à
normaliser les échanges entre deux machines dans les systèmes informatiques.
La normalisation émane de la volonté des gouvernements d'harmoniser les
technologies afin d'assurer la compatibilité des équipements.
Le modèle OSI décrit la manière dont deux éléments d’un réseau (station de travail,
serveur...etc) communiquent, en décomposant les différentes opérations à effectuer
en sept étapes successives, qui sont nommées.
Source : Wikipédia
Tableau n° 7 : Diagramme du modèle OSI.
• Couche1 : (Physique) Elle s’occupe de la transmission des bits de façon brute sur
un canal de communication. Cette couche doit garantir la parfaite transmission des
données. L’unité d’information typique de cette couche est le bit, représenté par
une certaine différence de potentiel.
• Couche2 : (Liaison de données) Elle va transformer la couche physique en une
liaison a priori exempte d’erreurs de transmission pour la couche réseau. Elle
fractionne les données d’entrée de l’émetteur en trames, transmet ces trames en
séquence et gère les trames d’acquittement renvoyées par le récepteur. L’unité
d’information de la couche liaison de données est la trame.
• Couche 3 : (Réseau) Elle assure l’acheminement, le routage (choix du chemin à
parcourir à partir des adresses), des blocs de données entre les deux systèmes
d’extrémités, ainsi elle contrôle également l’engorgement du sous-réseau.
• Couche 4 : (Transport) Elle assure le contrôle du transfert de bout en bout des
informations entre les deux extrémités, afin de rendre le transport transparent
pour les couches supérieures, elle assure le découpage des messages en paquets pour
le compte de la couche réseau et les constitue pour les couches supérieures. Un des
tous derniers rôles à évoquer est le contrôle de flux. C’est l’une des couches les
plus importantes, car c’est elle qui fournit le service de base à l’utilisateur, et
c’est par ailleurs elle qui gère l’ensemble du processus de connexion, avec toutes
les contraintes qui y sont liées.
• Couche 5: (Session) Elle assure l’échange de données, entre deux applications
distantes. Elle réalise le lien entre les adresses logiques et les adresses
physiques des tâches réparties. Elle assure surtout la synchronisation de l’échange
(qui doit parler, qui parle...) entre deux programmes d’application devant
coopérer. Dans ce dernier cas, ce service d’organisation s’appelle la gestion du
jeton. Elle assure aussi la reprise de l’échange en cas d’erreurs.
• Couche 6 : (Présentation) Cette couche s’intéresse à la syntaxe et à la
sémantique des données transmises : c’est elle qui traite l’information de manière
à la rendre compatible entre tâches communicantes. Elle va assurer l’indépendance
entre l’utilisateur et le transport de l’information.
Typiquement, cette couche peut faire la mise en forme des données, la conversion
des codes (ASCII), pour délivrer à la couche application un message compréhensible.
Elle peut aussi assurer le décryptage et la compression de données.
• Couche 7 : (Application) Cette couche est le point de contact entre l’utilisateur
et le réseau. C’est donc elle qui va apporter à l’utilisateur les services de base
offerts par le réseau, comme par exemple le transfert de fichier, la messagerie.
II.2.2 Classe d’adresse
Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement
(ou le routage) des paquets entre les différents réseaux. Ces groupes ont été
baptisés classes d’adresses IP. Ces classes correspondent à des regroupements en
réseaux de même taille. Les réseaux de la même classe ont le même nombre d’hôtes
maximum.
• La Classe A : Le premier octet a une valeur comprise entre 1 et 126, soit un bit
de poids fort égal à 0.
• La classe B : Le premier octet a une valeur comprise entre 128 et 191, soit 2
bits de poids fort égaux à 10.
• La classe C : Le premier octet a une valeur comprise entre 192 et 223, soit 3
bits de poids fort égaux à 110.
• La classe D : Le premier octet a une valeur comprise entre 224 et 239, soit 3
bits de poids fort égaux à 111, il s’agit d’une zone d’adresses dédiées aux
services de multidiffusion vers des groupes d’hôtes (host groups).
• La classe E : Le premier octet a une valeur comprise entre 240 et 255, il s’agit
d’une zone d’adresses réservées aux expérimentations. Ces adresses ne doivent pas
être utilisées pour adresser des hôtes ou des groupes d’hôtes.
Tableau n° 8 : Classes des adresses IP
Classe Valeur
1er Octet binaire
Nbr de réseaux / Nbr d’hôtes
Notation CIDR
A
1.0.0.0 à 126.255.255.255
0xxx xxxx
128 réseaux (2^7) /
16 777 214 hôtes (2^24-2)
/8
B
128.0.0.0 à 191.255.255.255
10xx xxxx
16384 réseaux (2^14) /
65 534 hôtes (2^16- 2)
/16
C
192.0.0.0 à 223.255.255.255
110x xxxx
2 097 152 réseaux (2^21) /
254 hôtes (2^8-2)
/24
D
224.0.0.0 à 239.255.255.255
1110 xxxx
Multicast - Diffusion partielle
-
E 240.0.0.0 à 247.255.255.255 1111 xxxx
Source : https://www.inetdoc.net/articles/adressage.ipv4/adressage.ipv4.class.html
Tableau n° 09 : Cas particuliers (Source : Nos réalisations)
-
Expérimentale (Réservée)
Plage IP
0.0.0.0
127.0.0.0 – 127.255.255.255
169.254.0.0 - 169.254.255.255
Utilité
Utilisé pour définir une route par défaut sur un routeur Localhost Loopback
Address (boucle locale)
APIPA Automatic Private IP Addressing (65 534 hôtes)
II.3 - Equipements d’Interconnexion des réseaux
Il est bon ici de rappeler que l’interconnexion est un mécanisme qui consiste à
mettre en relation, indépendamment de la distance qui sépare et des protocoles
qu'elle utilise, des machines appartenant à des réseaux physiquement distincts.
Dans les sections suivantes, nous présenterons les principaux équipements matériels
mis en place dans les réseaux locaux que sont :
Les répéteurs, permettant de régénérer un signal
Les concentrateurs (hubs), permettant de connecter entre eux plusieurs hôtes
Les ponts (bridges), permettant de relier des réseaux locaux de même type
Les commutateurs (switches) permettant de relier divers éléments tout en segmentant
le réseau
Les passerelles (Gateway), permettant de relier des réseaux locaux de types
différents
Les routeurs, permettant de relier de nombreux réseaux locaux de telles façon à
permettre la
circulation de données d'un réseau à un autre de la façon optimale Les B-routeurs,
associant les fonctionnalités d'un routeur et d'un pont.
II.3.1 Repeater (Répéteur)
Les câbles ont une distance maximale de fonctionnement due à l'affaiblissement du
signal, le répéteur permet d’amplifier ce signal et d’augmenter la
taille d’un réseau, afin d’étendre la distance du câblage.
C'est un équipement simple qui opère au niveau 1 du modèle OSI (couche physique),
et qui ne nécessite aucune administration. Le répéteur génère de nouveau un signal
à partir du signal reçu.
On distingue deux catégories du répéteur :
• StandAlone : Les débits sur les deux câbles doivent être les mêmes.
• Store and Forward : Avec mémoire, il support les vitesses différents sur les
différents
tronçons.
II.3.2 Hub (Concentrateur)
Le concentrateur est un périphérique qui opère au niveau 1 du modèle OSI (couche
physique), il permet de connecter plusieurs machines entre elles ; il a pour but de
concentrer le trafic réseau qui provient de plusieurs hôtes, et aussi de régénérer
le signal. Il réduit le trafic (segmentation).
Son unique but est de récupérer les données binaires
provenant d'un port et de les diffuser sur l'ensemble des ports. Ils servent à
raccorder deux segments de câbles ou deux réseaux identiques (Ethernet)
qui constituent alors un seul réseau logique.
Ils sont en général dotés d'un port spécial appelé "Up Link".
Repeater (Répéteur)
Hub (Concentrateur)
On distingue deux catégories du concentrateur :
• Concentrateur Actif : Ils sont alimentés électriquement, permettant de régénérer
le signal sur les différents ports.
• Concentrateur Passif : Diffuser le signal à tous les hôtes sans amplification. Ne
nécessitent pas une quelconque alimentation
II.3.3 Bridge (Pont)
Un pont est un équipement informatique d'infrastructure de réseaux de type
passerelle, il opère au niveau logique c'est-à-dire au niveau de la couche 2 du
modèle OSI (couche liaison de données), il permet de relier deux réseaux identiques
ou deux parties de même
réseau.
Le pont travail comme un relais qui transmet d'un réseau à l'autre les trames dont
l'adresse ne figure pas dans le premier réseau et permet donc aux deux éléments
qu'il relie de fonctionner indépendamment.
Son usage le rapproche fortement de celui d'un commutateur (switch), à l'unique
différence que le commutateur ne convertit pas les formats de transmissions de
données. Le pont ne doit pas être
confondu avec le routeur.
II.3.4 Les commutateurs (switches)
C’est un équipement qui relie plusieurs segments dans un réseau. Il analyse les
trames arrivant sur les ports d’entrées et les filtre pour aiguiller sur les ports
adéquats. Il dispose d'une table d'adresses MAC des machines connectés, et qui
opère au niveau 2 du modèle OSI (couche liaison de données).
« Un commutateur réseau (en anglais switch), est un équipement qui relie plusieurs
segments (câbles ou fibres) dans un réseau informatique et de télécommunication et
qui permet de créer
des circuits virtuels.
La commutation est un des deux modes de transport de trame au sein des réseaux
informatiques et de communication, l'autre étant le routage. Dans les réseaux
locaux (LAN), il s'agit le plus souvent d'un boîtier disposant de plusieurs ports
RJ45 (entre 4 et plusieurs centaines), il a donc la même apparence qu'un
concentrateur (hub).
