Implementation Et Supervision D'un Reseau WAN Base Sur La Technologie DMVPN 14

REPUBL/Ql/£ AL6ER/£JVNE IJEMOCHATJQUE ET POPOULAJRE '
Ministere de la formation et de l'enseiqnement professionnels :l'.<l

Ecole de Formation Professionnelle
« INS/M »
02, Rue Petite Provence, Sidi Yahia, Hydra, Alger
Memoire de Fin de Formation pour l'Obtention du Dipf6me

De Technicien Superieur
Specialite: Reseaux et Systemes lnformatiques
THEME
IMPLEMENTATION ET SUPERVISION D'UN RESEAU
WAN BASE SUR LA TECHNOLOGIE DMVPN
Cas pratique : NAFTAL (Direction Centra/e des systemes d'informotion}
Organisme d'accueil: NAFTAL
Presente par: Encadreur:

M. KOMENAN Kouame M. OUALI Kamel
M. AOECHETTE Anis Ab<lelhak Promoteur:
M. AIT Messaoud Tewfik
Promotion
2012/2014
Remerciements :
On remercie tout d'abord dieu qui nous a donne la force de continuer ce

travail et de le finir malgre tous !es obstacles qu 'on a rencontre en chemin.
Notre promoteur :vi. Ait Messaoud Tewfik qui nous a ete d'une immense
et precieuse aide tout au long de cette mission.
L'entreprise NAFTAL qui nous a cha!eureusement accueillis el qui a
accepte de partager avec nous leur connaissance.
El pour finir, on remercie toutes Jes personnes qui nous ont soutenus, en
particulier M. Adel Fekar, ainsi que notre etablissement INSIM.
Dedicace:
Je dedie ce travail a:
Mes parents, mon PERE et ma MERE qui m'ont soutenu et m'ont
voue un amour inconditionnel. Ils demeurent pour moi des modeles de
clairvoyance et de serenitf, leurs conseils utiles m'ont perrnis d'etre ce que jc
suis aujourd'hui, je prie dieu le tout puissant qu'il les protege de tous !es maux,
11s sont pour moi un exemple de courage et sacrifice continu. Que cet
humble travail temoigne mon affection, mon eternel attachemem et qu ils
appellent sur moi leur continuelle benediction inshallah,
Mes freres et sreurs qui ne cessent de me soutenir et de
m'encourager dans mes etudes.
Mes ami(e)s qui, de pres ou de loin m'apportent leur soutien, plus
particulierement Orlando Maria, Narcisse Nora et Anis mon BinOme.
A Adel Fekar, qui, par son experience m'a guide, et donne !es
bonnes 1dies afin de perfectionner au rnieux ce travaiL
KOMENAN Kouam;
Dedicace:
Je voudrais dCdier ce travail aux t'$tre les plus chCres a mon creur qui sont
mes parents> bien Cvidemment ! Pour les sacrifices qu'ils ont faits pour moi et
tout ce qui fait de rnoi ce que je suis aujourd'hui.
a mere, qui a toujours ete Ji a mes c6tes, clans le pire comme clans le
meilleur, une source d'6nergie inCpuisable pour moi car c'est en eHe je puise
cette force done je la remercie pour tousles efforts qu'clle fournit pour que je
puisse rCussir haut la main.
Mon pere. qui m'a appris comment me comporter en vers les gens et
comme devenir un homme de la sociiSte. qu'il y avait toujours une solution
meme dans les pires cas et qu H ne fallaitjamais abandonne,
1
Je remercie t!galement toutes les personnes qui m'ont soutenu et crus en

moi, sans Clter de norns elles se reconnaitront d'eile-meme, car c'est avec ce
a
genre de personne clans notre vie qu'on arrive persCvCrer et arriver aux buts
donnCs.
Etfaimerai aussi dfre un grand merci et un grand bravo a man cher ami ct
binOme Kouame pour tout le travail qu'il a fourni et qui sans lui on n'en serait
pas la aujourd'hui !
AOUCHETTE Anis Abdelhak

Page I
SOMMAIRE:
Introduction.................................................................................................................... I
Chapitre l: Les Reseaux Prives Vlrtucls...........................,......................................3

Section I: Le VPN.....................................................................................................4
A. La securite et le cryptage...............................................................................4
B. VPN............................................................................................................................0
Section 2: Le DMVPN............................................................................................20
A. Les technologies utilisees par le D\1VPN...................................................20
B. l'ourquoi le choix du DMVPK...................................................................24
Chnpitre 2: La Supervision...................................................................................25
Section l: SKMP..................................................................................................27
A. Le protocole SNMP.........................................................................................27
B. Fonctionnemcnt du protocole SNMP ............................................,,.................28
Section 2: Logiciels de supervision (Cas: ZABBIX)..........................................29
A. Presentation de Zabbix....................................................................................29
B. Obtenir Zabbix.............................................................................................29
C. Fonctionnement de Zabbix..........................................................................30
D. Ressourccs et performance de Zabbix """'·····•.. n• ....•..•....•....................,•., ..... 32
Elnterfaee Web de zabbix ....................................................................................34
Chapitre 3: Presentation de l"entreprise d·accucil....................................................... 49
Secrion l: Presentation de NAFTAL.................................................................... 50
A. Historique de NAFl"AL ..·............................................................................... 50
B. Les Missions de NA.FTAL..................................................................................51
Section 2: Organisation de NAFTAL..................................................................52
A. Presentation gtnCrale de !'organisation de NAFTAL ..............................,,...53
B. Presentation de la structure d·accueil : La DCSl.............................................54
Chapltrc 4: Mise en ceuvre de la solution ..............................,..,.,..,.,, .....................,. 55
Section 1 : Simulation..............................................................................................56
A. Outils utilises...............................................................................................56
Page 11
B. Simulation.....................................................................................................59
Section 2: Test et resuHals,.....,..............................................,,.............................76
/\.. Etat des tunnels,,,,.,.,,,..,.......................... « ...........................................,,.••,••, 76
B. Resultat de la supervision................................................................................ 86
C. Tests approfondis.........................................................................................90
ConclusJon .........,..........,................................................,....,..............93
Glossairc.............., ........,................................................,....,...........94
Bibliographie............................................................................................................... 95
Annexe.............................................................................................................97
Page Ill
Liste des figures :

Chamtre I .. Les Re' seaux P. ri.ves v·1rtue s
Exemple de VPN.. ......................... ' .. ""............................................................................................. 10
VPN HOte :'J. site.......... .................... ...... .. ........ ...... ., ..............................................................................................1 l
VPN Intranet................... ,, .......... " ...... .. ". ..... .." .........................................................................................................12
VPN Extranet. .. ,..........,,....... . ., .......... ., ........ .. ....... .. . "" ... •n••••"' ..........................................................13
Ent€:te du protoco!e PPP ...... ..... .........,. ··········
················••·•········
...,.,......................................14
Exemple de VPN base sur le protocole L2TP... ......... ............ ..........···················· l6
' Differems mode de fonetionnement IPSec.................,.......................................................l8
21
' Exemple de topologie base sur le DMVPN....................................................................................
Chanitre 2: La sunervision
Fonctionnement de Zabbk.
:Interface web de Zabbix: authentification........................................................................................ 34
iInterface web de ZabbJx....,.........................................................................................................35
Interface web de Zabbix........................,.........................................................................36
Interface web de Zabbix.......... ........,,.......,.. . ,., ..., ..........36
Interface web de Zabbix..................................................................................................................37
Interface web de Zabbix.......
Interface web de Zabbix..................................................................................................................39
iInterface web de Zabbix.................................................................................................................. 40:
:Interface web de Zabbix... ········. 40:
: Interface web de Zabbix..................................................................................................................................................................41
lntcrfacc web de Zabbix..... ...,.......42
, Interface web de Zabbix .....
Interface web de Zabhix ...... ···············.44
Interface web de Zabbix....... .....,........44
Interface web de Zabhix.... ........ .......45
Interface \Veb de Zabbix,.. ..............45
Interface web de Zabbix.......... . .. ,.,.46
Interface web de Zabhix..... • .........................«........ "46
Interface web de Zabbix..
-···
Interface web de Zabbix,,,.........
luterfoce weh de Zahbix... ._, ....
:
Chapitre 3 : Presentation de l'entreprise

'.Orgunigrammc de NAFTAL .......
'.Organisation de la DSCl..... .............54
Chaoitre 4 : I\1ise en reuvre de la solution II

Topologie pratiqoe.................................................................................................................. 56
T t de i..:onnectivite I................................................................................................................................ 61
Test de connect1vi1e 2
Page 1111
VCrifieation de !'activation du SNMP.. .,.,,..,.69
Screen •-- Ajout de graph ........,.. .................... H "'' •• ... 75

. nregistrement HRP..
TableNHRPDG ...................,... ········77
Tab!e NHRP District l .,. ....,,77
Table NIJRP District 2...........,.....,.....,,.....,.,,.. ....... ..... .... ,... ,.....,,78
Mise lljour table NHRP 1................H...... ......79
Mise iljourtable NHRP 2..... ......80
Table NHRP District I ajour.......................................................................................................8l
Table HRP District ) .ijour..... ... ....... ................,....81
Table DMVPN de DG......................... .......82
TableDMVPNdeDistrict 1... ........,, ..," .." '"""83
TableDMYPNde District 2........... .. 81
Trnfic avant lPSec ..84
: Trafie aprCs JPSec...........
......86
DC-denchement de trigger............... ···············-····-87
Trigger mis a
jour.............. ......88
Grnphc charge CPU routeur DG............................. .....................89
.....89
...........90
.Table
:Table NHRP de DG.........................
..........90
DMVPN de DG.. . . .. .... ....................9:
·;'ivuvellc table NHRP tle DG........... ·····················91
;Nouvelle table DMVPN de DG..
i Nomelle table DMVPN de District 2 ······················92
Liste des tableaux :

Ressource necessairc au fon tionnement de Zabbix..
Zabbix ct ks systCmcs «·exploitations.................................................................................32
Composants requit pour 7.abbix................................................................................................33
! Table d'adressage IP de la to po lo 0 ie Prat1quc ......................................................................................57
Pagell
Introduction
De nombreuses entreprises disposent aujourd'hui de plusieurs filiales

situees dans des zones geographiquement differentes, et ceux, en raison de la
forte demande des clients, ou pour une meilleure productivite.
Les reseaux informatiques pennettent d' interconnecter de fa,on

securisee, Jes differentes filiales d'une entreprise a travers internet, grace
notamment aux VPNs. La supervision des equipements de differentes filiales
est egalement n6cessaire afin d'assurer une meilleure performance rCseau.
Pour repondre it certains besoin, NAFTAL souhaite d'une part

converger toutes les donn6es de ses filiaies vers son Datacenter, et d'autre
part interconneeter tous ses sites et cela de fa,on securise.
Cependant, !'implementation, !'administration et la supervision des

a
reseaux de ees filiales !ravers des VPN independant s'avere eomplexe et
cofiteuse.
C'est pour cela que Naftal s'est oriente vers la technologie DMVPN
pennettant la mise en place dynamique de tunnels VPN entre differents sites,
tout en supervisant scs r6seaux et ses equipements.
De cc fait nous aborderons ce sujet sous le theme :
« IMPLEl\1ENTATION ET SUPERVISON D'UN RESEAU WAN BASE

SUR LA TECHNOLOGIE DMVPN »
On est done en droit de se poser la question suivante : Comment

interconnecter et superviscr de fa'ron simple et sCcur.isC, plusieurs sites
distants?
Hypothese I : Le DMVPN pennet la misc en place de tunnels d'une

fayon sirnplifie et securisee.
Hypothese 2 : La supervision pennet de garder le contriile sur ses

equipements et son reseau
Page 12
a
Afin de repondre notre problematique, nous presenterons un plan base
sur quatre ehapitres.
► Le chapitre l : parle des notions de bases sur le DMVPN
► Le chapitre 2 : fait une introduction a la supervision
► Le chapitrc 3 : est consacre a NAFTAL, son organisation el sa
hierarchie
► Le chapitre 4 : consiste a mettre en place et superviser une
solution D1'1VPK
Page ;3
Chapitre 1: Les Reseaux

Prives Virtuels
Page 14
Section 1: Le VPN
A.La securite et1<: cryptage
I. Les attaques
Les r6seaux infonnatiques sont de plus en plus victimes d'attaques
telles que le vol d"information, le piratage des systemes, la perturbation du
trafic reseau etc... Les objectifs different de ees attaques sont multiple el
diverses. On distingue done 3 grandes types d'attaques informatiques :
I.I. Les attaques de reconnaissance