Il existe aussi des commutateurs pour tous les types de réseau en mode point à
point comme pour les réseaux ATM, relais de trames, etc. Il est fréquent qu'un
commutateur intègre, par exemple, le Spanning Tree Protocol que l'on rencontre dans
les ponts. Le commutateur est d'ailleurs souvent vu d'une manière réductrice comme
un pont multiport.» Wikipédia
Sa présence permet d'optimiser les performances des réseaux et d'autoriser les
utilisateurs d'un réseau à accéder à toutes les ressources disponibles sur le
réseau.
Bridge (Pont)
Les commutateurs (switches))
II.3.5 Router (Routeur)
C'est un élément intermédiaire dans un réseau informatique, assurant le routage des
paquets en choisissant le chemin selon un ensemble de règles formant la table de
routage. Il opère au niveau 3 du modèle OSI (couche réseau).
Les routeurs (routers)
messages vers leurs destinations.
« C’est un dispositif d’interconnexion de réseaux informatiques permettant
d’assurer le routage des paquets entre deux réseaux ou plus afin de déterminer le
chemin qu’un paquet de données va emprunter. Ils sont plus puissants : ils sont
capables d'interconnecter plusieurs réseaux utilisant le même protocole. »
Wikipédia
Il permet d'interconnecter deux entités de la couche Réseau i.e. deux réseaux
proprement dits. Le routeur assure les fonctions de routage et d'aiguillage comme
son nom l'indique. Le routeur sélectionne un parcours approprié pour diriger les
La fonction de routage traite les adresses IP en fonction de leur adresse réseau
définie par le masque de sous-réseaux et les redirige selon l'algorithme de routage
et sa table associée. Ces protocoles de routage sont mis en place selon
l'architecture de notre réseau et les liens de communication inter sites et inter
réseaux.
Les passerelles (Gateway) : Contrairement à un pont, Les passerelles permettent de
relier des réseaux locaux de types différents.
II.4 - Les protocoles de routage
Les protocoles de routages permettent l'échange des informations à l'intérieur d'un
système autonome. On retient les protocoles suivants :
• États de lien, ils s'appuient sur la qualité et les performances du média de
communication qui les séparent. Ainsi chaque routeur est capable de dresser une
carte de l'état du réseau pour utiliser la meilleure route : OSPF
• Vecteur de distance, chaque routeur communique aux autres routeurs la distance
qui les sépare. Ils élaborent intelligemment une cartographie de leurs voisins sur
le réseau : RIP
• Hybride des deux premiers, comme EIGRP Les protocoles couramment utilisés sont :
• Routing Information Protocol (RIP)
• Open Shortest Path First (OSPF)
• Enhanced Interior Gateway Routing Protocol (EIGRP)
III. Les réseaux locaux virtuels (Vlan)
Avant d’arriver à la conception technique globale de la solution retenue, nous
ferons une étude brève sur les fonctionnalités des VLANs. Celle-ci nous permettra
de définir à travers ces fonctionnalités, une meilleure planification du
déploiement future.
III.1 - Généralités
Par définition, un VLAN (Virtual Local Area Network) Ethernet est un réseau local
virtuel (logique) utilisant la technologie Ethernet pour regrouper les éléments du
réseau (utilisateurs, périphériques, etc.) selon des critères logiques (fonction,
partage de ressources, appartenance à un département, etc.), sans se heurter à des
contraintes physiques (dispersion des ordinateurs, câblage informatique
inapproprié, etc.).
III.2 - Avantages offerts par les Vlan
Ce nouveau mode de segmentation des réseaux locaux modifie radicalement la manière
dont les réseaux sont conçus, administrés et maintenus. La technologie de VLAN
comporte ainsi de nombreux avantages et permet de nombreuses applications
intéressantes. Parmi les avantages liés à la mise en œuvre d’un VLAN, on retiendra
notamment :
• La flexibilité de segmentation du réseau : Les utilisateurs et les ressources
entre lesquels les communications sont fréquentes peuvent être regroupés sans
devoir prendre en considération leur localisation physique.
• La simplification de la gestion : L’ajout de nouveaux éléments ou le déplacement
d’éléments existants peut être réalisé rapidement.
• L’augmentation considérable des performances du réseau (réduction du domaine de
collision) : Comme le trafic réseau d’un groupe d’utilisateurs est confiné au sein
du VLAN qui lui est associé, de la bande passante est libérée, ce qui augmente les
performances du réseau. • Une meilleure utilisation des serveurs réseaux.
• Le renforcement de la sécurité du réseau : Les frontières virtuelles créées par
les VLANs ne pouvant être franchies que par le biais de fonctionnalités de routage,
la sécurité des communications est renforcée.
III.3- Technique et méthodes d’implantation des Vlan
Pour réaliser les VLANs, il faut tout d’abord disposer de commutateurs spéciaux de
niveau 2 du modèle OSI qui supportent le VLAN.
On distingue généralement trois techniques pour construire des VLANs. Nous pouvons
les associer à une couche particulière du modèle OSI :
• VLAN de niveau 1 ou VLAN par ports :
On affecte chaque port des commutateurs à un VLAN. L’appartenance d’une carte
réseau à un VLAN est déterminée par sa connexion à un port du commutateur. Les
ports sont donc affectés statiquement à un
• VLAN de niveau 2 ou VLAN MAC :
On affecte chaque adresse MAC à un VLAN. L’appartenance d’une carte réseau à un
VLAN est déterminé par son adresse MAC.
En fait, il s’agit à partir de l’association MAC/VLAN d’affecter dynamiquement les
ports des commutateurs à chacun des VLAN.
• VLAN de niveau 3 ou VLAN d’adresses réseaux :
On affecte un protocole de niveau 3 ou de niveau supérieur à un VLAN.
L’appartenance d’une carte réseau à un VLAN est déterminée par le protocole de
niveau 3 ou supérieur qu’elle utilise.
III.3 - Principe du routage INTER-VLAN
Quand un hôte d’un VLAN veut communiquer avec un hôte d’un autre VLAN, un routeur
est nécessaire ou un commutateur de couche 3.
La connectivité entre les VLANs peut être établie par le biais d’une connectivité
physique ou logique. Une connectivité logique implique une connexion unique, ou
agrégation, du commutateur au routeur. Cette agrégation peut accepter plusieurs
VLAN. Cette topologie est appelée « router-on-a-stick » car il n’existe qu’une
seule connexion physique avec le routeur. En revanche, il existe plusieurs
connexions logiques entre le routeur et le commutateur.
Une connectivité physique implique une connexion physique séparée pour chaque VLAN.
Cela signifie une interface physique distincte pour chaque VLAN.
Les premières configurations de VLAN reposaient sur des routeurs externes connectés
à des commutateurs compatibles VLAN.
Pour permettre aux hôtes de VLANs de communiquer entre eux, il faut utiliser un
routeur ou commutateur de couche 3. Le terme commutateur de couche 3 désigne un
commutateur capable d’assurer une fonction de routage en plus de ses fonctions
habituelles. Ainsi, au lieu d’un routeur externe, on aura un routeur interne au
commutateur.
Chapitre 2 : Les réseaux privés virtuels (VPN)
Concrètement en entreprise comment de façon sécurisée, l’accès aux données situées
sur le serveur d’un siège depuis une succursale distante de plusieurs milliers de
kilomètres se fait-il par exemple ?
La solution est le VPN ou Virtual Private Network (Réseau Privé Virtuel). Avant
l’arrivée des VPN, les entreprises devaient utiliser des liaisons appelées
TRANSPAC, ou bien des lignes louées. Les VPN ont alors permis de démocratiser ce
type de liaison. Le terme VPN sera notamment utilisé pour l’accès à des structures
de type cloud computing.
I. Concept de VPN
En entreprise, de nos jours la majorité des réseaux LAN sont relié à Internet, en
plus quand une entreprise croît, il arrive qu’elle doive faire face à un besoin de
communiquer avec des succursales, des filiales, ou même donner accès à ses
ressources à son personnel géographiquement éloigné. Concrètement comment une
succursale d’une entreprise peut-elle accéder aux données situées sur un serveur de
la maison mère distant de plusieurs milliers de kilomètres ?
L’interconnexion par le biais de la liaison spécialisée est la première
alternative, toutefois son coût très élevé rend difficile son implémentation dans
la plupart des entreprises,
« Un bon compromis consiste à utiliser Internet comme support de transmission en
utilisant un protocole d'encapsulation" (en anglais tunneling, d'où l'utilisation
impropre parfois du terme "tunnelisation"), c'est-à-dire encapsulant les données à
transmettre de façon chiffrée. On parle alors de réseau privé virtuel (noté RPV ou
VPN, acronyme de Virtual Private Network) pour désigner le réseau ainsi
artificiellement créé.
Ce réseau est dit virtuel car il relie deux réseaux "physiques" (réseaux locaux)
par une liaison non fiable (Internet), et privé car seuls les ordinateurs des
réseaux locaux de part et d'autre du VPN peuvent "voir" les données. » Source :
Commeçamarche.
II. Fonctionnement d’un VPN
Un réseau privé virtuel repose sur un protocole, appelé protocole de tunnelisation
(tunneling), l’avantage de ce protocole est de faire circuler des données de
manière chiffrée. Le principe très simple consiste via ce protocole à créer un
tronçon virtuel en chiffrant par des algorithmes de cryptologie chaque extrémité du
tronçon. Ainsi, les utilisateurs ont l’impression de se connecter directement sur
le réseau de leur entreprise.
Le terme de "tunnel" est utilisé pour faire ressortir l’aspect essentiel du
chiffrement de l'entrée et de la sortie du VPN rendant incompréhensif les données
transmises sur le tronçon pour toutes personnes en dehors de ce tunnel en cas
d’interception (écoute).
Dans le cas d'un VPN établi entre deux machines, on appelle client VPN l'élément
permettant de chiffrer et de déchiffrer les données du côté utilisateur (client) et
serveur VPN (ou plus généralement serveur d'accès distant) l'élément chiffrant et
déchiffrant les données du côté de l’entreprise.
« De cette façon, lorsqu'un utilisateur nécessite d'accéder au réseau privé
virtuel, sa requête va être transmise en clair au système passerelle, qui va se
connecter au réseau distant par l'intermédiaire d’une infrastructure de réseau
public, puis va transmettre la requête de façon chiffrée.
L'ordinateur distant va alors fournir les données au serveur VPN de son réseau
local qui va
transmettre la réponse de façon chiffrée. A la réception sur le client VPN de
l'utilisateur, les données seront déchiffrées, puis transmises à l'utilisateur. »
III. Les protocoles de tunnelisation
Les principaux protocoles de tunneling sont nombreux, il est à noter par ailleurs
que dans le VPN les trames ne sont pas envoyées telles quelles, elles sont d'abord
encapsulées par le protocole de tunneling, et décapsulé par ce même protocole à
l'arrivée.
Le tunneling inclut donc tout un processus qui peut se résumer par l'encapsulation,
la transmission et la désencapsulation.
La création d'un tunnel pour acheminer ces données est subordonnée à l'utilisation
d'un même protocole aux ordinateurs communicants (PPTP, SSL, IPsec...).
Nous pouvons classer les protocoles que nous allons étudier en trois catégories, à
savoir : - Les protocoles de niveau 2 tels que le PPTP, L2TP et L2F
- Les protocoles de niveau 3 tels que IPsec et MPLS
- Les protocoles de niveau 4 tels que SSL et SSH
Les principaux protocoles permettant de créer des VPN sont les suivants :
GRE (Generic Routing Encapsulation) développé au départ par Cisco, à l'origine
protocole transportant des paquets de couche 3, mais pouvant désormais aussi
transporter la couche 2.
PPTP (Point-to-Point tunneling Protocol) est un protocole transportant des trames
de couche 2 (du PPP) développé par Microsoft, 3Com, Ascend, US Robotics et ECI
Telematics.
L2F (Layer Two Forwarding) est un protocole transportant des trames PPP (couche 2)
développé par Cisco Systems, Nortel et Shiva. Il est désormais obsolète.
L2TP(Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC
393110) pour faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi
d'un protocole transportant des sessions PPP (couche 2).
IPsec est un protocole transportant des paquets (couche 3), issu des travaux de
l'IETF, permettant de transporter des données chiffrées pour les réseaux IP. Il est
associé au protocole IKE pour l'échange des clés.
L2TP/IPsec est une association de ces deux protocoles (RFC 3193) pour faire passer
du PPP sur L2TP sur IPsec, en vue de faciliter la configuration côté client sous
Windows.
VPN (Virtual Private Network)
SSL/TLS, déjà utilisé pour sécuriser la navigation sur le web via HTTPS, permet
également l'utilisation d'un navigateur Web comme client VPN. Ce protocole est
notamment utilisé par OpenVPN.
SSH permet, entre autres, d'envoyer des paquets depuis un ordinateur auquel on est
connecté.
MPLS permet de créer des VPN distribués (VPRN) sur un nuage MPLS, de niveau 2
(L2VPN) point à point, point à multipoint (VPLS), ou de niveau 3 (L3VPN) notamment
en IPv4 (VPNv4) et/ou IPv6 (VPNv6 / 6VPE), par extension et propagation de VRF
(Virtual routing and forwarding – tables de routage virtuelles) sur l'ensemble du
réseau MPLS.
Les protocoles de couche 2 dépendent des fonctionnalités spécifiées de PPP (Point
to Point Protocol), c'est pourquoi nous allons tout d'abord rappeler le
fonctionnement de ce protocole.
III.1 - Le protocole PPP
Le protocole PPP (Point To Point Protocol) est un ensemble de protocole standard
garantissant l'interopérabilité des logiciels d'accès distant de divers éditeurs.
Une connexion compatible PPP peut appeler des réseaux distants par l'intermédiaire
d'un serveur PPP standard de l'industrie. PPP permet également à un serveur d'accès
à distance de recevoir des appels entrants et de garantir l'accès au réseau à des
logiciels d'accès distant d'autres éditeurs, conformes aux normes PPP.
Il a l'avantage d'être nativement pris en charge par Windows et plusieurs autres
plateformes, sans avoir besoin d'installer un autre logiciel. Malheureusement, il
est à oublier car il n'est pas réputé fiable.
III.2 - Le protocole PPTP
Le principe du protocole PPTP (Point To Point Tunneling Protocol) est de créer des
trames sous le protocole PPP et de les encapsuler dans un datagramme IP.
Protocole en partie développé par Microsoft, il est le protocole standard pour VPN
depuis sa création. Premier protocole VPN à être pris en charge par Windows, PPTP
offre une bonne sécurité en s’appuyant sur toute une gamme de méthodes
d’authentification, comme MS_CHAP v2, la plus courante du lot.
Chaque appareil ou plateforme compatible avec un VPN a le mode PPTP par défaut, et
puisqu’il est simple à configurer, il reste le choix le plus courant pour les
fournisseurs de VPN, mais aussi les entreprises.
Son installation ne nécessite pas de performance techniques avancées, le rendant
l’un des protocoles VPN les plus rapides du marché.
Toutefois, même s’il utilise d’habitude un cryptage 128 bits, il existe quelques
vulnérabilités en matière de sécurité, la plus sérieuse étant la possibilité de
faille de l’authentification MS-CHAP v2.
À cause de ça, PPTP peut être craqué en deux jours. Et même si cette faille a été
réparée par Microsoft, il recommande quand même aux utilisateurs de VPN d’utiliser
SSTP ou L2TP à la place.
Avantage : Il est pris en charge par Windows et plusieurs autres plateformes sans
avoir besoin d’installer un autre logiciel.
Inconvénient : Il est réputé pour n'être pas fiable.
III.3 - L2TP et L2TP/IPsec
* Le protocole L2TP (Layer 2 Tunnel Protocol) est un protocole standard développé
par Cisco très proche du PPTP. Ainsi le protocole L2TP encapsule des trames
protocole PPP, encapsulant elles-mêmes d'autres protocoles (tels que IP, IPX ou
encore NetBIOS).
Layer 2 Tunnel Protocol, contrairement aux autres protocoles VPN, n’offre aucune
confidentialité ni aucun cryptage au trafic qui y passe. Il est donc souvent
accompagné d’une suite de protocoles appelée IPsec pour crypter les données avant
leur transmission, offrant ainsi confidentialité et sécurité aux utilisateurs.
Tous les appareils modernes compatibles avec un VPN et tous les systèmes
d’exploitation possèdent L2TP/IPsec.
La configuration est aussi rapide et simple qu’un PPTP, mais il peut y avoir des
soucis, puisque ce protocole utilise le port 500 UDP, qui peut facilement se
retrouver bloqué par des firewalls NAT. Il faudra donc peut-être rediriger le port
si on l’utilise avec un firewall.
Il n’y a pas de vulnérabilités majeures associées au cryptage IPsec, et il peut
être fiable, s’il est installé correctement.
* IPsec
IPSEC est un "Framework " qui spécifie plusieurs protocoles à utiliser afin de
fournir un standard de sécurité.
Les protocoles spécifiés par IPSEC sont : Encapsulatlnq Securltv Payload : ESP
Il est le plus utilisé par IPSEC, ESP va encrypter les données. ESP protège
également contre des attaques basées sur du trafics " replayed "·
Authentication Header : AH
AH fournit l'authentification de la donnée. Il est peu utilisé, ESP étant plus
efficace et cryptant le tout.
Plus tard dans notre configuration nous utiliserons ESP puisqu'il permet de crypter
les données en utilisant DES, 3DES ou AES. AH ne permet pas cela
Internet Key Exchange : IKE
IKE va nous permettre de négocier des paramètres de sécurités et créer les clés
d'authentification utilisée par le VPN. IKE va permettre d'établir un échange de
clé de manière sécurisé sur un réseau " non sécurisé "·
Les VPN IPSEC utilisent le protocole IKE afin d'établir une communication sécurisée
entre deux « peers » à travers un réseau non sécurisé. IKE utilise l'algorithme de
DIFFIE-HELLMAN afin d'échange des clés symétriques entre deux " peers " et de
configurer les paramètres de sécurités associé au VPN. IKE utilise le port UDP 500
et envoie des « keepalive » toutes les 10 secondes.
IKE :
- Elimine le besoin de spécifier manuellement tous les paramètres de sécurités sur
chaque " peer "·
- Permet de configurer une durée de vie pour la SA (Security association) de IPSEC.
Une SA est un " ensemble de contrat de sécurité "·
- Permet de changer les clés d'encryptions pendant la session IPSEC.
- Permet de fournir des services « anti-replay ... »
- Supporte l'architecture PKI.
- Permet une authentification dynamique de chaque peer.
De plus, puisque le protocole LT2P/IPsec encapsule deux fois les données, il
n’est pas aussi efficace que les solutions SSL, et légèrement plus lent que les
autres protocoles VPN.
Avantages : Il est pré-intégré dans les appareils modernes et systèmes opératoires
OS. Inconvénients : Il est plus lent que OpenVPN. Il utilise plusieurs ports fixes
et peut poser
problème si on l’utilise avec un firewall restrictif.
III.4 - SSL (Secure Sockets Layer) / TLS (Transport Layer Security)
Ce sont des protocoles permettant de sécuriser les échanges sur internet. Développé
à l'origine sous le nom SSL par Netspace, l'IETF en reprend le développement en le
rebaptisant TLS. Ce sont des protocoles très largement utilisé car les protocoles
de la couche application comme HTTP n'ont pas besoin d'être profondément modifiés
pour utiliser une connexion sécurisée. Ils sont seulement implémentés au-dessus de
ces protocoles, ce qui donne pour le HTTP : le HTTPS.
Avantages : Il permet l'utilisation d'un navigateur Web comme client VPN. III.5 -
OpenVPN
«Technologie open source relativement récente, OpenVPN utilise les protocoles
SSLv3/TLSv1 et la bibliothèque OpenSSL, avec une combinaison d’autres technologies,
pour offrir à ses utilisateurs une solution VPN fiable et solide. Le protocole est
facilement configurable et fonctionne le mieux avec un port UDP, mais il peut être
configuré pour fonctionner sur n’importe quel port, rendant difficile pour Google
et d’autres services similaires de le bloquer.