La premiere etape du piratage d'un systeme OU d'un reseau
informatique est la recolte d'information, et cela passe parune attaque de
reconnaissance. Cette attaque ne vise pas a perturber, voler ou pirater des
systemes.
I.I.a.Le balayage de ports
L'attaque de reconnaissance la plus frequente est le balayage de port, qui
permet de determiner les ports ouverts sur un peripherique reseau (le plus
souvent un serveur) afin de preparer l'attaque. II peut permettre de trouver des
failles systeme, il est dont considere comme une tentative d'intrusion. Scion
le logiciel ou utilitaire utilise, le balayage de port peut etre detecte par un
pare-feu et un systeme d'introsion suivent leur niveau de sensibilite. Le plus
souvent un balayage de port s'ef!ectue sur des ports TCP, mais ii arrive
parfois qu'il se fasse aussi sur des ports UDP. Afin de tramper la vigilance
des systemes de detection ct des pare-feu, !es balayages peuvent se faire dans
un ordre aleatoire, avec une vitesse excessivement lente (par exemple sur
plusieurs jours), ou a partir de plusieurs adresses IP.
En pratique, le balayage de port consiste a envoyer une requete de
synchronisation sur le port avec un paquet valide (TCP S'l'N) ou invalide
\TCP ACK ; TCP FIN etc... ), et analyser la reponse.
II existc aussi d'autres techniques de balayage de port tel que ['Idle
scanning ou !"usage de serveur FTP. Comme logiciel de balayage de port, on
a AutoScan-Network, Network Security Auditor et Nmap le plus populaire1 •
: Source; https://fr.wikipedia.org;'wikl/Balayage_de_port
Page l5
I.l.b.Le Sniffing
Le Sniffing ou renitlement consiste a

capturer Jes paquets qui circulent
sur un segment rCseau afin de les analyser et d'en tirer des informations utiles.
Le sniffing peut permettre de re<:uperer facilement des mots de passes non
chiffre ou utilisant un algorithme de chiffrement foible, ou encore surveiller le
flux de donnee d'un hote.
Les logiciels et utilitaire de capture et d'analyse de paquets sont multiples,
Jes plus connus sont \Vireshark, Cain & Abel, TCPDUMP(Linux),
Omnipeek...
Ces techniques sont aussi utilise par les admirateurs r6seaux afin d'assurer ta
securite du reseau et Jes peripheriques, plus particulierement les routeurs, Jes
serveurs et les commutateurs .
l.2.Les attaques d'acces
L'attaque d'acces est la phase d'attaque proprement dite, elle consiste a

mettre en reuvre diflerente methodes necessaire afin d'atteindre l'objectif.
Comme attaque d'acces, on peut citer :
► Les attaques par mot de passe: C'est l'attaque la plus connue.
a
Elle consiste deviner un mot de passe (d'un compte, ou d'un point
d'acces
par exemple) en testant successivement ou aleatoirement des cornbinaisons de
chiffre et/ou de lettre (parfois un dictionnaire de mots). Ce type d'attaque est
connu egalement sous le nom de{< force brute».
► L'ingenierie sociale: Elle est basee sur !'inattention, le manque
de concentration et l'abus de confiance des utilisateurs ou meme de
)'administrateur.
► La redirection de ports : Ce type consiste it rcdiriger des paquets
reseaux res::us sur un port donn6 d'un ordinatcur ou un Cquipement reseau vers
un autre ordinateur ou equipement reseau sur un port donne. Cette attaque
permet par exemple de contoumer un pare-fcu.
► Le debordement de tampon (buffer overflow) : Cette attaque
consiste a
bourrer la memoire tampon afin decreer un bug a
l'ecriture (erreur
d, ecriture OU ecrasement de donnees) voir meme I'arret du peripherique, clans
le but par exemple de laisser passer un trafic non autorise.
1
Source https://fr.wikipcdla.org/w:kJ/Analyseur-de _paquets
Pagel6
I.3. Les attagues DOS

Une attaque par deni de service (denial of service, d'ou l'abreviation
DoS) est une attaque informatique ayant pour but de rendre indisponibJe un
service, d'empecher les utilisateurs legitimes d'un service de l'utiliser. II peut
s'agir de Pinondation d'un equipement reseau ou d'un reseau, de paquct
encombrant afin d'en perturber le bon fonctionnement et d'en eonduire a un
deni de service.
En pratique une attaque DOS eonsiste a saturer un appareil. Ainsi on a
le Ping de la mort qui consiste it envoyer un nombre encombrant de ping, Jes
paquets toxique (paquets mal fonnate), le TCP SYN Flood (mauvaise
communication TCP visant a perturber le serveur), Jes attaques D-DOS.
I.4. Les menaces

Outre ces attaques infonnatiques, les h6tes rCseaux sont aussi exposes a
d'autres types de menaces telles que les chevaux de Troie, Jes vers et Jes
virus.
► Les virus : A la base, les virus sont des automates auto replicatif
non malveillants. lvlais aujourd'hui, un virus est un programme infonnatique
dote d'un code malveillant, et ayant done une activite douteuse sur l'hote.
I/execution du virus nCcessite l'action de l'utilisateur.
► Les vers: Ce sont des scripts informatjques qui s'executent
automatique sans !'action de l'utilisateur. Selon le code, un ver peut se s'auto
reproduire et infecter d' avantage de machine. Tl peut egalement se propager
par messagerie et ainsi voyage a travers le monde entier.
► Les chevaux de Troies : Ce sont des virus informatique qui
s'executent sur une machine victime, et permettent au proprit!taire du
programme d'avoir un acces complet a la machine victime. ll peut aussi
retoumer des informations sur l'hOte victime a son proprietaire, et ceux a
l'insu de la victime, si elle n'est pas bien prott!gee.
Pagel7
II. Les methodes d'attenuation
11.1. Quelques conseils de securite

II existe plusieurs moyens de protection contre Jes attaques
infom1atiques. Pour les attaques de reconnaissances, la mise en place d •un
reseau commute reduirais la zone de capture de paquets. A cela, on peut
ajouter I' usage des logiciels anti-espions qui, peuvent bloquer les balayages
de ports. Les pare-feu et !es !PS sont egalement indispensables.
Ces mesures ne suffisent pas a se proteger des attaques de
reconnaissance, ii faut egalement utiliser une forte authentification et un
chiffrement sur !es paquets transmit sur le reseau. Quant aux attaques d'acces,
!es memes methodes sont employees que celles de reconnaissances.
Aces methodes, ii faut ajouter la mise en place d'un systeme de non
repudiation comme Jes certificats. Un anti-spoofing, un pare-feu et un pare
feu !PS peuvent reduire Jes attaques DOS. Du cote des peripheriques hote, des
antivirus performants et regulierement mis a jours (Kaspersky, Eset Smart
Security, Norton Security etc... ), et un pare-feu permettent d'augmenter le
niveau de 5ecurite.
Aces techniques de preventions, ii faut utiliser le cryptage afin de
rendre confidentiel !es donnees.
11.2. Les Algor\thmes

Le cryptage consiste a appliquer un algorithme de chiffrement a une
donnee, afin de la rendre incomprehensible a toute personne autre que celle
possedant la cle utilise. II est utilise clans Jes reseaux !ors des transferts de
donnees, mais est egalement utilise dans d' autres domaines tels que le
developpement d'appl,cation. Aujourd'hui, ii existe deux types d'algorithmes
de chiffrement :
11.2.a.Les Algorith1nes chlfTrements sv1netriques
Aussi appele algorithmes a cle secrete OU ehiffrement par bloc, ils
utilisent une meme cle pour le chiffrage et le dechiffrage des messages. L·un
des premiers ineonvenients est que la cle secrete sensee rester confidentiel
doit done Btre transmise au correspondant du message a travers le reseau, ce
qui oblige sa transmission sure et securise. Un decalage de caractere est
applique au message a transmettre selon la cle. Cependant tous !es
algorithmes de cette famille ne fonctionnent pas de la meme fa on et n'ont
pas la meme taille maximum que peut prendre la cle.
Pagels
► DES : La taille maximale de la de du DES (Data Encryption

Standard) est de 56 bits. DES decoupe les donnees en bloc de 64 bits ml !es 8
premiers bits de chaque octet servent a verifier I 'integrite de la cle. Ces
donnees decoupees en bloc subissent un algorithme qui effectue des
combinaisons, des substitutions et des permutations en fonction de la cle.
Mais son usage n'est plus recommande du fait de sa lenteur et de la taille trop
petite de sa cle, facilitant ainsi une attaque en un temps raisonnable.
► 3DES: Le 3DES (Triple DES) ameliore la securite du DES du

fait qu'il utilise trois cles de taille 168 ou 112 bits. En effet ii enchaine 3
applications successives de l'algorithme DES sur le meme bloc de donnees de
64 bits, avec 2 OU 3 cles DES differentes, cc qui n'ameliore guere sa rapidite.
La plus utilise aujourd'hui est AES
► AES : L' AES (Advanced Encryption Standard) soit « standard de

chiffrement avance" aussi appele RIJNDAEL (Vincent Rijmen et Joan
Daemen) nom des chercheurs a l'origine de cet Algorithme, utilise une cle de
valeur comprise entre l 28 et 256 bits.
L'algorithme prend en entree un bloc de 16 octets et une cle de 128, 192
ou 256 bits. Les 16 octets en entree sont permutes scion une table definie au
prealable. Ces octets sont ensuite places dans une matrice de 4x4 elements et
ces lignes subissent une rotation vers la droite. Vincretnent pour la rotation
varie scion le numero de la ligne. Une transformation lineaire est ensuite
appliquee sur la matrice, elle consiste en la multiplication binaire de chaque
element de la rnatrice avec des polynOmes issus d'une matrice auxiliaire, cette
multiplication est soumise a
des regles speciales selon GF(28) (groupe de
Galois ou corps fini). La transformation lineaire garantit une meilleure
diffusion (propagation des bits dans la structure) sur plusieurs tours.
Finalement, un XOR entre la matrice et une autre matrice permet
d'obtenir une matrice intermediaire. Ces differentes operations sont repetees
plusieurs fois et definissent un «tour». Pour une cle de 128, 192 ou 256, AES
necessite respectivement 10, 12 ou 14 tours.
II existe aussi plusieurs autres algorithmes de chiffrement symetrique
tel que Blowfish, le chiffre de Beaufort, de Vigenere, de Playfair, le M-325,
le RC2, RC4. On a aussi le ROT13, lui par contre n'a pas de cle secrete. Mais
la plus part d'entre elles sont peu voir non utilise'.
; Source: https:f/fr.wik\pedlsLorg/wi<i/Cryptggraphig wm%C3%A9triqL!

Page 19
11.2.b.Les Algorithmes de chiffrements asvmetriques

'
La cryptographie asymetrique,' ou cryptographic a cle publique, est une
methode de chiffrement qui s'oppose a la cryptographic symetrique. Elle
repose sur !'utilisation d"une cle publique (qui est diffusee) et d'une de privee
(gardee secrete), dont l'une permettant de coder le message et l'autre de le
decoder. Ainsi, l'expediteur peut utiliser la cle publique du destinataire pour
coder un message que seul le destinataire (en possession de la cle privee) peut
le decoder, garantissant la confidentialite du contenu. Inversement,
l'expediteur peut utiliser sa propre cle privee pour coder un message que le
destinataire peut decoder avec la cle publique ; c'est le mecanisme utilise par
la signature numerique pour authentifier l'auteur d'un message.
► RSA : L'algorithme de chiffrement RSA {initiale de ses
inventeurs) a ete cree en J 997 par Ronald Rivest, Adi Shamir et Leonard
Adleman. IJ rut brevete par le Massacbusetts Institute of Technology de 1983
ii 2000.
Tous les calculs se font modulo un nombre entier « n ,, qui est le
produit de deux nombres premiers. Le petit theoreme de Fermat joue un
role important dans la conception du chiffrement. Les messages clairs et
chiffres sont des entiers inferieurs ii l'entier « n" (tout message peut etre
code par un entier). Les operations de chiffrement et de dechiffrement
consistent a a
elever le message une certaine puissance modulo« n » (c'est
!'operation d'exponentiation modulaire).
La seule description des principes mathematiques sur lesquels repose
l'algorithme RSA n'est pas suffisant. Sa mise en reuvre concrete demande de
tenir compte d autres questions qui sont essentielles pour Ja securite. Par
1
exemple le couple (cle privee, cle publique) doit etre engendre par un procede
vraiment aleatoire qui, meme s1il est connu, ne permet pas de reconstituer la
cle privee. Les donnees chiffrces ne doivent pas etre trop courtes, pour que le
dechiffrement demande vraiment un calcul modulaire, et completees
de fa,on convenable (par exemple par !'Optimal Asymmetric Encryption
Padding).
4
Sour<.."e: https://fr.wl. ipedia.org/wik1/Crvptogr<!phie asym%Go/s>A9-trigue
d P ,, 110
B.VPN
I.Definition
L'acronyme VPN correspond i, Virtual Private Network, c'est-a-dire
a
un rf.seau prive virtuel. Dans les faits cela correspond une liaison entre deux
r6seaux locaux privC. Cette liaison autor1se la transmission de donnees
cryptees par le biais d'un reseau non securisC, comme Internet. En d autres
1
tennes, un rC'.seau prive virtuel est l'extension d'un reseau prive qui englobe les
liaisons sur des reseaux partages ou publics, tels qu'lntemet. II perrnet
a
d'assurer une securite au niveau des connexions distance, du partage de
donnees inter-rCseaux etc...
Les VPN reposent sur un prolocole appele "protocole de tunneling•· qui
perrnet de faire circuler Jes informations de fa,on cryptee d'un bout it l'autre
du tunnel, ce qui rend les donnees securise et contidentieL'
\'?'I ;Olli:,"""""""' ,,,,,.•ml -al tll'<a»::e

:vvma:, 1 ) IM l •:
i
'
0
O!liUJ t P ._..,.,..,, 111! 'M 1 t
Exemple de VPN
5
Sown:e: hr;tpJjwww.frameip.com/
f- .i , 1 I 11
II.Les types de VPN

II existe 2 grands types de VPN, a savoir les VPN Site a Site et !es
VPN Hote a Site.
IL I.Les VPN hote a site

Aussi appele VPN d'Acces distant, ii permet de connecter un hote d'un
reseau quelconque a un rci:seau local via un reseau intermediaire comme
internet. C'est le cas dans la plus part des grandes entreprises qui permettent a
leur employes d'avoir acces au reseau interne dans le but par exemple de
poursuivre leur travail. Pour cela l'employe demandam FA! de lui etablir une
connexion cryptee vers le serveur distant: c'est le NAS (Network Access
Security) du FA! qui etablit la connexion au serveur distant.
L'utilisateur peut aussi utiliser un logiciel VPN qui etablit directement
la communication de maniCre cryptee vers le reseau de l'cntreprise.
Quel que soil la methode utilise, une authentification forte est mise en
place en verifiant le couple« login/ mot de passe ,,, par un algorithme dit
"Tokens securisCs" (utilisation de mots de passe aleatoires) ou par certificals
numeriques.
Reniote-access VPN
Netwo11< Access
Secure VPN Ser'1!1 (NASI
Connection
Client
Solware
VPN Hate a site