Un autre avantage remarquable de ce protocole, c’est que la bibliothèque OpenSSL
prend en charge toute une gamme d’algorithmes cryptographiques, comme 3DES, AES,
Camellia, Blowfish, CAST-128 et bien plus encore, même si Blowfish et AES sont
presque exclusivement utilisé par les fournisseurs de VPN.
Quand il s’agit de cryptage, AES est la dernière technologie du marché et on le
considère comme la référence absolue. C’est tout simplement parce qu’il n’a pas de
faille connue, et il a été adopté par le gouvernement américain et ses agences pour
protéger des données sécurisées.
Tout d’abord, la vitesse de performance de protocole OpenVPN dépend du niveau de
cryptage utilisé, mais c’est en principe plus rapide que IPsec.
Au niveau de la configuration, c’est un peu plus ardu quand on compare avec
L2TP/IPsec et PPTP, particulièrement quand on utilise le OpenVPN classique. Non
seulement il vous faudra télécharger et installer le client, mais aussi des
fichiers de configuration additionnels, peu évidents. De nombreux fournisseurs de
VPN vivent ce problème de configuration dû au nombre de clients VPN customisés.
Les preuves mathématiques indiquent qu’OpenVPN, quand il est combiné à un cryptage
solide, est le seul protocole VPN qui peut être considéré comme sûr.» Source :
https://fr.vpnmentor.com
Avantage : Hautement sécurisé et configurable. Il peut contourner facilement les
pares-feux et étant open source, on peut facilement vérifier la présence de
backdoors.
Inconvénients : Nécessite des logiciels tiers.
IV. Différentes catégories de VPN
Il existe 02 grandes catégories d’utilisation des VPN. En étudiant ces schémas
d’illustration, il est possible d’isoler les fonctionnalités indispensables des
VPN.
IV.1 – VPN to site ou VPN nomade ou VPN Remote-Access
Le VPN nomade est utilisé pour permettre à des utilisateurs nomades d'accéder au
réseau privé. Il est utilisé pour accéder à certaines ressources prédéfinies d'une
entreprise sans y être physiquement présent.
Cette opportunité peut ainsi être très utile au commercial ou au cadre qui souhaite
se connecter au réseau de son entreprise tout en étant géographiquement éloigné.
L’utilisateur se sert d'une connexion Internet pour établir la connexion VPN. Il
existe deux cas :
- L'utilisateur demande au fournisseur d'accès de lui établir une connexion cryptée
vers le serveur distant : il communique avec le Nas (Network Access Server) du
fournisseur d'accès et c'est le Nas qui établit la connexion cryptée.
- L'utilisateur possède son propre logiciel client pour le VPN auquel cas il
établit directement la communication de manière cryptée vers le réseau de
l'entreprise.
Les deux méthodes possèdent chacune leurs avantages et leurs inconvénients :
- La première permet à l’utilisateur de communiquer sur plusieurs réseaux en créant
plusieurs tunnels, mais nécessite un fournisseur d'accès proposant un NAS
compatible avec la solution VPN choisie par l'entreprise. De plus, la demande de
connexion par le NAS n'est pas cryptée ce qui peut poser des problèmes de sécurité.
- La deuxième méthode, ce problème disparaît puisque l’intégralité des informations
sera cryptée dès l’établissement de la connexion. Par contre, cette solution
nécessite que chaque client transporte avec lui le logiciel, lui permettant
d’établir une communication cryptée. Pour pallier à ce genre de problème certaines
entreprises mettent en place des VPN à base du protocole SSL, technologie
implémentée dans la majorité des navigateurs Internet du marché.
Quelle que soit La méthode de connexion choisie, ce type d’utilisation montre
bien l’importance dans le VPN d'avoir une authentification forte des utilisateurs.
Cette authentification peut se faire par une vérification "login / mot de passe",
par un algorithme dit "Tokens sécurisés" (utilisation de mots de passe aléatoires)
ou par certificats numériques.
IV.2 - L'intranet VPN ou VPN Site-to-Site
L'intranet VPN est utilisé pour relier au moins deux intranets entre eux. Ce type
de réseau est particulièrement utile au sein d'une entreprise possédant plusieurs
sites distants. Le plus important dans ce type de réseau est de garantir la
sécurité et l'intégrité des données.
Certaines données très sensibles peuvent être amenées à transiter sur le VPN (base
de données clients, informations financières...). Des techniques de cryptographie
sont mises en œuvre pour vérifier que les données n'ont pas été altérées, on parle
d’intégralité.
Il s'agit d'une authentification au niveau paquet pour assurer la validité des
données, de l'identification de leur source ainsi que leur non-répudiation. La
plupart des algorithmes utilisés font appel à des signatures numériques qui sont
ajoutées aux paquets.
La confidentialité des données est, elle aussi, basée sur des algorithmes de
cryptographie. La technologie en la matière est suffisamment avancée pour permettre
une sécurité quasi parfaite. Généralement pour la confidentialité, le codage en
lui-même pourrait être moyen voir faible, mais sera combiné avec d'autres
techniques comme l'encapsulation IP dans IP pour assurer une sécurité raisonnable.
Chapitre 3 : Administration et sécurité I. GESTION DE L’ADRESSAGE
Plusieurs groupes d’adresses ont été définis dans le but d’optimiser l’acheminement
(ou le routage) des paquets entre les différents réseaux. Ces groupes ont été
baptisés classes d’adresses IP qui correspondent à des regroupements en réseaux de
même taille. Les réseaux de la même classe ont le même nombre d’hôtes maximum.
En ce qui concerne notre projet, nous utiliserons des adresses de classe C pour la
configuration des différents nœuds (poste, routeur) du réseau.
En théorie, une adresse de classe C offre la possibilité d’identifier 254 machines
(sans adresses broadcast et réseau) et a un masque réseau qui est 255.255.255.0.
Pour prévoir une extensibilité future du réseau, il convient d’attribuer une
adresse de cette classe à chacun des sites. Les adresses étant différentes, les
différents sites ne pourront pas communiquer sans l’implémentation d’un mécanisme
de routage soit par un routeur ou un commutateur multicouche (commutateur faisant
le routage IP). Nous opterons pour le commutateur multicouche, étant donné qu’il
est plus rapide dans le traitement en interne.
Des Switch seront utilisés à plusieurs niveaux du réseau pour permettre la
segmentation et réduire le domaine de collision.
Dans la même veine, pour réduire les domaines de diffusion et pour ne permettre que
les communications autorisées, des VLAN et un routage Inter-VLAN sera définis.
Tableaux n° 10 : Tableaux donnant une répartition des Vlans et de l’adressage
Equipements
Routeur & Switch
Serveur de Domaine & Hyperviseur Copieurs IP & Imprimantes Téléphone IP + Autocom
VoIP Pointeuse Biométrique (IP)
Camera et Serveur de Vidéosurveillance
Login par défaut
192.168.1.0/24 192.168.2.0/24
192.168.3.0/24 192.168.4.0/24 192.168.5.0/24 192.168.6.0/24
IP dans le réseau
Vlan 1 Vlan 2
Vlan 3 Vlan 4 Vlan 5 Vlan 6
ESGI / UFRA
DENAGNON FRANCK
Page 40
II. SECURITE DES LIAISONS ET DE L’ACCES AUX SERVICES
Dès lors que le réseau privé transite par internet, le problème de la sécurité se
pose : les informations qu’il véhicule possèdent de la valeur et ne doivent pas
être accessibles à tout le monde, l’infrastructure réseau n’y échappent pas aussi.
Il convient donc de mettre en place toute une politique de sécurité pour garantir
un maximum de sécurité.
II.1 - Charte de sécurité
La charte de sécurité définit un ensemble de règles de bonne conduite à respecter
par les utilisateurs dans le but de faciliter le déploiement de la politique
sécurité.
Il s’agit d’un document qui garantit à tous une libre circulation de l’information,
un libre accès aux ressources informatiques, électroniques et numériques dans le
respect de la légalité.
Elle sert également à faire prendre conscience aux utilisateurs de certains risques
qu’ils pourraient encourir et des conséquences de tels risques.
Nous allons donc rédiger une stratégie de sécurité qui concernera tous les
utilisateurs du réseau à déployer, en les éduquant aux bonnes conduites à tenir.
II.2 – Sécurité logicielle
C’est l’ensemble des règles applicatives implémentées au niveau des nœuds pour
protéger le réseau contre toutes sortes de compromissions, d’agressions venant de
l’extérieur et même de l’intérieur.
- Pare-feuetAntivirus:
• Nous aurons à utiliser des ACL sur le routeur en firewall à l’entrée du réseau
filtrant tout ce qui entre et tout ce qui sort du réseau (services Netbios, RPC,
Telnet, NFS...).
• Mettre un pare-feu logiciel sur les serveurs de sorte à empêcher l’accès aux
données confidentielles.
• Installer des programmes antivirus mis à jour régulièrement sur tous les postes.
- Authentification :
• Filtrage par adresse MAC des liens Radio avec Non-diffusion du SSID et Clé WPA2-
PSK(AES).
• Authentification avec code d’accès pour les utilisateurs Wifi.
• Mise en place de mots de passe sur les nœuds les plus importants du réseau
(serveur,
routeur).
- Autres :
• Configurer des VLANs relatifs aux différents services à l’intérieur de chaque
site dans le
but de ne permettre que les communications autorisées entre ces services.
• Utiliser que des protocoles sécurisés, basés sur SSL (Secure Socket Layer) :
HTTPS,
SSH, IMAPS, DNSSEC, etc.
II.3 Sécurité physique
Elle concerne tous les dispositifs déjà mis en place pour assurer le bon
fonctionnement et la protection des équipements.