11.2.Les. VPN site a site
Pour ce type de VPN, on en resulte deux sous-types dont !es
fonctionnements sont quasi equivalents. Les routeurs de chaque extremite' du
tunnel sont configures de sorte a _pouvoir creer le tunnel.
II,2.a.VPN intranet
L imranet VPN est utilise pour relier au moins deux reseaux intranet
1
entre eux. Ce type de reseau est particulierement utile au sein d'une entreprise
possedant plusieurs sites distants. Le plus important dans Ce type de reseau
est de garantir la securite et l'integrite des donnees. Certaines donnees tres
sensibles peuvent etre amenees a transiter sur le VPN (base de donnees
clients, intormations financieres.,.), Des techniques de cryptographic sont
mises en ceuvre pour verifier que Jes donnees n'ont pas ete alterees.11 s'agit
d'une authenti fication au niveau du paquet pour assurer la validite des
donnees, de !'identification de la source ainsi que la non-repudiation. La
plupart des algorithmes utilises font appel a des signatures numeriques qui
sont ajoutees aux paquets. La confidentialite des donnees est, elle aussi, basee
sur des algorithn1es de cryptographie.
tvc,.;x, [1,)(1),)<
' '"''""'' :,yu,),! ,
Internet
·-,
i:·s,w>.,.lt"
'1-"1' •·4
Slle Site
VPN Intranet
·. • I 13
11,2.b.VPN extranet
[I estsimilaire a un VPN Intranet. Ce VPN cree des tunnels entre
l'intranet de l'entreprise et celui de ses partenaires et clients. Ce qui necessite
une attention particuliere de l'administrateur quanta leur t,milite et le droit
de chacun sur la securite de l'intranet
Network diagram
\v
'j AW., .15.16.1
-·
't i\
4 :. 5
7
RW ,,.
, AL.-10.5,6. 1
Sobnel A 10 s_e Di14 Subnet 8 t12 23.9.0.24
VPN Extranet
Ill.Les proto oles demise en place d'un tunneWPN

La creation de tunnel VPN imp!ique plusieurs protocole de couche 2 tel
que PPTP, L2TP et de couche 3 comme GRE, lPSec, MPLS.
HL I .PPP
PPP (Point to Point Protocol), defini dans la Rfc 1661 est un protocole
de couche 2 qui pennet de transferer des donnees sur un lien synchrone ou
asynchrone en full duplex et garantit l'ordre d'arrivee des paquets. JI
encapsule les paquets Ip, lpx et Netbeui dans des trames Ppp, puis transmet
a
ces paquets encapsules au travers de la liaison point point. l1 est employe
gCneraiement entre un cHent d'accCs 3 distance et un serveur d1acces reseau
(Nas).
r C C ', i 14
PPP s'appuie sur trois composants ;

Vencapsulation des datagrammes sur la liaison sCrie en utiiisant
le format de trame HDLC (Hight Data Level Control)
li!l Le controle de la liaison avec LCP (Link Control Protocol) pour
etablir, configurer et tester la connexion de liaison de donnees.
li!l Le controle de la couche reseau avec NCP (Network Control
Protocol) pour etablir et configurer Jes differents protocoles de couche reseau.
Dans une trame PPP, on a :
li!l L:n champ Fanion (Flag) de debut sur 8 bits ;
:!!I Un champ Adresse sur 8 bits avec pour valeur unique OxFF
0 Un champ Controle ou commande sur 8 bit toujours a Ox03
li!l Un champ protocole sur 8 bits ayant pour valeur le protocole
transporte
IBl Le champ de donnees
IBl Un champ de controle de trame FCS (Frame Check Sequence)
sur 32 bits
li<l Un champ Fanion de fin sur 8 bit avec la meme valeur que celle
du debut
n.---.-.- . 1 F .n lirtrr Ppp - 8 .ortru

7
. Entete duprotocole PPP
lll.2.PP1]>_
PPTP, comme detinit par la RFC 2637, est un protocole qui utilise une
connexion PPP a travers un reseau IP en creant un VPN. C'est un protocole
de niveau 2 qui permet l'encryptage des donnees ainsi que leur compression.
L'authentification des donnees se fait grace au protocole tv1s-Chap de
tv1icrosoft et le chiffrement par le protocole MPPE (Microsoft Point-to-Point
Encryption).
Page I15
Le principe du protocole PPTP est decreer des paquets sous le

protocole Ppp et de les encapsuler clans des datagrammes IP. PPTP crec
ainsi un tunnel de niveau 3 defini par le protocole GRE (Generic Routing
Encapsulation). Le tunnel PPTP se caracterise par une initialisation du client,
une connexion de controle entre le client et le serveur ainsi que par la cloture
du tunnel par le serveur. Lors de l'etablissement de la connexion, le client
effectue d'abord une connexion avec son foumisseur d'acces Internet. Cette
premiere connexion etablie une connexion de type PPP et permet de faire
circuler des donnees sur Internet. Par la suite, une deuxieme connexion dial
up est etablie. Elle permet d'encapsuler !es paquets PPP dans des
datagrammes IP. C'est cctte deuxieme connexion qui forme le tunnel PPTP.
Tout trafic client con u pour Internet emprunte la connexion physique
normale, alors que le trafic con,u pour le reseau prive distant, passe par la
connexion virtue lie de PPTP.
IIL3.L2TP
L2TP est un protocole de tunnellisation de niveau 2 utilise pour creer
des reseaux prives virtuels (VP:'s), le plus souvent entre un operateur de
collecte de tmfic (degroupeur ADSL ou operateur de telephonic pour les
a
acces RTC) et les fournisseurs d'acccs Internet.
II pem1et de transporter des connexions en conservant Jes informations
du niveau 2 au niveau 7 du modcle OSI. Le transport de ces connexions se fait
a
grace des tunnels IPiCDP, le port LTIP utilise en standard est le 1701. Un
meme tunnel peut transporter plusieurs connexions, en general ii n'y a qu'un
seul tunnel entre deux mCmes equipements de tenninaison, L'Cquipement qui
initie le tunnel, generalement un NAS ou un BAS, est appele LAC (L2TP
Access Concentrator) et l'equipement qui !ermine le tunnel est appele LNS
(L2TP etwork Server).
Server running
Windows Server 2003
and Routing and Branch office
Remote Access network
.
Intranet
adapter adapter
Server running
Windows Server 2003
and Routing and
Remote Access
L2TP tunnel li'P

• .-..-- f.. lllll,.' '..
. "
Internet Intranet
adapter adapter
Exemple deVPN base ,ur le protocole L2TP
1!1.4.GRE
GRE, developpe par CISCO est un protocole de couche 3 demise en
tunnel qui permet d'encapsuler n'importe quel paquet de la couche reseau dans
n'importe quel paquet de la couche reseau. En pratique, GRE va encapsuler un
paquet de couchc 3 (en generale IP) puis sera lui-meme encapsule dans un
autre paquet de couche 3. Le paquet d'origine est le payload (information
utile) du paquet final. Les tunnels GRE sont con9us pour ne pas avoir besoin
de maintenir un Ctat, ce qui signifie que chaque terminaison de tunnel ne
conserve aucune information d'etat ou de disponibiHte de ta terminaison
distante.
Page /17
III.5.IPSec
!Psec comme defini dans la RFC 4301 par l'IETF comme un cadre de
standards ouverts pour assurer des communications privees et protegees sur
des reseaux IP, par l'utilisation des services de securite cryptographiques, est
un ensemble de protocoles utilisant des algorithmes permettant le transport de
a
donn6es securisees sur un reseau IP. Contrairement ses pl"edecesseurs, il
opere sur la couche 3 du modele OSI et ne se limite pas ii une seule methode
d'authentification ou d'algorithme, c'est la raison pour laquelle ii est considere
comme un cadre de standards ouverts.
A l'origine it a ete corn;u pour fonctionner sur l'IPV6, mais a ete adapte
a l'IPV4. II assure l'authentidtc et l'integrite des donnees. IPSec est souvent
a
un composant de VPN, ii est l'origine de son aspect securite (canal securise
ou tunneling),
Lors de l'etablissement d'une connexion IPSec, plusieurs operations

sont effoctuees :
► Echange des cles : Un canal d'echange de cles, sur une connexion

UDP depuis et vers le port 500 ISAKl'v1P (Internet Security Association and
Key l'vfanagement Protocol).
Le protocole IKE (Internet Key Exchange) est charge de negocier la

connexion, Avant qu'une transmission !Psec puisse etre possible, IKE est
utilise pour authentifier les deux extremites d'un tunnel securise en
echangeant des cles partagees. Ce protocole permet deux types
d'authentifications, PSK (Pre-Shared Key ou secret partage) pour la
generation de clefs de sessions RSA ou a !'aide de certificats.
Ces deux methodes se distinguent par le fait que !'utilisation d'un

certificat signe par une tierce-partic appelee Autorite de certification (CA)
assure la non-repudiation. Tandis qu'avec !'utilisation de clefs RSA, une partie
peut nier etre il l'origine des messages envoyes.
IPsec utilise une association de securite (Security association) pour

dieter comment Jes parties vont faire usage de AH (Authentification Header)
et de ]'encapsulation de la charge utile d'un paquct.
• Une association de securit,! (SA) est l'etablissement
d'information de securite partagce entre deux entites de reseau pour soutenir
la communication protegee. Une SA peut etre etablie par une intervention
Page I 18
manuelle ou par ISAKiv!P (Internet Security Association and Key

fl,,fanagement Protocol).
• ISAK!ltfP est defini comme un cadre pour etablir, negocier,
modifier et supprimer des SA entre deux parties. En centralisant la gestion des
SA, ISAK!1,,1P reduit Ia quantile de fonctionnalite reproduite dans chaque
protocole de securite. ISAKJvfP reduit egalement le nombre d'heures exige par
!'installation de communications, en negociant tous les services
simultanement.
► Transfert des donnees : Un ou plusieurs canaux de donnees par
lesquels le trafic du reseau prive est vehicule, deux protocoles sont possibles :
• le protocole N°51, AH tAuthentication Header}, foumit
l'integrite et l'authentification. AH authentifie Jes paquets en Jes signant, ce
qui assure l'int6grite de J'information. Une signature unique est creee pour
chaque paquet envoye et empeche que !'information soit modifiee.
• Te protocole N°50 ESP (Encapsulating Security Payload), en plus
de l'authentification et l'integrite, foumil egalement la confidentialite par
I'entremise de la cryptographic.
!Psec peut fonctionner dans un mode transport hole a hote ou bien dans
un mode tunnel reseau.
Ir1ternet
0
Internet C
Q
0
Difftirents mode de fonctionnement JPSec:
> Mode tra11sport : Dans Te mode transport, ce sont uniquement Jes

donnees transferees (Ia partie payload du paquet IP) qui sont chiffrees et/ou
authentifiees. Le reste du paquet IP est inchange et de ce fait le routage des
paquets n'est pas modifie. Neanmoins, Jes adresses 11' ne pouvant pas etre
modifiees sans corrompre le hash de l'en-tete AH genere par IPsec, pour
Page'.19
traverser un NAT il faut avoir recours a !'encapsulation NAT-T. Le mode

transport est utilise pour les communications dites hote a hole (Host-to-Host).
► Mode tunnel; En mode tunnel, c'est la totalite du paquet IP qui

est chiffre et/ou authentifie. Le paquet est ensuite encapsule dans un nouveau
paquet IP avec un nouvel en-tete JP. Au contraire du mode transport, ce mode
supporte done bien la traversee de NAT quand le protocole ESP est utilise. Le
mode tunnel est utilise pour creer des VPN pem1ettant la communication de
reseau il reseau (entre deux sites distants), d'hote il reseau (acces a distance
d'un utilisateur) ou bien d'h6te ah6te (messagerie privee.J
Pour que les realisations d'JPSec inter-operent, elles doivent avoir un ou
plusieurs algorithmes de securite en eommun. Les algorithmes de securite
utilises pour une association de securite ESP OU AH sont determines par Ull
meeanisme de negoeiation, tel que IKE.
Les algorithmes de chiffrement et d'authentification pour IPSec
encapsulant le protoeole ESP et AH sont lflfAC-SHAl-96, AES-CBC, 3DES
CBC
Page I 20
Section 2: Le DMVPN
Introduction :
Dynamic Multipoint Virtual Private Network (DMVPN) est une
technologie permettant de creer des tunnels VPN dynamiques base sur les
protocoles standards, GRE, NHRP et lPsec. 11 afire la possibilite de creer un
reseau VPN dynamique maille sans avoir a configurer de fa on statique toutes
les paires de chaque tunnel.
A. Les technologies utilisees par le DMVPN

DMVPN est initialement configure pour construire un reseau en etoile
hub-and-spoke en configurant statiquement les spokes en fonction du hub,
sans apporter de changements dans la configuration du hub !ors de l'ajout
d'un nouveau spoke. L'utilisation du DMVPN dans un reseau hub-and-spoke
permet de creer des tunnels entre lcs spokes de fa on dynamique et a la
demande sans configuration supplementaire sur le hub ou les spokes.
DMVPN est une combinaison des technologies suivantes:

► Multipoint GRE tmGRE)
► Resolution Protocol !\ext-Hop (l',.'HRP)
► Prolocole de routage dynamique (EIGRP, RIP, OSPF, BGP)
► Cryptage IPsec dynamique
► Cisco Express Forwarding (CEF)
v ,I, ! 21
I. Architecture HUB and Spoke