- Protection électrique des équipements
Un onduleur (en anglais UPS pour Uninterruptible Power Supply) est un dispositif
permettant de protéger des matériels électroniques contre les aléas électriques. Il
s’agit ainsi d’un boîtier placé en interface entre le réseau électrique (branché
sur le secteur) et les matériels à protéger afin d’éviter des pertes de données et
des interruptions de service, voire des dégâts matériels.
- Protection Mécanique des équipements
Les nœuds tels que les Switch, AP, Routeur seront installés dans des coffrets
sécurisés (panneaux de brassage) pour éviter tout désagrément. Les équipements du
réseau cœur seront par ailleurs centralisés dans la salle serveur qui est mieux
protégée par une porte à accès biométrique si possible.
- Système de refroidissement
Les locaux informatiques (salle serveur, salle d’équipements) doivent être équipés
d’un split
fonctionnant à une température abordable afin de protéger les composants
électroniques.
Conclusion de la deuxième partie
Cette partie de nos recherches, est une partie charnière qui a eu pour effet de
mieux appréhender la teneur de notre projet tout en cernant mieux les contours.
Il en est ressorti de son étude qu’il existe beaucoup de solutions pour mettre en
place des VPN intersite et qu’une technologie, l’IPSec semblent s’imposer
aujourd’hui pour la construction des VPN site-to-site. Nous avons appris plusieurs
points clés tel que :
- La technologie IPSec permet d’offrir des services de sécurité classiques
(authentification, confidentialité, intégrité, etc.) pour chaque datagramme
transitant par un réseau de transport (par exemple, Internet).
- Cette technologie peut être mise en œuvre par l’entreprise utilisatrice ou par un
fournisseur de service dans le cadre d’infogérance. Deux limitations essentielles
sont à retenir pour cette technologie : (1) elle ne permet pas de gérer la qualité
de service en cœur du réseau ; (2) elle ne transporte que les datagrammes IP.
Troisième partie :
Mise en œuvre de l’interconnexion
Introduction de la troisième partie
Cette partie s’attache, à travers une étude de cas, à montrer concrètement comment
mettre en place un système VPN.
Les chapitres de cette partie présentent donc de façon analytique cette étude de
cas :
- Le chapitre 1 analyse le plan d’action de déploiement, ici notre but sera de
mettre en exergue les besoins en moyen tant logistiques que matériels pour la bonne
exécution du projet aussi il sera fait mention du planning.
- Le chapitre 2 traite la configuration des équipements VPN, partie essentielle de
notre mémoire, ce chapitre sera notre champ d’étude approfondi.
- Le chapitre 3 aborde la question de l’estimation financière du projet.
CHAPITRE I : Plan d’action de déploiement
Les tunnels VPN IPsec de site à site sont utilisés pour permettre la transmission
sécurisée de données, de voix et de vidéo entre deux ou plusieurs sites (Dans notre
cas entre notre siège et nos succursales). Le tunnel VPN est créé sur le réseau
public Internet et crypté à l’aide d’un certain nombre d’algorithmes de cryptage
avancés pour assurer la confidentialité des données transmises entre les deux
sites.
Aussi, il a été défini un programme d’exécution des tâches en vue de la réalisation
du projet. Celui-ci met en synergie plusieurs moyens qui seront défini ci-après.
I. Les moyens
I.1 - Moyens humains
Le maître d'œuvre est l'auteur du projet ; il assure la direction des travaux et
peut en être l'architecte.
Une fois son projet validé par le maître d'ouvrage qui auprès de lui tient un rôle
de patron, le maître d'œuvre est responsable du bon déroulement des travaux et joue
un rôle de conseil dans le choix des entreprises qui vont les réaliser.
Il est responsable du suivi des délais et des budgets selon les modalités définies
dans le cahier des clauses administratives particulières. Dans notre cas, à la
SOROUBAT, le département informatique tient ce rôle pour ce qui est du projet réel
de conception d'un réseau VPN site-à site. Le maître d'ouvrage, qui se comporte
dans ce cas comme le commanditaire du projet reviendra à la direction de la
SOROUBAT.
En principe, une fois le projet réalisé et livré, il est important de déléguer
d’ordinaire la responsabilité du suivi du système mis en place à un personnel
spécial du Département Informatique.
I.2 - Moyens matériels
Les équipements définis dans le tableau ci-après ont été choisi selon les principes
de :
- - -
Performances, haute sécurité et fiabilité haut de gamme ; Configuration rapide et
facile ;
Prise en charge d’un éventail extrêmement large d’applications sur une même
plateforme avec, notamment, l’intégration des données, de la voix, de la vidéo ;
Equipements
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U 05
(Pour les 05 sites distants)
Switch CISCO Small Business SG 350X -48 – Rackable 48 X 05 1000Base-T
Quantité
Onduleur UPS 2000 VA (Pour armoire informatique) 05 Tableau n° 11 :
Equipements à Installer
ESGI / UFRA DENAGNON FRANCK
Page 45
Les équipements sont fournis par la SOROUBAT et installés par nos services.
I.3 - Moyens logistiques
Un véhicule de liaison assurera le transport de l’équipe, des équipements sur les
différents sites durant tout le déploiement.
Par ailleurs, pour certaines localités lointaines, il nous sera donné d’embarquer
sur un avion de la compagnie AIR IVOIRE, le coût du transport étant à la charge de
la SOROUBAT.
Ainsi, le gage pour nous d’avoir un appui logistique, assurera une réactivité quasi
instantanée.
II. Nombre de sites à installer
Nous aurons à installer trois (3) sites selon les coordonnées suivantes : Tableau
n° 12 : Coordonnées Géographiques des sites à installer
SITES Longitude Latitude Distance
Taabo
6.256893 5.213186 9.672539 6.895249 5.409668
-5.138010 -3.749728 -6.945121 -6.466118 -4.156859
161,72 Km 32.6 Km 559,57 Km 319.92 Km 18.97 Km
Bassam
Odienné
Daloa
PK 22
III. Le planning
- Une moyenne de 1 jour par site est prévue
- Une marge de manœuvre de 3 jours pour les déplacements et divers (Voir tableau
ci-dessous)
SITE
Taabo Bassam
Odienné Daloa PK 22 TOTAL
DATE
03 Jours 02 Jours
05 Jours 03 Jours 01 Jours 14 Jours
Tableau n° 13 : Planning des installations
Les débuts des travaux tel que défini par SOROUBAT était au 17 Avril
2017. Après dépôt préalable du projet le 03 Avril 2017 auprès du service Financier
de SOROUBAT pour validation du budget. Le chronogramme détaillé de ce planning
donne le programme qui suit :
• Jusqu’ au Mercredi 03 Mai 2017 : Configuration des équipements ;
• Lundi 08 Mai 2017 : Effectuer des tests de latence du réseau et de
l’accessibilité aux services VPN sur tous les sites distants ;
Chapitre 2 : Configuration des équipements et services.
L’installation, la configuration des serveurs et des équipements d’interconnexion
(routeurs et switch) se feront de façon identique sur les cinq sites distants. Pour
éviter la redondance nous vous présenterons les configurations sur un routeur à
titre de référant pour les autres switch et routeurs configurés.
On dispose d’un Switch de niveau 3 (48ports FastEthernet, 2 ports Gigabits) et d’un
routeur (1 port Gigabit, 1 port série). On souhaite diviser le switch en 6 VLANS
disposant chacun de 6 Interfaces Fa.
I. Configuration Vlan du switch CISCO
Switch CISCO Small Business SG 350X (48 Ports)
1. VLAN1 : 192.168.1.0 / 255.255.255.0 Fa0/1-Fa0/8 (vlan10 routeur) 2. VLAN2 :
192.168.2.0 / 255.255.255.0 Fa0/9-Fa0/16 (vlan20 PC)
3. VLAN3 : 192.168.3.0 / 255.255.255.0 Fa0/17-Fa0/24 (vlan30 imprimante) 4.
VLAN4 : 192.168.4.0 / 255.255.255.0 Fa0/25-Fa0/32 (vlan40 VoIP)
5. VLAN5 : 192.168.5.0 / 255.255.255.0 Fa0/33-Fa0/40 (vlan50 pointeuse) 6. VLAN6 :
192.168.6.0 / 255.255.255.0 Fa0/41-Fa0/48 (vlan60 camera)
Etape 1 :
Configuration du nom et mot de passe du switch
Création des Vlan et des SVI (IP de gestion aux commutateurs)
Switch>en
Switch#configure terminal
Enter configuration commands, one per line. End with CNTL/Z.
Switch (config)#hostname SRBCI
SRBCI (config) #enable secret admin@sorou
«
NB :
On crée et on configure les VLAN 1, 2, 3, 4, 5 et 6 avec respectivement les
adresses 192.168.1.254,
192.168.2.254, 192.168.3.254, 192.168.4.254, 192.168.5.254, 192.168.6.254 et un
masque de
255.255.255.0.
Tout en signalant qu’il est absolument inutile de configurer et d’attribuer une IP
à chaque VLAN
créer sur un switch, sauf dans le cas d’un switch niveau 3.
Or ici le niveau 3 sera assuré par un routeur, qui lui doit avoir une IP associée
pour chaque VLAN. Cependant, cela permet dans une certaine mesure de tester le
routage inter-vlan sans avoir besoin
de connecter de machine sur le switch.