II S'agit d'une architecture reseau en etoile composee de routeurs. Le
routeur centrale est appele « hub » et !es autres routeurs qui y sont connectes
sont appeles «spoke». L'usage de cette architecture dans la technologie Dlv!
VPN permet de creer des tunnels entre !es spokes (tunnel spoke to spoke).
Exemple de topologie base sur le DMVPN
II. Le modele NI{RP
Le protocole NHRP permet d'effectuer la resolution de l'adressage

logique en l'adressage physique dans les reseaux NBMA Dans le cadre du
DMVPN, le NHRP sert a resoudre Jes adresses IP privees du reseau mGRE en
adresses JP publiques Internet.
NHRP est un protocole de type clientiserveur ; Jes rou\eurs HUBs sont
Jes serveurs NHS (Next Hop Server), les routeurs Spoke sont Jes clients NHC
(Next Hop Client).
Chaque HUB maintien la table de mapping NHRP. Chaque Spoke y
enregistre son adresse publique au demarrage. Pour que l'enregistrement soit
possible, chaque NHC doit avoir dans sa configuration la connaissance d'un
ou plusieurs NHS.
Source : http://wapiti.telernm-
!iHel, euicomrr:un/en?J'pedajoptionsJst/ria/pub/exposes/expp5;esrio1997{!pAtw/nhrp.html
Pagel22
Au demarrage, !e Spoke (qui est client NHC) initie la connexion du

tunnel GRE vers l'adresse IP publique du ou des HUBs (qui sont serveurs
NHS). Cette initialisation est necessaire car le HUB n'a pas d'inforrnation sur
l'adresse IP publique du Spoke.
Le HUB ajoute le Spoke dans sa table mapping unicast l\'HRP. Avec ce
mapping, le routeur HUB a une connaissance pour chaque Spoke de la
correspondance entre l'adresse IP privee mGRE et l'adresse IP publique. Le
HUB peut done router Jes paquets IP Unicast au routeur Spoke ii. travers le
tunnel mGRE/IPsec.
Le HUB ajoute egalement le Spoke dans sa table de mappage multicast
NHRP perrnettant ainsi l'echange de paquets multicast necessaires au
protocole de routage dynarnique EIGRP. Le HUB et le Spoke peuvent
devenir voisins EIGRP et s' echanger leurs routes.
111.Le n1GRE
Le protocole ORE cree des tunnels point a point. Quant au mGRE, ii
permet la creation de plusieurs tunnels vers differentes paires sur une meme
interface ORE. Un reseau mGRE est de type NBMA (Non-Broadcast Multi
Access), c'est-a-dire le broadcast n'est pas possible et !es liaisons sont
multipoints.
Pour joindre un element defini par son adresse logique, ii faut un
mecanisme afin de connaitre son adresse physique. Dans le cas du mGRE,
l'adresse logique correspond it l'adresse privee (interface tunnel), l'adresse
physique est l'adresse publique. Chacun des routeurs Spoke initie un
tunnel mGRE vers chacun des routeurs HUB
IV.L'ElGRP
EIGRP est un protocole de routage developpe par Cisco a partir de leur
protocole original !GRP. EIGRP est un protocole de routage a vecteur de
distance IP, avee une optimisation permettant de minimiser l'instabilite de
routage due aussi bien au changement de topologie qu'il !'utilisation de [a
bande passante et la pu issance du proeesseur du routeur.
Certaines de ces optimisations sont basees sur le Diffusing Update
Algorithm (DUAL) developpe par SRI, qui garantit !'absence de boucle. En
particulier, DUAL evite !es « sauts it l'infini >) en !es limitant a 224.
EIGRP calcule !es metriques sur base de 4 parametres (le delai, la
bande passante, la fiabilite, la charge).
Pagel23
La distance administrative (ADJ en interne d'EIGRP est de 90, et de

170 en exteme.
EIGRP gere le routage inter-domaine classless permettant !'utilisation
de VLSM, ce qui etait un desavantage important de son predecesseur, !GRP.
L'utilisation de l'algorithme DUAL fait d'EIGRP un des protocolcs de
routage dont la convergence est des plus rapides.
EIGRP permet egalement la repartition de la charge entre plusieurs
chemins de metrique inegale. Il est multi-protocoles, ii peut executer
diflerents processus pour IP, IPX et AppleTalk, Il etait un protocole de
propriete Cisco, qui ne pouvait etre utilise que sur des equipements Cisco,
mais est devenu un protocole ouvert en 2013, permettant aux fabricants de
routeurs de l'utiliser.
V.CEF (Cisco Express Forwarding)

CEF est une technologie de pointe de commutation de couche 3 utilise
principalement dans Jes grands reseaux de base ou sur Internet pour ameliorer
la performance globale du reseau. II est principalement utilise pour augmenter
la vitesse de commutation de paquets en reduisant les frais generaux et !es
retards introduits par d'autres techniques de routage. CEF se compose de
deux elements eles: Le Forwarding Information Base (FIB) et les contigu1tes.
► Le FIB est similaire a la table de routage genere par de multiples
protocoles de routage, sert uniquement a la maintenance de l'adresse du saut
suivant pour une route particuliere.
► La table de conriguYte maintiem la couche 2 ou les informations
de commutation Hee a une entrt!e de FIB particuliCre, evitant la nCcessitC
d'une ARP pour chaque dcmande de consultation de table. II existe plusieurs
types de eontiguYtes, dont : Cache adjacency, Receive adjacency, Null
adjacency, Punt adjacency etc,..
Page I 24
B. Pourquoi le choix du DMVPN
Le DMVPN permet :
La mobHite des equipements d"extremite du tunnel du fait de sa

dynamite. Ce qui permettra par exemple de delocaliser une ou Jes extremites
du tunnel sans affecter la configuration.
La reduction des depcnses d'exploitation en integrant la voie et la

video a la securite VPN
Une connectivite directe entre equipements de differents sites qui

simplifiera certaines communications comme celle de la voie IP
Deploiement facile et rapide de differents tunnels entre

differents sites.
Page 125
Chapitre 2: La Supervision
Page j26
Introduction :
La supervision veut dire regarder au"dessus de l'information en d'autre

tennes garder un reil sur tout le reseau de l'entreprise sans pour autant
regarder !es informations sinon cela se transformerais en espionnage ! La
supervision est mise en place dans le but d'etre informe sur l'etat du reseau et
aussi dans un but preventif(Tolerance aux pannes). En d'autres termes,
superviser c' est surveiller I' etat de la machine, ct ou des services.
Pour une bonne supervision, plusieurs methodes peuvent etre utilisees :
• Le protocole sm1P
• Les logiciels de supervision
Pagel27
Section I : SNMP
A. Le protocole SNMP
I.Introduction
SNMP (Simple Network Management Protocol) est un protocole qui
permet aux administrateurs reseau de gerer !es equipements du reseau et de
diagnostiquer !es problemes de reseau. 11 est couramment utilise dans Jes
reseaux TCP/IP.
SNMP effectue des services de gestion en utilisant une architecture
distribuee de systemes et agents de gestion.
II. Les messages SNMP

Un message SNMP est decrit en ASN.l (Abstract Syntax Notation I).
C'est un langage standard de definition d'objets dont la notation est proche des
langages evolues tels que le langage C.
En realite, SNMP utilise un sous-ensemble et rajoute quelques
definitions.
III. Les versions SNMP

II existe 3 versions du protocole SNMP :
1. SN'v!P vi
2. SNMP v2
3. SNMP v3
Page[28
B. Fonctionnement du protocole SNMP

Le systeme de gestion de reseau est base sur deux elements principaux :
un superviseur el des agents.
► Le superviseur est la console qui pennet a l'administrateur reseau
d'executer des requetes de management.
► Les agents sont des entites qui se trouvent au niveau de chaque
interface connectant l'equipement manage au reseau et pennettant de
recuperer des informations sur differents objets. Ces informations sont classes
dans une sorte de base de donnees appelee MlB ("l'vfanagement Information
Base").
SJ-..'MP pennet le dialogue entre le superviseur et les agents afin de
recueillir les objets souhaites dans la MIB. II est base sur un fonctionnement
asymetrique et est constitue d'un ensemble de requetes, de reponses et d'un
nombre limite d'alertes. Le manager envoie des requetes a !'agent, lequel
retoume des reponses. On a quatre types de requetes (GetRequest,
GetNextRequest, GetBulk, SetRequest) permettant la recherche: d'Wle
variable, la suivante, d'un groupe de variable et de modifier la valeur d'une
variable. Les reponses son! uniquement des GetResponse accompagne de
noSuchObject en cas de variable non disponible.
Lorsqu1un evenement anonnal surgit sur re1ement reseau, l'agent envoie
une alerte (trap) au manager. SNMP utilise le protocole UDP, le port 161 est
utilise par !'agent pour recevoir les requetes de la station de gestion et le port
162 est reserve pour la station de gestion pour recevoir les alertes des agents7.
· Sovrce http:/J2001.jres.orgl?s! /snmpvhttp,pdf

Page 129
Section 2:Logiciels de supervision

(Cas : ZABBIX)
Tous comme le protocole S 'MP, !es logiciels de supervision

pennettent de recuei!Jir des informations sur un service logiciel ou materiel
depuis une machine <lite« supervise>>, Ces informations sont a des fins de
consultation, dans le but prevention de pannes ou des disfonctionnements.
Parmi ces Jogiciels nous pouvons citer : Nagios, Shinken, Zabbix,
Netview et plein d'autres ! Notre etude va porter sur le logiciel Zabbix car ii
est utilise par !'infrastructure ou l'etude a cite faite.
A. Presentation de Zabbix
Zabbix est une application open source de supervision des systemes et
reseaux en infrastructure sous la licence GNC/GPL. II est developpe par
Z11bbix LLC, qui est siege aux CSA, en Europe et au Japon.
Ii permet de surveiller le statut de divers services reseau, serveurs et
autres materiels (pare-feu, routeurs, etc).
B. Obtenir Zabbix
Zabbix se presente sous differents format au telechargement :
I. Zabbix Packal!e
II s'agit du binaire de Zabbix, pret a l'installation, sous differente
platetormes. On retrouve par exemple un lichier binaire pour les systemes
Debian, un autre pour Ubuntu, etc...
Quant a son instafiation, ii varie d un systf:me a J'autre, melne si
1
on retrouve des simflarites

P•ge 130
ILZabbix Appliance
Zabbix LLC permet a ses utilisateurs de se passer de I 'installation
manuelle de Zabbix. Pour ce faire, ils proposent un format base sur
OPENSliSE, ou Zabbix est preinstalle.
Nous utiliserons la version de ce format disponible pour !es machines
virtuelle.
IILZabbix Source
II est egalement possible d'obtenir le code source de Zabbix, puisqu'il
s'agit d'un logiciel open source. Pour ce format, une compilation est
necessaire avant installation et utilisation
C. Fonctionnement de Zabbix
Dans cette partie nous allons parler du fonctionnement du logieiel
Zabbix et cela en commen9ant par l'essentieL
£.Les composants
Pour fonctionner, zabbix est compose de plusieurs parties, dont la plus
importante est le Zabbix Server. On a aussi le Zabbix FrontEnd, Proxy et
Agent.
1.1.Zabbix server
Le Zabbix server est le composant principal, i1 permet la surveillance a
distance du bon fonctionnement des differents services systemes et reseaux
tels que « les serveurs '\VER, serveurs FTP, etc ... )> Tl gere la notification par
mail afin d'avertir les administrateurs d'une quelconque alerte8 •
I.2.,.Zabbix Frontend
Deuxieme composant essentiel apres le Z.S, II est lout simplement
I'interface de visualisation des evenements et aussi )'interface d administration
1
et de configuration de Zabbix.
Source: http://wiki.m::>pjtQring-fr.org/labbix
i' ,· ,_· "' j 31
1.3. Za!Jbix Proxy

II permel de collecter des informations sur la performance et la
disponibilite des donnees sur un h6te avant de les transmettre au Z.S, II aide i,
reduire la charge sur le serveur en traitant Jes informations collectees en local
avant de les transmettre.
1.4. Zabbix Agent

Ii permet d'avoir une surveillance plus accrue et cela en offrant une
surveillance active des ressources locales, des services, des applications etc... ,
d'un h6te puis les envois au Z.S
)I.Principe de fonctionnement
Entre les di fierents composants cites precedemment, il existe un certain
nombre d'interactions utiles a connaitre dans le but de mieux comprendre le
fonctionnement ! Pour cela nous allons utiliser ce schema :
Fonctionnement de Zabbix
P ,, ;_ 1. I 32
Dans ce schema, les eomposants Zabbix sont regroupes en trois blocs,

le premier represente la partie serveur de Zabbix, c'esil-dire, les composants
principaux et essentiels de Zabbix (Server et Frontend),
Puis les deux autres blocs, Agent et Proxy, qui communiquent entre
eux. En d'autres mots, 11agent transfort les donnees au proxy, servant ainsi de
serveur intermediaire, qui les analyse, Jes stocks dans une base de donnee puis
Jes trans/ere vers le server,
D. Ressources et perfonnance de Zabbix

Pour le bon fonctionnement de Zabbix plusieurs faeteur son requis :
I. Le materiel
Zabbix dolt disposer d une configuration materie11e minimum pour
1
fonctionner telle que ce tableau nous l'indique :
-----+J--_-
Pentium IV
64Mo 256Mo
IOMo I 00 lv1o
II. Les systemes d'exploitation

Zabbix est eon,u pour fonctionner sur de nombreuses plateformes :
l','.,0:(' 133
Zabbix et les.systemes d'exploitation
Ill.Les composants requis

Les applications essentielles au fonctionnement de Zabbix :
C_ Fro n te d --+----- 'superieur