»
SRBCI (config)#vlan 1
SRBCI (config-vlan)#name routeur SRBCI(config-vlan)#exit
SRBCI(config)#interface vlan 1
%LINK-5-CHANGED: Interface Vlan1, changed state to up SRBCI(config-if)#ip address
192.168.1.254 255.255.255.0 SRBCI(config-if)#no shut
SRBCI(config-if)#exit
SRBCI(config)#vlan 20
SRBCI(config-vlan)#name PC
SRBCI(config-vlan)#exit
192.168.2.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI(config)#vlan 30 SRBCI(config-vlan)#name Imprimante SRBCI(config-vlan)#exit
SRBCI(config-vlan)#name VoIP
SRBCI(config-vlan)#exit
%LINK-5-CHANGED: Interface Vlan40, changed state to up
SRBCI(config-if)#ip address 192.168.4.254 255.255.255.0
SRBCI(config-if)#no shut
SRBCI (config)#vlan 50 SRBCI(config-vlan)#name Pointeuse SRBCI(config-vlan)#exit
SRBCI(config-vlan)#name Camera SRBCI(config-vlan)#exit
%LINK-5-CHANGED: Interface Vlan60, changed state to up
SRBCI(config-if)#ip address 192.168.6.254 255.255.255.0 SRBCI(config-if)#no shut
Activation du routage sur le switch
SRBCI(config)#ip routing
Attributions des interfaces
Une fois que les VLANs sont créés, il convient de leur attribuer un ou plusieurs
ports à partir des commandes suivantes :
SRBCI (config)#interface nom_interface SRBCI (config-if)#switchport mode access
SRBCI (config-if)#switchport access vlan id_vlan SRBCI (config-if)#exit
On place maintenant les interfaces dans les vlans.
*Astuce : Pour configurer plusieurs ports dans un VLAN, on peut utiliser la
variable range.
SRBCI(config)#interface range fastEthernet0/1-8 SRBCI(config-if-range)#switchport
mode access
SRBCI(config-if-range)#switchport access vlan 10 SRBCI(config-if-range)#no shut
SRBCI(config-if-range)#exit
SRBCI(config)#interface range fa0/9-16
SRBCI(config-if-range)#switchport mode access SRBCI(config-if-range)#switchport
access vlan 20 SRBCI(config-if-range)#no shut SRBCI(config-if-range)#exit
SRBCI(config)#interface range fa0/33-40 SRBCI(config-if-range)#switchport mode
access SRBCI(config-if-range)#switchport access vlan 50 SRBCI(config-if-range)#no
shut SRBCI(config-if-range)#exit
SRBCI(config)#interface range fa0/41-48 SRBCI(config-if-range)#switchport mode
access SRBCI(config-if-range)#switchport access vlan 60 SRBCI(config-if-range)#no
shut SRBCI(config-if-range)#exit
Vérification de la bonne mise en place des VLAN « show vlan brief »
SRBCI #show vlan brief
VLAN Name Status Ports
---- -------------------------------- --------- -----------------------
1 default active Gig1/1, Gig1/2
2 VLAN10 active Fa0/1, Fa0/2, Fa0/3, Fa0/4,Fa0/5 Fa0/6, Fa0/7, Fa0/8
3 VLAN20
4 VLAN30
5 VLAN40
active
active
active
Fa0/9, Fa0/10, Fa0/11, Fa0/12,Fa0/13 Fa0/14, Fa0/15, Fa0/16
Fa0/17, Fa0/18, Fa0/19, Fa0/20,Fa0/21 Fa0/22, Fa0/23, Fa0/24
Fa0/25, Fa0/26, Fa0/27, Fa0/28, Fa0/29 Fa0/30, Fa0/31, Fa0/32
6 VLAN50 active Fa0/33, Fa0/34, Fa0/35, Fa0/36, Fa0/37 Fa0/38, Fa0/39, Fa0/40
7 VLAN60 active Fa0/41, Fa0/42, Fa0/43, Fa0/44, Fa0/45 Fa0/46, Fa0/47, Fa0/48
Sauvegardons notre configuration
Configuration des Vlan avec le routeur
On passe maintenant à la configuration de la liaison avec le routeur qui doit être
un trunk. On utilise ici l’interface Gigabit 1/1.
SRBCI # copy running-config startup-config Destination filename [startup-config]?
[enter] Building configuration...
[OK]
SRBCI(config)#interface g1/1
SRBCI (config-if)#switchport mode trunk
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state
to down
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/1, changed state
to up
SRBCI (config-if)#exit
Configuration du routeur en mode inter-vlan
On va s’occuper maintenant de la configuration du routeur, sur lequel on créera des
sous- interfaces pour chaque VLAN supplémentaires créés. Et de les configurer
(IP, ...). A noter qu’il faut configurer l’encapsulation de la sous interface pour
pouvoir lui attribuer une adresse IP.
Ceci correspond à l’adresse principale de l’interface, et également au VLAN1 (Vlan
Natif). Créons maintenant la sous-interface pour le VLAN2, 3, 4, 5, 6.
RSIEGE >en
RSIEGE #conf t
Enter configuration commands, one per line. End with CNTL/Z. RSIEGE(config)#int
gigabitEthernet0/0
RSIEGE (config-if)#ip address 192.168.1.1 255.255.255.0 RSIEGE (config-if)#no shut
RSIEGE (config)#interface gigabitEthernet 0/0.2
%LINK-5-CHANGED: Interface GigabitEthernet0/0.2, changed state to up %LINEPROTO-5-
UPDOWN: Line protocol on Interface GigabitEthernet0/0.2, changed state to up
RSIEGE (config-subif)#encapsulation dot1Q 2
RSIEGE (config-subif)#ip address 192.168.2.1 255.255.255.0
RSIEGE (config-subif)#no shut
RSIEGE (config-subif)#exit
RSIEGE(config-subif)#encapsulation dot1Q 3 RSIEGE(config-subif)#ip address
192.168.3.1 255.255.255.0
RSIEGE(config-subif)#no shut
RSIEGE(config-subif)#exit
RSIEGE(config-subif)#encapsulation dot1Q 4
RSIEGE(config-subif)#ip address 192.168.4.1 255.255.255.0
RSIEGE(config)#interface gigabitEthernet 0/0.5
%LINK-5-CHANGED: Interface GigabitEthernet0/0.5, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet0/0.5, changed
state to up
RSIEGE(config-subif)#encapsulation dot1Q 5 RSIEGE(config-subif)#ip address
192.168.5.1 255.255.255.0 RSIEGERSIEGE(config-subif)#no shut RSIEGE(config-
subif)#exit
RSIEGE(config)#interface gigabitEthernet 0/0.6
RSIEGE(config-subif)#encapsulation dot1Q 6
RSIEGE(config-subif)#ip address 192.168.6.1 255.255.255.0
Dans la commande « encapsulation dot1Q X », le chiffre X en fin de ligne
correspond au n° du VLAN
II. Configuration VPN du routeur CISCO
La SOROUBAT ayant besoin d’une connexion WAN entre son siège et ses succursales
basées à l’intérieur du pays, nous allons créer une liaison avec un tunnel IPsec.
IPsec est un protocole VPN qui fonctionne sur la couche 3 du modèle OSI. C’est
aussi un standard IETF, ce qui signifie que nous pouvons l’utiliser entre les
équipements de différents fabricants.
Les VPN IPSEC pour rappel permettent :
- Une authentification de chaque paquet.
- Une vérification de l’intégrité des données de chaque paquet. - De rendre
confidentiels les données de chaque paquet IP.
Le diagramme ci-dessous montre notre scénario simple. Les deux sites ont une
adresse IP publique statique, comme indiqué dans le diagramme.
R1 est configuré avec 105.235.19.10 /24 et R2 avec l'adresse IP 160.120.145.178
/24.
À partir de maintenant, les deux routeurs ont une configuration très basique
telle que adresses IP, NAT overload, route par défaut, noms d'hôte, connexions SSH,
etc.
Chaque site étant une image d'un petit réseau disposant d'un accès à internet, la
configuration se fera en 02 étapes :
Configuration du routage pour que les deux réseaux puissent communiquer
Prérequis
Avant de commencer à configurer le VPN IPsec, toujours s’assurer que les deux
routeurs peuvent se joindre.
II.1 Configuration de base des routeurs (SIEGE-FAI-TAABO) * Configuration des
interfaces WAN et LAN (RSIEGE)
• Configuration du routage pour que les deux réseaux puissent communiquer
• Configuration du VPN
Router(config)#hostname RSIEGE
RSIEGE(config)#interface s0/0/0
RSIEGE(config-if)#ip address 105.235.19.10 255.255.255.0
RSIEGE(config-if)#no shutdown
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up %LINEPROTO-5-UPDOWN:
Line protocol on Interface Serial0/0/0, changed state to up RSIEGE(config-if)#exit
RSIEGE(config)#interface g0/0
RSIEGE(config-if)#ip address 192.168.1.254 255.255.255.0
RSIEGE(config-if)#no shutdown
* Configuration des interfaces WAN (FAI)
FAI# configure terminal
FAI (config)#interface s0/0/1
FAI (config-if)#ip addresse 105.235.19.11 255.255.255.0
FAI (config-if)#no shut
FAI (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/1, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/1, changed state to
up FAI (config-if)#exit
FAI (config)#interface s0/0/0
FAI (config-if)#ip addresse 160.120.145.10 255.255.255.0
* Configuration de l’interface WAN et LAN (RTAABO)
RTAABO(config)#interface s0/0/0
RTAABO(config-if)#ip address 160.120.145.178 255.255.255.0
RTAABO(config-if)#no shutdown
RTAABO (config-if)#
%LINK-5-CHANGED: Interface Serial0/0/0, changed state to up
%LINEPROTO-5-UPDOWN: Line protocol on Interface Serial0/0/0, changed state to up
RTAABO(config-if)#exit
RTAABO(config)#interface g0/0
RTAABO(config-if)#ip address 192.168.2.254 255.255.255.0
RTAABO(config-if)#no shut down
RTAABO (config-if)#
%LINK-5-CHANGED: Interface GigabitEthernet0/0, changed state to up %LINEPROTO-5-
UPDOWN: Line protocol on Interface GigabitEthernet0/0, changed state to up
RTAABO(config-if)#exit
II.2 Configuration de la route par défaut, routeurs (SIEGE-FAI-TAABO).
* Configuration des routes sur routeur SIEGE (RSIEGE) RSIEGE(config)#ip route
0.0.0.0 0.0.0.0 105.235.19.11
* Configuration des routes sur routeur FAI FAI(config)#ip route 0.0.0.0 0.0.0.0
105.235.19.10 FAI(config)#ip route 0.0.0.0 0.0.0.0 160.120.145.178
* Configuration des routes sur routeur TAABO (RTAABO) RTAABO(config)#ip route
0.0.0.0 0.0.0.0 160.120.145.10
Après un ping de vérification, nous pouvons confirmer que les trois routeurs
peuvent communiquer. Maintenant que le routage s'est bien passé nous allons
sécuriser le réseau.