Front end PHP • s.o ou superieur, Support PHP
. +----- .f-..-
1
------ ---
. Frontend Modules ?HP · Php-gd(2.0 ou plus), php truetype, be, i
i · XML, socket, multibyte support,..
. . Server/Proxyyopen1P_M_1 1' s1 u pp o rt 1PM1 ·-·-· i
. Server/Proxy
Snmp i' : jSupportSNMP ---j
Server/Proxy
Ubssh2 r-... ,I Support SSH
---+-N-av-,g-a-teur
!Mozllla Firefox, Internet Explorer,
Client 'internet
Opera,""'
·---------
Composant requit pour Zabblx
!;.Interface We_b de za\lbix
Pour gerer zabbix graphiquement nous passons par un navigateur web
et cela en entrant l'adresse Ip de notre serveur Zabbix, ainsi il nous sera
demande de nous authenti tier comme sur eette image9 :
Interface web de Zabbix: authentification
Apres l'authentification, nous aurons acces au mode de configuration

graphique de notre Zabbix. Ce demier se divise en plusieurs parties:
Monitoring, inventory, Reports, Configuration et Administration.
!.Monitoring
LI.Dashboard
Tableau de bord10 de zabbix, ii synthetise !'ensemble des informations
essentielles a la supervision d'une infrastructure.
? Sources : http;J/w:hmPnitor_[[lg>fcorg/zabblxflabQ.ix•l.l !
:c Voir Annelfe- figure 1
I 35
1.2.0vervicw
Cette page affiche !'ensemble des statuts remontees (ou interroges) par
!es triggers pour les holes supervises. 11 est egalement possible de visualiser
_..,..........
!es donnees de chaque hote.
·-·-------..- --·---
- - --·
,,,.. !
-- ·· - -) . .
- ·
.,.._
-
--..
..,,... .... , , . . , , .,_,
. ., .
---•---•!--- - --
-- ..-
,.._l -1.. -
. . . ... . ..,.,--,
.-...,.. . , _ , ,
_
1
,_,, .,,_J
"""'"- - - (-) , ., _
....., .,,..l( _
_ -..., - .t...-i:i-,
. .(
,,;
-- ) --
;-
--·---
---- -• - - !- -•
_
..,_
,
--- . . . ---- .. --
,_,_.,
. . . ...
_ .,.,.,,.,_,
_,
_
_
f
")
.. _
..,...,. _t ,
, ... )
_
- - - - -- ...,. ,_- ...... _ ", _!
Interface web de Zabbix

I 36
1.3.Wcb
Atliche Jes statuts propres a la supervision Web des hotes (serveurs Web).
a --- ·N-- -□ -zs "□ -- -=. --·· I

- -- -
-
-->--
-- - _,'!' .,
1.4.Latest data
Atliche Jes informations et donnees remontes par les items.
lalr_tr,i.i_..r--i-i-i-ii-i-i-..- □ -..-
..-_ -......
·--(>----
,_,
•-lll
-
',#-f,0-;
v..,.....u,p,.. _,........,,.,.
+1-1 -
... _ . -
,:,..,.,.,H, »
. , ,. .
---
........
. . ,.,.,
.........
,..,,, c;
,
.,, ..
.....................,.;_
.......,.,"'"""'
--- .,,_
JI ... ! 100,.,.!UIJ'I
............................... ,.,.,,.uo
· - {,- 0' - 1
•
• -(
- l'
1
. ' -l
•-r-,
· - •··
• - ......,

1.5.Triggers
Affiche les problemes remontes par Jes triggers.
··m:,
·. § ,!.~.
-:;•.....
·..-....... -ill , _ ...,.....,..".."........-..................
... - __m._,,,...............
,.,,.,
,.,
,,._
--- -·---i,r,, - ..
"""
,- .. ._
....
,,... _...... . .. .
- - -cm ·--.i · ,l--·-....
_... .-
-
#!olA11Uti1liM
,_,,...;......., ...., ........ l!ia
..,.·.,,......
l 'klifltfl:I '
.... - -··,
, ., -,"""·--"'- .,,._, --., -- ""..... l!ia
u.-.--u .... --'-..----

U..lol-- i,, .. ..
,.,
,. ... -'"''
_:i
, , ....................... .,.,,..,.,..,...,,..,..,,.,
._
_,,,._...,
.....
-
_;.," ' - " "" " '" " " '1 " '--
,.,., ,.._;,,1
..U.0-i!l-
,_,_
.. . .. . ,, _ . .,. _ ,.. ,
----, ...
,;,.
,.,,. ... _,,1

_,, ... ..
l!ia
,.,..... ,,....., ...

il""AAUUU;i
. .. . . . .. ........
1 / lo . . .,..-:u,
il;lll U
_,,,U l t H
,.,.,,.,,..
.,....,.......
,,_ ..........
, -,_,.,_
---·--
. ,......... ,_..,,.........
_ -
...'",..
iilll1¥U•M'lll
_:,,,
"·_(,,,
.. ........
- · -m
i/! &UUil!I
Ll'/lo"i "'ll<s ._. W
,.,... -··
.,.,._ ..... -""
-,...
,
....... _, ,,·- ,_,......_......
"' ,....,,,.oa_,
:U !olJ!Oi113rll' W
,i,LI•l&,IU'll.H,,111
_
.... _..""
r ..
.....
",,....,.,,,,.. ... ,
......._,,, s,_a..-·o•o a,,.,

••- -•a='",1"''-•
,....,,.....,..- -·=-·
lll,;.rlil)lft,jll"'
.,.,._..-I",",' .-l•• -----· -.. ~-

,,..,,.,.,.,,_.. ,_,
il/Jol
_,...,.._, ,..._.,.._,
-,
L/ Mol AilUI ,aa
.....
_,,.,,.. .,.,.....,._,
;, #II IWU1"M 1/
,,._ ,., -1•1
" " ' I. .. ..l•..,

l/ ,i O . .II•. ,
J& A 1 4 • N .........i I
1.6.Events
Affiche les toutes !es alertes de tous niveaux remontt!es par Jes
tri ggers11.
•
ll Vcir Annei,_e - Figure 2

I 38
1.7.Graphs
Page de visualisation des graphs d'un hate supervise.
"'
"'
'"
"'
"'
' '"
'"
" "
■ • ..lC
.,.,,,,...,,.,,..,,, ,... r ,c,
-._,,,..,,._,.,
"''".. ,,..,, , ... 1, "'''
0
o 0.,01
o,
ll
- o•

1
' ,-\ L'. ,, I 39
l.8.Sceens
Affichage des ecrans propre ii un hote, avec la carte, et !es dilferents
graphs.
a,,...,_u.,,.. -
::::;=--
-
,,
:::
la...
L_,.,,.
,.,,,......
.._
:
' ;;: ;;: ,:
l°'-'9-'"'i''""' "'..,...,."'•• "'

,,v.o•mghil'IO, "',
,
i IIJ •llf,<
l '2 !"'
•" .
'!>'l.l B •
l t .. !11,-
; '"i
,_,., l.....:il001f9&"<1"/_,_,
_,.,..,_,..,.,,,,,.
""'41
-
,.
a o : i w<!,,
' I/ il l; '
•l"l»"" \.....ht o, •• t ™'"•"- "' "--''-'"------J

T.9.Maps
Visualisation des cartes.
--
-.-..--.....-. ..-..-....... ..... . -
1.1O.IT Services
........
Affiche le statut des services, ainsi que leur SLA.
z--·-..r·ET·-..x I
-
.-
. ...,_.,_
- -
_,.
· -·-
"'--=-• '
...,,,,....
_,.,... ,,.o::w'\C'tfllacYDIJI)
------·

I. I I .Discovery
Affiche les equipements decouverts par une regle d'autdecouvert e12.
II.Inventory
II. I.Hosts
Liste !'ensemble des hates, au niveau des profils, informations sur
l'equipement
_;,.._,,..........,.,........
a.......................,,..
-
,om L
--- ·-----·-- --
- "'
.,,,
12
Voir Annexe- Figure 3
HI.Reports
lll.l.Statut of Zabbix
Affiche une partie du tableau du Dashboard, propre aux staluls de
z.abbix.
_
I
..
----
-·---·----
· ..
-"'--' p'.. -,,.
, .,,
'
.,.,
, ._,
111.2.Availability Report
Affiche des pourcentagesn de problernes remomes par les triggers.
111.3. Most busy triggers top 100

Affiche !es I 00 trigger critiques14
n Voir Anrn:>xe- Figure 4

. Voir anne:,;:e - Figure 5
I',-\ i' •·· I 43
111.4. Bar reports

Permet decreer un rapport specifique en fonction d'une periode de
temps, d'un item, etc.
-1c..._ ....,.. ., .. 1. .
-- - -------,
. ····-7'
- --.. - ,, ..-,:.J
-it/ Oi")l["jo" : 11, ,0--::;I
..:.1/ ,•)' l<" ' ,1> ..::.i
...
-•-•
Interface web deZabbix

.1 1 44
IV.Configuration
IV.I.Host groups
Gestion des groupes d'hotes (creation/edition/suppression),
"'"""°""-...,c••• . ,.
·,r,.,,., .•;-- ;,;-,.·,,_, :..- .;:;, .,,,,... ;,,,,,-,.,.,.... _ ',.,:·,r.- ,.,-. --··. ·, ""' -• ... _..,. ,.,,,,.. -,c - :;-
.;::..;_ ._;,;;,.:,..;;, H: ...:.U ;;.;r-.1-"i.- :,c""""'-....... •• oc. '"----"-' _.._ <~•• . ..:.:.aa. , ,.;_;_c_ :1.....SU -= :.:
• 4l -.,,,,,_n · • _,,,.... '.<-
H•· , .. y,. c,. '"M•,..•;w !.,..,, - :-"'"" ._, '·•• .-. -- .•-.···, .-. -" ,,-.·.,· -· ·,.,,-. -, • •:< ·" .,,,,,,.-..
- f
:,;:,'11 . 1 1 • , • = •• u • · : ,_ ... . : : :,.-,,,.,:,
' ,,. . ,...,c . - . , .,.. , • ••-- • •• -,-.;"'-<
• •. --'"""•
-! . .:-.-.:.!:..
_ •. ·•-- • ...,.-u,·r
,. . ,._ ,.,_.,.."-"""-''" _,_- c,.•, •_, ..:.c..:....••
•• ... :. •-~"•" - .:i...:.u....oJ.....c...-'-'.
......:.:.•...,.:..i..z... .•, -" .,. t-
:c,,.,>-# !!.;. _;_, ,,._,._•• ::..""-- ,1 -- ,:. ,-"-'--'-" '-'...<C.ll. '"" "'-"'-" _;_ _-1 -- _,. ,,
..
.-••--•,;:;:::rm..,_
. . . ,_. · . --((l)11. ) ·
,. .. .. .. .. .. . . ._ .,.. _,.-., , •,. -<• ,._ -,, ,..-,h -•"-• -"-"-"'.- "'-'-""'-""'' ,,.-eo"""" ~""·_,.•
-
-._.• .,. - .,., .<
,,,,.,,_..,._,,......, c.....,_.,_,..,._,
•"'"' "-"-'• •
- '"
•----••
• ..,.,..._ M m Tl,_,.. I _....,.._.,_
--
Interface web de Zabbix r
IV.2.Hosts
Gestion des hotes
(creation/edition/suppression).
-- .:;
:,
;,_-( --... ) - .. -...-1.. ---- £9,_. :..·:. _

OU:
-rin-r,.\ _-·\itlllll ··•11oti:::
-fl.II --
.,...........,.. ,.,....
_
. .................
,>11.-1tll Lllld,,_,._
...........
r' ,1 ;c. ,- I 45
IV.3.Maintenance
Definition et gestion des pfriodes de maintenance.
,.,,..,..,.,..,.,,.j
.....,... ...... ,.........

.1-1-.-r.....-:.....
--
IV.4.Web
Configuration des scenarios de surveillance Web.
--c•-•
---
. . . . . . . ."....'.--
- -··
:..::- ..
-
" " ' ., . ., .
ts
.._........
- ., .

I' ,7 !; ,- I 46
IV.5.Actions
, , ..fo..n,c.t_io,n, d'un even,e,m,-en-t1..-._).,.,.

Pennel de gerer des actions (reaction e n
' ,....:
--
IV.6.Screens
Permet de gerer les ecrans d'h6te et les slides.
-1--1.....·..-1, .
- ·ms·-rn·rs·-
.. ::·.:·. -- -
.. .. .... . .
. .. . .. . . . , c - o
fl" I 47
IV.7.Maps
Gestion des cartes.
-1--·""""'""""""'
2e ..,............ !
-- -
-
J ...,
.-..•..............-..-..-..-..........
IV.8.IT Services
□ - Administration et gestion des services IT.

- -n - _
..... ·...-·-- -_-·-,---- · ---
--
<
·-------
I' '" 1 I 48
IV.9.Discovery
Administration des regles d'autooecouverte d'equipements.
. --,, -·- -..:fit"' ---- "- - ,_,-- . ·-·--..lliiiiii

-
...
-
--- -- -- -,-----------=- -.--- - --
--.