II.3 Mise en place d'un VPN IPsec
Nous avons 6 étapes à suivre pour la mise en place du VPN
• Définir la politiqueISAKMP (IKE Phase1: Méthode de chiffrement, durée de vie,
méthode d’intégrité, ce qui va permettre de définir une IKE Security
Association).
• Créer la clé partagée
• Créer une transform-set (IKE Phase2 : Nous allons configurer les politiques de
sécurité
IPSec « protocole esp, vérifier le type de liaison » afin d’avoir un IPSec Security
Association).
• Mettre en place une ACL (qui définira quel trafic peut/doit emprunter le VPN)
• Créer un crypto map
• Appliquer le crypto map à l’interface de sortie du routeur
- Configuration du routeur site 1 (Routeur Siege)
On s’assure tout d’abord que l’IOS de notre routeur supporte le VPN à travers la
commande « sh version » en mode configuration ou faire une MAJ de l’IOS vers un
/K9, ensuite nous entamons la première partie qui consiste à configurer la
politique c’est-à-dire qu’elle encryption on utilise, qu’elle hash quel type
d’authentification, etc.
Étape 1. Définition de la politique ISAKMP
RSIEGE(config)#crypto isakmp enable RSIEGE(config)#crypto isakmp policy 1
RSIEGE(config-isakmp)#encryption aes RSIEGE(config-isakmp)#hash md5 RSIEGE(config-
isakmp)#authentication pre-share RSIEGE(config-isakmp)#group 2 RSIEGE(config-
isakmp)#lifetime 86400 RSIEGE(config-isakmp)#exit
Voici les détails de chaque commande utilisée ci-dessus,
• Crypto isakmp policy 1 - Cette commande crée la stratégie ISAKMP numéro 1. Nous
pouvions créer plusieurs stratégies, par exemple 7, 8, 9 avec une configuration
différente. Les routeurs participant à la négociation de la phase 1 essaient de
faire correspondre une stratégie ISAKMP à la liste des stratégies une par une. Si
une stratégie est mise en correspondance, la négociation IPSec passe à la phase
suivante. On crée donc ici une stratégie avec un numéro de séquence 1.
Ce numéro indique la priorité de l'utilisation de la stratégie. Plus petit est ce
nombre plus la priorité est grande.
• authentication pre-share - La méthode d'authentification est la clé pré-
partagée.
• encryption 3aes - L’algorithme de cryptage 3AES (Advanced Encryption Standard)
sera
utilisé pour la confidentialité.
• hash md5 - L’ algorithme de hachage md5 sera utilisée pour l'intégrité.
• group 2 - Méthode de distribution des clés partagées DH-2. Le groupe Diffie-
Hellman utilisé
ici est le groupe 2 pour la méthode d’échange des clés.
• lifetime 86400 - Spécifie le temps de validité de la connexion avant une nouvelle
négociation
des clefs. (Valeur par défaut)
Ensuite, toujours dans la première partie, nous créons la clé partagée
Étape 2. Création de la clé de partage
RSIEGE(config)#crypto isakmp key cisco@123 address 160.120.145.178
• crypto isakmp key cisco@123 address 160.120.145.178- On crée ainsi la clé pré-
partagée, ici «cisco@123» qu'on associe avec l'adresse IP de l'homologue à l'autre
bout du tunnel ici 160.120.145.178.
On définit par ailleurs si on doit identifier le routeur par son adresse ou par son
hostname (ici on choisit l'adresse publique fixe), l'identification par hostname
peut être utile si on fonctionne avec une adresse publique dynamique, ce qui permet
d'éviter trop de modifications de configuration en cas de changement d'adresse.
La deuxième partie, quant à elle consiste à définir comment les données seront
cryptées. Tout d'abord on crée la méthode de cryptage (transform-set) que l'on
nomme ici vpnset.
Étape 3. Création d’une transform-set
RSIEGE(config)#crypto ipsec transform-set vpnset esp-aes esp-md5-hmac RSIEGE(cfg-
crypto-trans)#crypto ipsec security-association lifetime seconds 3600 RSIEGE(cfg-
crypto-trans)#exit
Voici le détail de la commande utilisée ci-dessus,
• crypto ipsec transform-set vpnset - Crée un ensemble de transformation appelé
vpnset
• esp-aes - la méthode de cryptage AES et le protocole ESP IPSec seront utilisés.
• esp-md5-hmac - L'algorithme de hachage MD5 sera utilisé.
• crypto ipsec security-association lifetime seconds- Il s'agit de la durée de vie
de la clé de
cryptage.
Nous prenons soin de vérifier d’avoir utilisé les mêmes protocoles d’encryptions
et de Hash utilisés dans la première étape.
Dans notre cas : Encryption : aes, hash : md5
Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic
intéressant (ACL).
Nous créons la crypto ACL qui est une ACL qui va identifier le trafic « intéressant
» c’est à dire le trafic qui doit passer par le tunnel VPN (ici c’est le trafic
depuis le LAN SIEGE vers le LAN TAABO, ça sera l’inverse sur l’autre routeur). Le
trafic permit par cette ACL sera chiffré dans le tunnel IPSEC, le reste non...On
crée donc une access-list étendue :
RSIEGE(config)#ip access-list extended vpn-traffic RSIEGE(config-ext-nacl)#permit
ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 RSIEGE(config-ext-nacl)#exit
Cette ACL définit le trafic qui doit passer par le tunnel VPN. Ici, le trafic en
provenance du réseau 192.168.1.0 vers le réseau 192.168.2.0 sera acheminé via le
tunnel VPN. Cette ACL sera utilisée à l’étape 5 de Crypto Map.
Étape 5. Configuration de Crypto Map.
Nous créons la crypto map qui définit le chemin qu’emprunte notre tunnel avec : La
politique IPSec, l’adresse IP du routeur distant avec lequel on veut communiquer,
la crypto ACL et le transform-set pour la politique IPSec.
RSIEGE(config)#crypto map IPSEC-VPN 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured. RSIEGE(config-crypto-map)#set peer
160.120.145.178 RSIEGE(config-crypto-map)#match address vpn-traffic RSIEGE(config-
crypto-map)#set transform-set vpnset
Voici le détail de la commande utilisée ci-dessus,
• ipsec-isakmp - Crée une nouvelle carte de chiffrement avec le numéro de séquence
10. On peut créer plusieurs numéros de séquence avec le même nom, si on a plusieurs
sites.
• set peer 160.120.145.178– Associe l’ IP destination, ici l'adresse IP publique de
RTAABO
• match address vpn-traffic - Associe l’ ACL précédemment crée et nommé vpn-traffic
.
• set transform-set vpnset - Ceci relie le transform-set à la configuration de la
crypto map.
Étape 6. Application de la Crypto Map à l'interface sortante de RSIEGE.
La configuration de RSIEGE est presque terminée nous devons appliquer la crypto map
sur
l’interface de sortie de ce routeur, dans notre cas s0/0/0.
Un message vous indique que la crypto map fonctionne.
Étape 7. Exclue le traffic VPN du NAT Overload.
RSIEGE(config)#int s0/0/0
RSIEGE(config-if)#crypto map IPSEC-VPN
*Mar 1 19:16:14.231: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
RSIEGE(config)#ip access-list extended 101 RSIEGE(config-ext-nacl)#deny ip
192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 RSIEGE(config-ext-nacl)#permit ip
192.168.1.0 0.0.0.255 any RSIEGE(config-ext-nacl)#exit
RSIEGE(config)#ip nat inside source list 101 interface S0/0/0 overload
Au-dessus de l’ACL 101, le trafic intéressant sera exclu du NAT.
- Configuration du routeur site 2 (Routeur Taabo)
Nous allons répéter les étapes de RSIEGE à l’identique sur le routeur RTAABO à
l’exception de l’access-list qui doit être inversé au vu de la source et de la
destination
Étape 1. Définition de la politique ISAKMP
La configuration est la même que pour le Routeur Siège à certaines exceptions :
• Dans l’ACL « vpn-traffic » on doit inverser l’adresse IP de l’hôte source et de
l’hôte de destination
• Dans la définition du transform-set on doit changer l’adresse du peer en mettant
l’adresse IP de RSIEGE
• Dans l’ACL CRYPTOACL on doit inverser le réseau source et le réseau de
destination
• Dans la crypto map on doit mettre comme adresse du peer l’adresse IP de RSIEGE
RTAABO(config)#crypto isakmp enable RTAABO(config)#crypto isakmp policy 1
RTAABO(config-isakmp)#encryption aes RTAABO(config-isakmp)#hash md5 RTAABO(config-
isakmp)#authentication pre-share RTAABO(config-isakmp)#group 2 RTAABO(config-
isakmp)#lifetime 86400 RTAABO(config-isakmp)#exit
Étape 2. Création de la clé de partage
RTAABO(config)#crypto isakmp key cisco@123 address 105.235.19.10
Étape 3. Création d’une transform-set
RTAABO(config)#crypto ipsec transform-set vpnset esp-aes esp-md5-hmac RTAABO(cfg-
crypto-trans)#crypto ipsec security-association lifetime seconds 3600
Étape 4. Configuration de la liste de contrôle d'accès étendu pour un trafic
intéressant (ACL).
RTAABO(config)#ip access-list extended vpn-traffic RTAABO(config-ext-nacl)#permit
ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Étape 5. Configuration de Crypto Map.