Pagej49
Chapitre 3: Presentation
de l'entreprise d'accueil
Page ISO
Section 1:Presentation de
NAFTAL
A.Historique de NAFTAL
Naftal entreprise Nationale de Commercialisation des Produits
Petroliers, et une entreprise nationale par action (SPA), au capital equivalent it
15. 650.000.000 DA, filiale a 100% qui s'occupe de la commercialisation et
de la distribution des produits petroliers
Dans la ligne de la politique national it grande echelle de l'economie du
pays, SONATRACH (ereee par decret N° 63 .491 en decembre 1963}
entreprend sa restructuration dans le but d'assurer une meilleurc gestion et
d'ameliorer ses performances. Ce qui a abouti il la creation par decret
N°80_101 en Avril 1980 de l3 entreprises don! l'E.R.D.P. (Entreprise
Nationale de Raffinage de Distribution des produits petroliers}, issue de
SONATRACH.
L'entreprise E.R.D.P. a ete creee le 6 AVRIL 1980.
Entree en activite le premier janvier 1982, elle est chargee de
l'industrie, du raffinage et de la distribution des produits pelroliers sous le
signe de NAFTAL SPA.
L'appellation NAFTAL provient de :
NAFT : terme arabe designant le PETROLE
AL : en reference a AL-DJAZA.IR
En 1987, l'activite de raffinage est separee de l'activite de distribution

par !e decret 87_189 (NAFTAL SPA est chargee de la commercialisation et
de la distribution des produits petroliers et NAFTEC est chargee du raffinage
du petrole).
La raison sociale de la sociCtC change, suite a celle separation des
activites, et NAFTAL SPA est, desormais, chargee de la commercialisation et
de la distribution des produits petroliers.
A partir de 1998, elle change de statut et devient FILIALE a 100% de
SONATRACH.
Pagej51
B.Les Missions de NAFTAL

Naftal a pour mission principale, la distribution et la commercialisation
des produits petroliers sur le marche national.
Elle intervient dans les domaines suivants :
► Organiser, developper et gerer Jes activites de commercialisation
et de distribution des produits petroliers.
► Stocker, transporter et/ou faire transporter tout produit petrolier
commercialise sur le territoire national.
► Veiller a la mise en reuvre des mesures visant la sauvegarde et la

protection de I'environnement en relation avec les organismes concernes.
► Proceder a toutes etudes de marche en matiere d'utilisation et de

consommation des produits petroliers. Definir et developper une politique en
matiere d'audit, concevoir et mettre en reuvre des systemes integre5
d"informations.
► (Euvre a une utilisation optimale et rationnelle des infrastructures

de l'entreprise.
► Developper une image de marque et de qualite

Pagel52
Section 2:0rganisation de
NAFTAL
A. Presentation generale de !'organisation de NAFTAL
Ditection elrec:ulive
Direction exec\Jtive Direction exlkutive
(
Direction Direction Admiriistration gen6rale
Surete interne de l'etablisse'ment
Organigrammede NAFTAL
B. Presentation de la structure d'accueil La DCSI
(DCSI) : direction centrale des systemes d'information
La DCSI est une nouvelle structure de NAFTAL, creee en 2004 dans le
cadre de la reorganisation de l'entreprise.
Sa mission principale consiste a assurer le bon fonctionnement de la
plateforme infonnatique, a organiser la migration des systemes informatiques
existant vers de nouvelles plateforme plus performantes, ainsi qu'a mettre en
place des progiciels et autres outils modernes (ERP) d'analyse des bases
donnees, de gestion et d'aide a la decision
//
Departement
Departement
Central
µ--- -
,,/Departement -,,,\
Support !
&reseaux
DE'partement traitement
/ DCpartenwnt solution
lnformatique
Web & systemes decisionnels
Organisation de LA DCSJ
Page ISS
Chapitre 4: Mise en
reuvre de la solution
Section 1: Simulation
A.Outils utilises
I.Topologie
LI .Presentation
Nous utiliserons la topologie suivante sur GNS3
NO gen_dh:Yirtuaeml Host-<lfllv lk'!tWon:
Topologie pratique
Page I 57
I.2.Table d'adressage
Table d'adressage
Equipement Interface Adresse IP Masque
g0/0 172.16.1.1 255.255.255.0
DG Tunnel 3 3.3.3.1 255.255.255.0
g2/0 192.168.56. 254 255.255.255.0
g0/0 172.16.1.2 255.255.255.0
Cloud sl/1 172.16.3.1 255.255.255.0
sl/2 172.16.4.1 255.255.255.0
sl/0 172.16.3.2 255.255.255.0
Districtl
Tunnel3 3.3.3.2 255.255.255.0
sl/1 172.16.4.2 255.255.255.0
District2
Tunnel3 3.3.3.3 255.255.255.0
Zabbix eth0 192.168.56.10 255.255.255.0
1.3.Explications
Dans la topologie utilisee, un tunnel Dynamique sera mis en place entre
les routeurs DG, District l et District2. Les 3 routeurs sont separes par un
routeur nomme Cloud. Ce demier est considere comme le reseau internet.
L'adressage 172.16.x.y/24, sera utilise pour comme IP reel des
interfaces. Le routage RIP sera utilise pour permettre la communication entre
tous les routeurs.
Quant aux tunnels, ils utiliseront l'adressage 3.3.3.0/24.
Le serveur Zabbix, chargC de la supervision, sera dans le reseau local
(192.168.56.0/24) de !'interface G2/0 du routeur DG. Pour se faire, on
utilisera une machine « host » (propose par GNS3), qui sera connecte au
routeur DG (interface G2/0) via son interface « Virtualbox host-only
netwok » et le serveur Zabbix (sous virtualbox) sera en Bridge sur cette mCmc
interface
Table d'adressage IP de la topologie Protique

Page 158
II.Logiciels
Pour la realisation de Ja solution, nous avons utilise plusieurs logiciels,
a savoir:
I1.l.GNS3
C'est un logiciel d'emulation de topologies reseaux. II nous permettra
de monter et faire fonctionner de fa9on virtuelle nos routeurs sur un
ordinateur. De ce fait, ii est important de rappeler que plus le nombre de
routeurs utilise dans la topologie est eleve, plus GNSJ demande en ressource
systCme, ce qui est tout a fait logique, puisqu'il fait de ('emulation.
Pour ce qui nous conceme, on desactivera cette fonctionnalite afin de
l'utiliser en tant que simulateur. Ceci se realise grace i, l'option "auto idle
PC >> des routeurs.
GNS3 permet egalement aux equipements de la topologie, de
a
comrnuniquer avec l'environnement reel de Ja machine hOte travers
differentes methodes, On utilisera a cet effet la carte reseau de
virtualbox pour permettre la communication entre Zabbix et !es routeurs, via
la technique du bridge,
La version utilisee iei est la 1.3.4 sous Windows 64 bits.
11.2,Routeurs
Les routeurs toumeront sur des plateformes C7200 de CISCO, avec
pour 1OS c7200-adventerprisek9-mzl 24-22.bin.
Une taille de 512 Megaoetet pour la R.,\M et 512 Kilooctet pour la
NVRAM seront requis pour chacun des routeurs. Ces derniers seront
egalement equipes de 2 interfaces Gigabyte et 3 interfaces series,
11.3.Putty
PuTTY est un emulateur de terminal double d'un client pour les
protocoles SSH, Telnet, rlogin, et TCP brut Il permet egalement d'ctablir des
connexions directes par liaison serie RS-232.
II est le client terminal par defaut de GNS3, 11 sera utilise pour la
configuration des routeurs
La version utilisee iciest la« GNS3 build 0.62.1 ».
11.4.0racle VM Virtua!Box
C'est un logiciel libre de virtualisation publie par Oracle. II permet de
faire tourner des machines virtuelles sur un environnement reel.
Pagel59
II.5. Appliance Zabbix

On preferera Ja Zabbix Appliance de pour la supervision. La version
utilisee est la« 2.4.6 » au format« .vmdk ».
II.6. Wireshark
C'est un logiciel de capture de trafic. Il est populaire chez les amateurs,
comme chez les professionnels de reseaux informatiques. Tl permet ne sniffer
une interface reseau, et capturer tous les paquets a destination de cette
interface.
La version utilisee ici est la 1.12.7
B.Simulation
I. Mise en place des tunnels
I.I. Configuration du reseau

On commencera par configurer le reseau reel, et s'assurer de Ia
connectivite en faisant des tests ping.
► Configuration du DG
r··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··----··-··-··-··-··-··-··-··-··-.. -·.-·.-·.-·.-·.-·.-·.-·.-·.-·.-·.-1
' configure terminal
HostnameDG
interface gi0/0
ip address 172.16.1.1 255.255.255.0
no shut
!Routage RIP V2 pour le reseau reel

router rip
version 2
no auto-summary
network 172.16.0.0
►
-------·-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-............................................................................................................i
Configuration du Cloud
··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-··-····· ·.......................................................................1.
configure terminal
Hostname cloud
inte1face g0/0
ip address 172.16. 1.2 255.255.255.0
••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••n••••o•••••••o••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••••-••-••-J
.
Pagel60
noshut
interface sl/1
ipaddress 172.16.3.1 255.255.255.0
no shut
interface s112
ipaddress 172.16.4.1 255.255.255.0
no shut
exit

router rip
version 2
no auto-summary
network 172.16.0.0
! e xit
'-··-···..-...... ... .. .. ........................................................................................................................................................
► Configuration de District!
............................. •......................................................................................................................... .1.
configure terminal
Hos/name District 1
interfaces1/0
ipaddress 172.16.3.2 255.255.255.0
no shut
exit

router rip
version 2
no auto-summary
network 172.16.0.0
exit
► Configuration de District2
.............................................................................................................................................................................. ,
configure terminal ·
Hostname District 2
interface s1/0
ipadd 172.16.4.2 255.255.255.0
no shut
exit

I''",'r I 6i
r··-----··-··-·· "···•··•··•··---··-··-..-.._..._... .. .. .._"_"_"_··-··-··-··-··-··-,

I .,_,........_.._..._.._.._.. .. ...
.._......
router rip
version 2
no auto-summary
network 172.16.0.0
i
! exit
'-••••••••••••••••••••-•••••••••••••••••••••••••••ss•ss••••••••••,.••••••••••,.•,.••-•-••••••••••••••••••••"•"-••--•••••••---••••••••••••••••••••••••••••--'
J.2.Test de connectivite
Ping DG District_1 ; ping DG District 2
Test de connectivite 1
Comme l'indique la figure precedente, ii existe une connectivite entre

le DG et le Districtl (cadre rouge), et entre le DG et le District2 (cadre bleue).
La figure ci-dessus montre bien que !es deux districts peuvenl
commumquer
Maintenant qu'on est sure d'avoir une connectivite entre l,n,uteurs,
passons a la mise en place des tunnels
l.3.Configuration des tunnels

!ill DG
r··-··-··-·· ··-··-··-··---··-··-··-··-··-·•-u•n•a.•--··-··-··-··-·•-u••·-··-·---- -··-··-··-·-··-··-··-··-··-··-·•-»••·--·-··-··-··-··-··-··-··-··-1
I configure terminal ·
I !activation du routage eigrp

I router eigrp l
no auto-summary
exit
Test de connectivite 2
'
interface Tunne/3
ip add 3.3.3.l 255.255.255.0 I
/configuration de NHRP
··-··-··-··-··-··-··-··-·-·-··-··-··-··-··-··-··--------------·- --··-··-··-··-··-··-··-"----------··-··-··-··-··-··-··-··- ·-··-··-··-··-------------------·
!
Page!63
-··-··-··-··-··-··-"-"-"-----··-·•-n••·-..-.....". .......................,.-··············- ········•1

r ..-··-··-··-··-··-··-··-··-··-··-··-··-··-·-··-··-..
ip nhrp map multicast dynamic
ip nhrp authentication stage
ip nhrp network-id 3
no ip next-hop-self eigrp
1 no ip split-horizon eigrp
1 tunnel source 172.16,l.1
! activation du mGRE sur /'interface

tunnel mode gre multipoint
bandwidth 1000
ip mtu 1416
; exit !
►
.. ••••••••••••••••••"••••-••••n•H••••,.•••- - - - -•••••••••••••••••••••••••••••••••••••••••••••••-•"•••••••••••••••••••••••••••••••.,•.,•-••••••••••••••••••••••••--·
District I
,-----•••••••••..-••••••••••••·•··•·····•••••••••••-••-•••••••·•••••••••••..••••••••••••••••··•···········•..• ..• ..•'"•"•"••••··-··-··--•..•..•"••••··•··-··-1
! configure terminal ·
!activation du rouage eigrp

router eigrp 1
no auto-summary
exit
inte,face Tunnel3
ip address 3.3.3.2 255.255,255.0
'configuration de NHRP
ip nhrp map 3.3.3.1 172,16.1.1
ipnhrpmapmulticast 172.16./.1
ip nhrp nhs 3,3,3.1
tunnel source 172.16.3.2
!activation du mGRE sur /'interface

,' bandwidth
ip mtu 14161000 !'
...................----·-··-··----··-··.....................,. .......................-..•..•..• ,......... ._. .............................._,,_.........................
,
► District 2
!"'"•••-"•••••••••••••••-•-,,•••••••••••••••••••••••••••••••••M••-·•••·•••-"••••••-"-""''W<'•••••••••••••••••••••-h•"•"•••-••-••-•••••• •-, ,,_,,_,, .• _,_.,w,,W,
· configure terminal •
.
'"··-··-··-··-··..-·-··-··-··••·-······..•··•..----..-...,, •..• ..•..• --·-··-··..··-··•····· ···..•··•···...._..... ..•..•.. ..-..-.... -··-··-··-··-··-··-··• . ·-··-···.'
Page 164
r··-··-··-···"-'·-··-·· ····-··••·-··--·---·- -········•··-··-··-··-··-··-··-········-··-··-··-··-··-··-··-"----··-··-··- ----··-··-··-··----1

· !activation d11 ro11age eigrp '
router eigrp J
no auto-summary
exit
interface Tunne/3
ip address 3.3.3.3 255.255.255.0
!configuration de NHRP
ipnhrpmap3.3.3.l 172.16.1.l
ip nhrp map multicast 172.16.1.1
ip nh,p nhs 3.3.3.1
tunnel source 172.16.4.2
!activation du mGRE sur l'inte,face

.
bandwidth 1000 !
!' ---...i p•..m. t .u..•.1.•4,, ..1..6.................-...... ..........................,,.,,.,,
,, ,,., ,
........................................................................................................................................................................ ,,_ .._,,_,,_,,_,

•..•..•..•..•
,
,,
.i'
I.4.Test des tunnels
II.Application de l'IPSec
Pour securiser le trafic des tunnels, on utilisera l'IPSec.
La configuration suivante est valable pour tous Jes 3 routeurs (DG,
District! et District2)
r ................·-··-··-··---··-"-"-''-··-··-··-··-"-"-"-··-··-··-··-········•••••••··• -········-------··-··-··-··-··-··-·•••·-·---·······-··-······•··-
, !definition d'11ne police isakmp
configure terminal
crypto isakmp policy 10
hachsha
encryption aes
authentication pre-share
group2
lifetime 86400
exit
!
crypto isakmp key cisco address 172,16.0.0 255255.0.0
;
'L .............................. •••••••••••••••••••»•,.••••••••••••••••••••••..• ..•--••••••••••••••••••••••n•••••••••-••-••-••ff•••"M"•"••••••••••••••••,.••• "•"'••••••••••••••••-ow..•
Page I65
r• •• «••••••-••-••-••-••-..•••••••••-"-n•n-••-••-n•nWnWo••"•"-•---•-••-••-••••••"-••-••••••••-••-••-•••••- -- - -••••-•••••-••••••..••••"•"••--••-•••t
! !definition du transforme-set de l'IPSec ·
·' crypto ipsec transform-set fl.fINE esp-aes esp-sha-hmac
mode transport
/creation d'un profile IPSec

crypto ipsec profile .DMVPN
set security-association lifetime seconds 120
set transform-set MlNE
!application du profile IPSec au tunnel

!' interface tunnel3 .
! tunnel protection ipsec profile DllfVPN i'
...............,,_,,_,,_..•..•........•..•..•..•..•,,.,,.,,_, ,,_,,_,,_,,_.,_.._,,_,,_.,_,._,,_,,_,,_,,_,,_,,_.,_,, ,,_,,_,,_,,_,,_,,_,,_,._,._,. ,_,,_,,_,,_,,_,._.,_.
III. Prepan1tion a la supervision
III.I. .Configurations
III. I.a.Reseau local du serveur Zabbix

Pour pouvoir superviser, on va commencer par configurer le reseau
local du server Zabbix.
La commande linux suivante permet de configurer !'interface ethO de
Z a b b ix :
r ··- ··· ·-· ·-· · -·· -··-··-··-··-··-·····-··-··-·· "-··-··-··-··-··-··-···········-··-·- -··-··-··-··-··-··-··-··-··-··-··- 1
!..I,..f...c...o..n...f.,,.i..g......e...h...t.·-·0·-·•1-«-9..2.......1...6...8.......5..."6.
•,..1.,,.0,,./...2...4.,...1_..92,,_.,,_1..6, 8.56 _.2._5"_4"_1",
Quant a !'interface g2/0 du routeur DG, la configuration suivante sera

effectue ;
r··-··-··-··-··•••••••.,-··-··-··---·••-•-··-··-··-··-··-··•··•··--·-··-··-··-··-··-··•"•··•··-··--·-··-·----------··-··-··-··-··-··-··•··•·---·-··-··-1
· configure terminal ·
interface g2/0
ip address 192.168.56.254 255.255.255.0
i
..
no•••••••••••••••••••••"••••••••••••••••••••••,,.,,.,,_,,_••-••-ss•S'-•••«_.,_,,_,,_,,_.,_.,•ss-••-••-••-•••••-•••••-••-••••••••-••••••••-"-"--••••••-••-••••••"••••••-'
shutdown
UL I .b.Routage
On effectuera un routage statique pour connecter fes Districts au
serveur Zabbix
r··-··-··-··-·····-··-··-··-··-··-··-··-··-"-··-··-··-··-··-· ---- ---··-··-··-··-·-----·-··-··-- - ····-·····-··-··-·····-··-·--·-·-..--.--.--.--.-1
, configure terminal !
, I
ip route 192.168.56.0 255.255.255.0 tunnel3 , I
L-··•··•--- -,,-··-··-··-··-··-..-··-··-··----·-··-··-··-·-"-"-'"-'"--- ··-"-·"-··-··-«-«•••-··-··-··-••-··-·•-··-··-··-··-,,---··--•-N••·-··-··-•
Grace a cette config, !es donnees de supervision passeront par le
tunnel
111.1.c.Activation du SNMP
Les 3 rouleurs (DG, District!, District2) auront la configuration
r· ll_i.Y".':1::1'2.'.'!:."c.1]:" r_l _SN, 'vi_!:'_ -·-····_- . ...•..• -·-··•··•·····•·_·- • --·····•·····•· _ •
I ·_··· 1
configure terminal 1
i
i s n m p - s e r v e r co m m u n it y
. ................. ... ... ..•-· -··- ·· -. -· .-· .-· ·-· .·-··-- ··-----··-··-----·-------··-·•-··-··-··-··-·-··-··-··-··-··--··-----·---'
- ··- --·· -··- ··- ·· · ··
public rw .
III.2.Tests
Pour tester la configuration, on interrogera la MIB d'un routeur
(District2 par exemple) depuis la console du serveur Zabbix avec la
commande suivante :
r··-··-··-··-··-··-··-·---------·•-----· --·-•-··-··-··-··-·•-··-··-··-··-..----··-··-··-•·-..-.._··-··-··-··-..-··-··-··-··-··-··---··-··-·•1
!S!l!!!P!" -1:...:.£. P.L!£.l_i_c .:Y,_}:_ ?..:..3..:_3_:.:3.. _,_1_:}.:.?..:.1:.:-2.:-1..:.1-_,_1.,_1_,.fli
Test snmp
La capture precedente montre la reponse retoumee par le routeur apres

la requete SNMP. En effet 1'01D demande ( .1.3.6.l.2.l.l.l.J.O) permet de
consulter la description du routeur. On peut lire la version de l'IOS utHisee
par le routeur, surlignee en vert.
i' ,-, 6' , • I 67
IV. Mist: en place de la supervision
IV. l .Aiout des hates et du groupe d'h6te

Pour superviser les equipements, on va d'abord commencer par les
creer dans le serveur Zabbix. Apres authentification dans !'interface web de
Zabbix via son adresse JP, a!ler dans Configuration 0 Hos1s, puis cliquer sur
create Host.
Dans cette nouvelle page, renseignez les informations de l'hote, tel que
son nom, son groupe, le type de !'agent (ici snmp), son adresse IP de
supervision (ici Jes adresse IP tunnel 3.3.3.x) et une description (facultative).
La figure ci-dessus en montre I'exemple
I ■ l>oO H,. v ' ',!t; , '.!.'."L :.,.- ,.. . _ ...........• b..J' •;!\tdli-:\t.:.'.:.t-:·\'j,,1 ":..••.
+. C' 191.1611 S610,,- ttF,ihom.rtir
I - I .....,,..,n l ,..., I ~- I -• .........
-- ..
",_",'" " ".,,,
·-'"""'"'""'""'
............ .
, , , , .. ..
. , . ,"""""'
..,.,,,
Ajout d'h6te zabbix

--! 1:: i- I 68
Par defaut, Zabbix offre des templates pour !es interfaces SNl\1P. On va
done ajouter ce template a l'hote. La capture suivante montre en detail et par
etape comme le faire
-•
+- C' l: l92,163.56.10/1,mlm.-'i"Yh µhr
-...y, I'.)• cih>ft:11 .. o. ............"'._ ..

¥fl IF
+ ■·,iIi,i,M,iil::iii--
CONFmt!RATIOk 0,, ltOST'S
muw; ll z.tibM2A: · .--

,:,, 192.168.5-6..10/Iahhi</pop.in P''P '/(\bi• tcnµ!Jlf",l',s: !'il,I
:!!!malats SlM ;OS w,,.;,,i...
,' .'!'!Jt Vk;ffl Wffl& 1·

':, +nr±tr u-ot Yl'lhtP ttl'lertlt9f I·
1-1
Ajout Template a un hote Zabbix
Une fois le template ajoute, et l'hote cree (avec le dernier boutoadd),
on s'assure que le protocole SNMP est bien activer sur l'hote, et ceux depuis
Zabbix dans con/igura1ion8 host,
_.'■ ,·-"'" .,.,._

+.Cl'!L11,<k/4Hi ,--1, , ", , ,
, _
-- - - - --
......,..,,.,,,, ..,,,,..,
-----··---·- -
' '
-···
,_ -··"
- --""
Cette operation doit se repeter pour tous Jes routeurs a superviser.
VE'rifrcation del'activation du SNMP

IV.2.Creation et affiliation des Items
a
Grace au Template ajoute, on n'aura pas creer des items pour chaque
interface. Dans cette partie. on crCera uniquement des items pour superviser
!es CPU.
Pour se faire, aller dans configuration fiJ host, sur la ligne de l'hote a
ajouter l'item, cliquez sur item, puis sur create item. L'OID
"13.6.1.4.1.9.2.1.56.0" permet de connaitre la charge CPC.
C()Nl"UWAAUOIII Of MM
Creation d'ITEM
Une fois les champs renseigne, cliquez sur Add.

Pagel71
TV,3.Definition des triggers

Pour les trigger, on crCer fes rfgles suivante :
a. Si !es interfaces tunnel 3 des routeurs ne sont pas UP
b. Si Jes interfaces seriall/0 des Districts ne sont UP
c. Si !'interface g0/0 du DG n'est pas UP
d. Si rinterface g2/0 du DG n'est pas l)P
e. Si la charge CPU des routeurs depasse 60%
Les regles a, b, c et d se font exactement de la meme fa,;on sauf dans le
choix de l'interface. Pour illustration, on creera uniquement !es triggers a et e
pour le DG
Pour ajouter un trigger a un hote, cliquer sur trigger sur la ligne de
l'hote, puis sur create trigger.
JV.3.a.lnterfaces tunnel
1!!!1 Z.thd./4 A,
!92168$6.lD.,
Ff r: ·e : s
,;J., . l"-!-' F t,cxp11' !
:e W
"'"•""""_.,.·-·-- 1',oc-
t . .. _ .. .. ,, " l l l !f t w .. .
1
-1 92
... .,
;MWo(lniltdAa &pjaji(l
.1 6 8
••tfMHliwi!U:
5 6 , l O / !
,1........-.
,_,_
A>
fJf
--
m •:pcpu1> pf',,<" ., ,,,,,,,,, l'c,
-
i
'' /WIii?eilAirlMt hJwllll
•
¢J.-..,fffl 01>1wr1W!l
-'' .... . "- --•--- •-
,1192.it,11¼ !ill ;,op<.p-,;l pl--"""'\ l&drth1,c.,.'
"••--'•,.,•'
Ajout Trigger interface Tunnel
La capture pr6cedente montre explicitement fes etapes it su,vre pour

ajouter le trigger enonce a l'h6te DG.
Cette etape est la meme pour les autres interfaces et routeurs
Pd f-'173
IV.3.b.Charge CPU
Pour ajouter le trigger concemant la charge CPU, les etapes
pour
!'interface seront les memes, sauf bien evidement l'eta . 5 et 6.
' 1
I
1
1 ,
1' "''"
-· ................
_
- 1''
-V-•
1'.:), , , , -a
I i,,,,_"' 1 '
' ·"' -.,,_,, ,_,..,

: -.Iiall:Q
........"'°""""·-" -···"
: = .... .,...,..
o"""'"''""
1/,lllhl, -c 1
-
' _., ...... l'
I
::;.::.,,,,. ,.botl'O
-
'' ,.._,,, ...
_,,,,.,,
!
''.
"' -'™",t1"llr1r-lll
t
i--.,·-..,, _,,,., I••• ••- ; .._,;...,. i A.. ,..,, ;.,.,,o1,.. -o1-...!b<oil/)
: rrrwr : rsMU1lif/'" ·=-=----- ""'•· lilt
f"-{<-
(
--
:
- .....
I •• •
,
AJout trigger CPU
IV.4.Creation des graphes et screens
IV.4.a. Ajout de graph

Grace aux template ajoute aux routeurs. ils possCdent automatiquement
des graphes pour ehacune de leur interface, permettant done de visualiser la
charge du trafic sur !es interfaces.
On creera done uniquement un graphe pour la charge CPU pour le DG,
comtne indique sur la capture ci-dessous.
Pour rajouter un graphe a
un hote, se rend dans configuration @ host,
puis on clique graph, sur la ligne de l'hote auquel on souhaite ajouter un
graph. Enfin cliquer sur creole graph.
f' ,I ' 0 I 74
illilUl II
•
,khMnlcmnm1rndM4•11iw1wl:zllt """'-!'llc.l .,,_..,..DJ $t

,111<1,n,"1'"""'-l P
I'' i'w1-ll'lf ..wt>Jt<!_!!,.,l !ll
-.....Cs.tolVCJ •
,,,;Wa:wM-erdlld.-hdll:nl i"""°"'s...o:l/!J Sf
3
,:1, Jnbo,,('d#lffl@ ,otc!l&c s«n1i1Jl _,,111
_, ......,..,....,...,.i-klflU2 Sf
_,_.
""' ...
.. ,,...
,.;:.k,&mJ •
{_,
A
I
I
i
I
I
2,1•--•-..· - 1 , l' Ru,••
_9,......... -
Ajout de graph a un hate
TV.4,b.Creation de screens personnalisees

Les screens facilitent Ja supervision sur le plan visualisation et lecture
a a
grace la creation et la personnalisation d'un tableau de bord
Pourcas d'exemple, on creera un screen poun, DG. Ce screen
contiendrn le graph CPU et Jes graphes de bande passa.nte ses interfaces
Ajouter un screen est tres simple, ii suffit de cliquer sur configuration [!
J screen, puis sur create screen. Et lit on indique le nom du screen (DG dans
cet exemple).
Apres creation du screen, y on ajoutera Jes onglets souhaite en cliquant
d'abord sur le screen, puis surchange. La figure ci-dessous montre l'ajout
d'un graph dans le screerDG.
•
'
CONFIGURATION OF SCREE MS
LDG ==========="'►
··
,...,==================================="
S.C-n cell mnfh)unmon
,f.•,·
mr
Grai,I', ™"ml!
Grnph
oc;, Charva Cl'IJ oa
.-l•
w""'
·I
,00
-
H<1c>Q'>t ,oo
'
Har,ll!Q-MAI ,a;hgn
Vo,rtic.,,I A:11)1)
Coi'-""n, lp.10
... [.;...;..J Nlg t
ft,:,tlom
Rm,SP,!"
D'l'"""llk
Screen- Ajout de graphe
L'ajout des graphes pour la bande passan1'1es interfaces se fait

exaetement de la meme fa,on, sauf a l'etape 3 ou on doit specifierle graphe.
Section 2: Test et resultats
A.Eta! des tunnels
I. Le protocole NHRP
r.l .Enregistrements
L'authentification des clients (Districtl et District2) aupres du serveur
NHRP (DG) s'effectue avec succes, comme le montre la capture suivante
grace a la commande debug nhrp packet sur te routeur DG
Enregistrement NHRP
" , ·. , I 77
Sur cette capture, on peut observer que le DG rec;oit une demande

d'enregistrement NHRP via son interface tunnel 3.
Cette demande est effectue par le District! (src NB'.'vlA: 172.16.3.2), ii
cause de la commande ip nhrp nhs 3. 3. 3.1 configure sur son interface
runnel 3. Ensuite le DG repond a la requete.
District2 fera egalcment cette demande d'enregistremellll.prcs de DG.
La phase d'enregistrement peut prendre uncertain temps.
1.2.Table NHRP
Apres la phase d'enregistrement des client1;, table NHRP se met a jour,
comme celle du DG sur la capture suivante grace a la commande show ip
nhrp detail
Table NHRP DG
Par contre, les routeurs Districtl et District2 n'ont que la resolution