RTAABO(config)#crypto map IPSEC-VPN 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured. RTAABO(config-crypto-map)#set peer
105.235.19.10 RTAABO(config-crypto-map)#match address vpn-traffic RTAABO(config-
crypto-map)#set transform-set vpnset
Étape 6. Application de la Crypto Map à l'interface sortante de RTAABO
Étape 7. Exclue le traffic VPN du NAT Overload
RTAABO(config)#int s0/0/0
RTAABO(config-if)#crypto map IPSEC-VPN
*Mar 1 19:46:10.123: %CRYPTO-6-ISAKMP_ON_OFF: ISAKMP is ON
RTAABO(config)#ip access-list extended 101 RTAABO(config-ext-nacl)#deny ip
192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255 RTAABO(config-ext-nacl)#permit ip
192.168.2.0 0.0.0.255 any RTAABO(config-ext-nacl)#exit
RTAABO(config)#ip nat inside source list 101 interface S0/0/0 overload
VERIFICATION ET TEST
Pour tester la connexion VPN, nous envoyons tout d’abord une requête ping de
PCSIEGE à PCTAABO.
PC>ping 192.168.2.10
Pinging 192.168.2.10 with 32 bytes of data :
Reply from 192.168.2.10: bytes=32 time=2ms TTL=126 Reply from 192.168.2.10:
bytes=32 time=7ms TTL=126 Reply from 192.168.2.10: bytes=32 time=2ms TTL=126 Reply
from 192.168.2.10: bytes=32 time=2ms TTL=126
Ping statistics for 192.168.2.10:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times
in milli-seconds: Minimum = 2ms, Maximum = 7ms, Average = 3ms
Pour vérifier la connexion IPSec Phase 1, on tape « show crypto isakmp sa »
comme indiqué :
RSIEGE#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status 160.120.145.178 105.235.19.10 QM_IDLE 1026 0
active
-----------------------------------------------------------------------------------
------------------------------------- RTAABO#show crypto isakmp sa
IPv4 Crypto ISAKMP SA
Dst src state conn-id slot status 105.235.19.10 160.120.145.178 QM_IDLE 1026 0
active
QM_IDLE : Signifie que le Tunnel est bien monté. Pour vérifier la connexion IPSec
Phase 2, on tape « show crypto ipsec sa » comme indiqué :
RSIEGE#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 105.235.19.10
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) remote ident
(addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0) current_peer 160.120.145.178
port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 3, #pkts decrypt: 3, #pkts verify: 0
....................
local crypto endpt.: 105.235.19.10, remote crypto endpt.:160.120.145.178 path mtu
1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x133B6163(322658659)
inbound esp sas:
spi: 0x49363F4A(1228291914)
transform: esp-aes esp-md5-hmac ,
in use settings ={Tunnel, }
................
Status: ACTIVE
-----------------------------------------------------------------------------------
-----------------------------------------
RTAABO#show crypto ipsec sa
interface: Serial0/0/0
Crypto map tag: IPSEC-VPN, local addr 160.120.145.178
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.2.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.1.0/255.255.255.0/0/0) current_peer
105.235.19.10 port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 4, #pkts encrypt: 4, #pkts digest: 0
#pkts decaps: 5, #pkts decrypt: 5, #pkts verify: 0
...................
local crypto endpt.: 160.120.145.178, remote crypto endpt.:105.235.19.10 path mtu
1500, ip mtu 1500, ip mtu idb Serial0/0/0
current outbound spi: 0x49363F4A(1228291914)
inbound esp sas:
spi: 0x133B6163(322658659) transform: esp-aes esp-md5-hmac , in use settings
={Tunnel, }
...........
Status: ACTIVE
Pour vérifier la crypto map, on tape « show crypto map » sur chacun des
routeurs comme
indiqué
RSIEGE#show crypto map
Crypto Map IPSEC-VPN 10 ipsec-isakmp
Peer = 160.120.145.178
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
Current peer: 160.120.145.178
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0
-----------------------------------------------------------------------------------
------------------------------------- RTAABO#show crypto map
Crypto Map IPSEC-VPN 10 ipsec-isakmp
Peer = 105.235.19.10
Extended IP access list vpn-traffic
access-list vpn-traffic permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Current peer: 105.235.19.10
Security association lifetime: 4608000 kilobytes/3600 seconds
PFS (Y/N): N
Transform sets={
vpnset,
}
Interfaces using crypto map IPSEC-VPN:
Serial0/0/0
Sur l’ordinateur PC-SIEGE nous faisons un « traceroute » vers PC-TAABO
PC>tracert 192.168.2.10
Tracing route to 192.168.2.10 over a maximum of 30 hops:
1 0 ms 0 ms 0 ms 192.168.1.254 2 2 ms * 1 ms 160.120.145.178 3 2 ms 1 ms 2 ms
192.168.2.10
Trace complete.
<= On voit ici l’IP de RTAABO
Chapitre 3 : Estimation financière du projet
Ici, il est question de moyens financiers concernant le coût de réalisation de ce
projet.
Le présent tableau apporte un résumé des dépenses effectuées en termes de
matériels, cette facture fera foi de bilan financier :
Equipements Quantité
Prix Unitaire (Ttc)
150 000 Fcfa
Prix Total (Ttc)
600 000 Fcfa 7 000 000 Fcfa
Routeur Cisco 1921 / K9 - GigE- Montable sur rack - modulaire - 1U (Pour les 04
sites distants)
04
850.000 Fcfa
3 400 000 Fcfa
Switch CISCO Small Business SG 350X -48 – Rackable 48 X 1000Base-T
04
750 000 Fcfa
3 000 000 Fcfa
Onduleur UPS 2000 VA (Pour armoire informatique)
TOTAL
04
Tableaux 12 : Estimation Financière du Projet
ESGI / UFRA DENAGNON FRANCK
Page 60
Conclusion
Conclusion générale
Le développement de la technologie en général et de l’informatique en particulier a
suscité un engouement pour la modernisation du traitement des systèmes
d’information.
Ces technologies ont pu se développer grâce aux performances toujours plus
importantes des réseaux locaux. Mais le succès de ces systèmes d’information a fait
aussi apparaître un de leur écueil.
Ce projet nous a permis de mieux appréhender les problèmes liés aux réseaux locaux
dont ceux relatifs au déploiement d’un réseau VPN comprenant plusieurs sites
distants tout en garantissant une qualité de service.
En outre il nous a permis de nous familiariser davantage aux équipements CISCO.
Il ressort entre autres de cette présente étude qu’il y a accord entre la réflexion
théorique menée et la mise en place pratique des VPN, constat qui à notre sens
valide notre projet.
Toutes fois nous admettons que nos théories et nos réflexions bien qu’empiriques ne
soient pas des vérités indubitables et définitives.
Elles sont susceptibles d'être réfutées par des modèles plus robustes ou par des
observations postérieures divergentes qui seraient liées à l'évolution des
technologies, elles-mêmes en constante mutation. C'est le propre de toute
proposition intellectuelle de s'attendre à être un jour ou l'autre dépassée.
Mais elle peut tout aussi bien être plus tard renforcée par d'autres approches et
mises en place.
BIBLIOGRAPHIE, WEBOGRAPHIE et VIDEOTHEQUE - BIBLIOGRAPHIE :
• Jean-François Challande Jean-Louis Lequeux. – Le grand livre DU DSI, Edition
Eyrolles 2009 ;
• Laurent Bloch, Christophe Wolfhugel, Ary Kokos, Gérôme Billois, Arnaud Soullié,
Alexandre Anzala-Yamajako, Thomas Debize. – Sécurité informatique pour le DSI, 5
ème éditions, editions-eyrolles
• C. Pernet. – Sécurité et espionnage informatique
• Ghernaouti-HélieS., Sécurité informatique et réseaux, Edition DUNOD, Paris,
2011 ;
- WEBOGRAPHIE :
• Mémoire « Mise en place d'un réseau VPN au sein d'une entreprise. Cas de la
BRALIMA Sarl en RDC » : https://www.memoireonline.com/01/13/6733/m_Mise-en-place-
dun-reseau- VPN-au-sein-dune-entreprise-Cas-de-la-BRALIMA-Sarl-en-RDC17.html
• Réseau privé virtuel VPN : https://www.frameip.com/vpn/
• Les réseaux de zéro : https://openclassrooms.com/fr/courses/1561696-les-reseaux-
de-
zero/3199431-les-topologies
• OpenVpn : https://fr.vpnmentor.com
• VPN site to site Ipsec: http://idum.fr/spip.php?article214
• Configure Site to Site IPSec VPN Tunnel in Cisco IOS Router:
http://www.mustbegeek.com/configure-site-to-site-ipsec-vpn-tunnel-in-cisco-ios-
router/
• VPN site to site : https://www.supinfo.com/articles/single/921--vpn-site-to-site
• La mise en place d'un VPN : https://www.supinfo.com/articles/single/2384-mise-
place-vpn
• Configuration d’un vpn ipsec entre deux routeurs cisco:
http://www.lolokai.com/blog/2012/03/27/configuration-dun-vpn-ipsec-entre-deux-
routeurs-
cisco/
• IKE : http://pteu.fr/doku.php?id=informatique:cisco:ipsec
• CONFIGURATION D’UN VLAN SUR SWITCH CISCO :
https://www.fbotutos.com/configuration-dun-vlan-sur-switch-cisco.html
- VIDEOTHEQUE
• Alphorm - Reseaux Cisco (1-2) - Maitriser la sécurité
• Alphorm.Formation. Cisco.CCNA.CCNP.[Pack.Complet].Video.mp4-ArcheryTeam
• Video2Brain Fondamentaux Réseaux
• Faire communiquer des machines dans des vlans différents via un routeur (Prince
Attobla)
https://www.youtube.com/watch?v=UXRphawCH4c

Texte 2

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Texte 2

Transféré par

Droits d'auteur :

Formats disponibles

MISE EN PLACE D’UN VPN (SITE-TO-SITE) AU SEIN D’UNE ENTREPRISE : CAS DE LA SOROUBAT

(SOCIETE DE ROUTES ET BATIMENTS)

ISSAM MASSUSSI BILLONG Page 2

Institut supérieur des sciences art et métiers(ISSAM) réunit sept établissements

I.2 - Objectif et mission

- Localisation : Avenue Mduf-Fouda à Yaoundé .

Vous aimerez peut-être aussi