1''HRP du DG dans leur table
Table NHRP District_1

Table NHRP District_2
Pour mettre leur table NHRP ajour, un ping depuis le District Ivers
l'adresse ip tunnel du Distric2 (3.3.3.3) sera necessaire. A cet effet, le DG fera
une resolution NHRP pour le District! et le District2. Les deux captures
suivantes en montrent l'exemple
I 79
Mise a jour table NHRP 1

· ,. I so
Mise a jour table NHRP 2
Comme on peut le constater sur Jes deux precedentes captures, DG

re,ois et repond a deux requetes de resolutions.
Maintenant que la resolution est faite pour les deux Districts, on se rend
compte de la mise it jour de leur table 1'.'HRP
Table NHRP District_1i, jour
Table NHRP Dislrict_2a jour
Cette resolution a la demande montre tout l'lnteret du DMVPN

11.Etats du DMVPN
Apres l'enregistrement NHRP, la table dmvpn du DG montre elle aussi
la creation des tunnels entre le DG et les Districts. Cette table s'affiche grace
a la comrrumde show dmvpn et le resultat est donne sur la figure suivante
Table DMVPN de DG
II en est de meme pour les District,;, qui ont mis a jour leur table
DMVPN apres le ping.
Is,
Table DMVPN de District_1
Table DMVPN de District_2

1· •· I 84
Ill.Capture de trafic
II I. I.Avant IPsec
La figure
ping (paquet suivante
ICivlP) montrc un de
en provenance trafic passant
District! a destination
par le tunnel.
(3.3.3.3) II sagitded'un
!'interface g2/0 de DG (192.168.56.254)

N,. T-
'°""" iol'I
,,_., ,_ ... ...
1 0. 00000000 3, 3, 3. 3
2 0.01560000192.US. S6,254
192.166. 56.2S4
.3.3.3,3 """ 138 Echo (ping) reques1:
138 Echo (ping) nply
16,,,,0x0004, .seq.,0/{
,_
f ,
'""'
Seq-0/C
3 o.06240000 3. 3. 3. 3 192,163. 56.254
5 0,078000001!l2.163. 56,254 3.3.3,3

131Echo
131 (p1ng)' r
r y
•
6 O.l.2480100 3. 3. 3. 3 192.168. S6.254 ICIOP 138 £cho (ping) reques1: id-Ox0004, seq,,,-2:/!
--
7 0.1"°40100192.163. S6, 254 3.3,3.3 1""'138echo (pifl9) reply fd,,,,OxOQ04• seq,>l/!
8 0.18120100 3. 3. 3. 3 192.168. 56.254 3,3.3,3 192.16'. 56.254
1""'1311 Echo (ping) t'ltqUl':St id-0x0004, seq-3/i
9 0.202tol00192.161, 'j6.2S4 J.3.3.3 ICIOP138 &cho (ping) reply i, .'Htq•3/i
10 o.24!l60100 3. 3. 3. 3
11 O.Zl52010Dlt2.1fSS, 56. 254 """ l,
138 £cho (pfng) request i d,,,,,Ox0004 • seq,,,,4/1
ll : • e
t> Ethernet u, srr:: c.a:02:01::30:00:08 (ca;lU:07::30:00:0&), ost: a:m.:02:k;OO:oa (ca:01:02:3<:0C:OI)
"
Trafic avant IPSec
Comme on peut le voir, c'est le protocole ICMP qui est transporte

(en Jaune), On peut egalement voir le payload du protocole GRE (en vert).
Ce trafic a ete capture a !'interface g0/1 du Cloud, ii peutlont lire les
adresses ip des tunnels y compris le contenu du trafic, qui n'est evidemment
pas encore protege, ce qui n'est pas Bbjectif d'un VPN.
•
III.1. Apres !Psec
Apres !'application de l'IPsec tu les interfaces tunnel, voici un ping
----WI
du Districtl vers !'interface g2/0 (192.168.56.254) du DG
• -- . _.w:, ,cJCit¥:Ttts· -
•
fill &a ._ IIJ T I_.. Hdp
" " II ■ >!.
-
Br1•'11 '\ .. ♦ 4''1 A lm 1a O. <!l.O l ■ !'ll !l!! S1;I G
limo! Sou,,,;.,
1 0.00()0000017.'.16.4.2
a-"'"
171.16.Ll
Apflfy
(SP
lffl<lll, Jrih,
182 CSf' (SPJ-0JttU02ell)
2 0.01000000177.16.1-1
:J 0.03000000172,16 4.2
s.w.
172.16,al,J ESP 182 ESP (SPI-0Xd2cc0fbt) t!
-
172,16.1.1 W 1112 UP (SP1..o,,;cu01"-12)
A 0.0<100000017?.16.Ll
172.1(1.4.2 £SP 182 £SP (5PI-0Xd2 c0fbe)
0.06000000112'-lfi.4.J
6 o.01000000 172.16.1. 1 172,16,1.1 ESP ltll P (Sl>lm-Ol<.tUOleJ.Z)
7 0.100000001?2,Ui.4.2
172.H,.4. 2 ESP 181 ESP (&Pl-0,cdlecOfbe)
111-16-1.1 £SP 182' £SP (SPlooO!i:CH02e12)
8 0,11000000172.16.l,l
9 0.13000000 172.16. 4. 2 112.16.4,2 ESP 182 ESP (Sl't...oxd2ecc0fbe)
10 ◄
0. l OOO!)(Xl171,16. 1. 1 172.16.l.1
172,16.4.2
ESP
tsP
182 J.SP (Sf'1-0Xc..a.Q2e12)
182 tsJ> (sv1-o,,;d21u:ofbe)
11 0. 67000100 c,,;:O?:07:JO
:00:08 ca:02:07:lO:oo:oa lOOP 60 Reply
lt l, 40000300 ca:01:02:Jc::00:08 ca:01:0J:lc:OO:OS LOOP 6i) Hply
H 8.670012001?2,1tL4.1 1n.rn.1.1 ESP lill UP (S1'1-01tCll!il02€12)
14 8.1'!3001200112.H!.l.1 l!Z.16.4.1 £SP 182 ESP (5"1..0Xd2ec0fbe)
B 8.7100ll00172.16.4,2 11:?.16. 1.1
-£S- 11!2 ES? (SPt-OXn.ao2 )
P
-,,--
Trafic apres IPSec
On peut constater que ni Jes adresses ip des tunnels, ni les donnees

transporte ne sont lisible.
On remarque egalement que !'encapsulation est faite par le
protocole ESP, done l'IPsec a bien ete applique
Page 186
B,Resultat de la superyision
I.Lecture de triggers
Pour montrer l' inten t des triggers, on va tenter de dC:sactiver une
interface, et montrer la difference, avant et apres la desactivation
La figure suivante montre bien que I 'onglet Monitoring -:> Triggres est
vide
Trigger vlde
•
S"lbt<h
: $talus af tr •Cu,atum 1it:rP.1tM • Stlhs of tr;99"A • 0 • St;n;ur; norm
··==-====s,1
Trigge
o, p:,.y;r,g O (!f O fou..d
Gru,,p N.ssfuol Routeo. Y H,nt all ii Y
' Z&bbb, 2,4.& rili,ld 200t 20llt byhbbbl: $1"' Cci11ncct«!d u 'AdfflM'
i
Maintenant. que se passera-t-il si l'on desactive !'interface g0/0 du DG?
La figure suivant donne la reponse.
lAAp• ·· 2 ·-.·•·• - r• :· '3 }r X'\8 -:--·

192 168$6.10-'/.,1,hn/1· ::.'.at,.,$ php '·.id: 4b.1l 7-1:l.Zl J'-'h:; -,,,;, fD =
Declenchement de triggers
I' I 88
On constate done le declenehement de deux triggers, dont leur statut est

PROBLEAf.
Maintenant, retablissons le probleme en activant !'interface en question,
et analysons la figure suivante
Zabbi 2.4 Ar X
Cl 192.168.56.10/z;,bbix/11 :,l.'llU'- p11;.,·'-,i:J=01'1k1f/4d2d%b1& fa 'S.? '9 5
Htip I Gff ! Print f Profile I LOQDut
Trigger mis a jour
On peut done voir que le statut des triggers est passe de PROBLEAf a
OK. Toutefois la colonne ,icknowledged nous indique qu'il ya eu un
probleme, meme s'il est regle.
Il.Le<;ture de graphes
Pour la visualisation de nos graphes, on se rend dans Monitoring@ Graphs
•' I'.'r j 89
Dans le graphe ci-dessous par exemple, on visualise la charge du

processeur du DG, qu'on a configure
,._,.........,,,., ' •-,. .,.,•'"'"'''"""'' • (11-i,.........,..,,

f-.C .
,,;"'"'"'"'C'o•-·o·--•-·- ,
1 >) li,B,LD
'"
·- l§"xIJ-,t-i-..{...i..i,,L.._.,_.,_ ,INN
- _a
E"'•ur..
"
"
""
:"
'\:: ,, =","""'
1;;·, ,.e, , • i ;• • "' t -·;;= ot1;;;a•: 1t; =•; c•:o ,;-·; ;
-
; 11 ei :; ;ii :11/;: 11!::: 11;; t!tt 11t>:: 1; ttlt i c;t; l t < t, ,1;
j
'., ...,., 1.-.! "'•' Ml >"'4"' . ,.
I : --:'"' ""-"•·· ,.,o,
Graphe charge CPU routeur DG
IILLect.ure de screens
Les graphes sont bien et beaux, mais les screens permettent d'en
organise et de faire un tri, comme nous l'avons fait. Maintenant visualisons
celui du DG. On se rend done clans Monitoring //ff Screens.
•.,..,,,,.,,,..,..,_, •\•-u-... •· '. ,iL

----
fil
'."' ' 'l =

.
.. . .
....
''" " "

,:tt JJI 1l'fll Jta<, .• ;; :;,;t
1:1111; :1:::1:1: •••••• ssr••
M .,,
tc,Ho, "
>' •'b•o-,
"''""'
I I
. ■.. o,,.,.,.,,,
, ,,.., '" . .,. ,,.v,;
V,it<)cl' Nils so "<<"-"• G'9> ;.. ,;,w,Q
' · "ot>p,
' , ,
' •• '1,?•
IW'l,lJWMWWtwFTWPS 1-,.;,-.
Tests approfondis
Dans cette partie un peu speciale nous tenterons de demontrer dans
la pratique, tout l'interet de !'utilisation du DMVPN. Pour se faire. nous
allons changer l'adresse IP NBMA de Districtl, et voir le resultat.
Pour rappel voici la table NHRP et DMVP:-i du DG :
Table HNRP de DG
Table DMVPN de DG
Tout d'abords on s'assurer de la configuration suivantsur District I :

i Configure terminal
r-••-••-••-••-••-•-n•n•n•••••••••••••••••••••••••••••••••••••••--•••.,••••n•,.-•••«•,.-----••••••••••••••••••••••••••••••••"•n••••••••••••••••••••••---,
i
I ' Interface tunnel 3 i
i Tunnel source serial 1/0 !
.L,,.,,.,,•..•,•, .,.,..,,,.. .. ,., ,_,,_,,_,,.,,.. ,.,,.,,.,,.,..,,•.,.,,.,,.,,.,,.,,. •••--••••••••••••••••••••••••••••••••••••••••••"•"•••••••••••••n•n•.,J
Maintenant changeons l'adresse IP de District1 ...---·-·····•··-···········-·-••"·"-··-1

r·····--·-··--------·-··-··-··-------..-.,..,.,.•....................•..•,,•.,.,,............_..•._
._. ._. ..
i Configure terminal ·
i' Interface serial 1/0
, ' Ip address 172.16.3,10 255.255.255.0 .
!.,,•.••..•.. ........ ···················· ····················--·-·····-··-··-·- -·-·····-··-·····-··-·····-··-··-··-·····-··-····---·-·· "-"·l
Apres avoir vide le cache l\HRP du DG, ou patienter uncertain
moment, observez la nouvelle table l\HRP et DMVPN du DG:
Nouvelle Table NHRP de DG
Nouvelle Table DMVPN de DG
Comme l'indique les deux captures precedentet,adresse IP tunnel

3.3.3.2 est desormais associee a ladresse IP ),IBJ\1A 172, I 6.3. IO
nouvellement configure.
On peut constater egalernent que la table DMVPN de District2 a change
sur la capture suivante.
Nouvelle Table DMVPN de DistricL2

Page/93
Conclusion :
Aujourd'hui, bon nombres d'entreprise disposent de filiales dans

des zones geographiquement differentes, et le besoin de les interconnecter en
toute securite se pose. Pour se faire, on utilise les VPK, mais la technologie
DMVPN s'avere plus efficace.
En effet, une partie de notre etude s'est porte a montrer la puissanee

du DMVPN, grace a la creation dynamique de tunnels. De plus le changement
d'adresse IP publique du routeur d'une filiale n'affecte passes tunnels avec
Jes autres routeurs, ce qui est chose impossible des tunnels VPN statiques.
L' autre atout du DMVPK est la simplicite de sa misc en place, tout en gardant
son aspect de securite.
Dans une autre partie de ce travail) nous avons montre l'imponance de

la supervision avec le logiciel Zabbix. ll pennet de prevenir certaines
defaillances, grace it la surveillance des equipements et de l'activite du reseau.
En effet, la supervision des pararnetres tels que la consommation de la bande
passante, l)Ctat des interfaces etc,,. pennet d'Stre prevenus ii travers de trap
lorsque, par exemple la bande passante atteint un niveau critique. Ce qui aura
un impact positif car les actions necessaires seront mises en ceuvre afin
d eviter un deni de service,
j
Cette realisation nous a permis d'acquCrir la connaissance pratique des

reseaux D!v!VPN. Grace ace travail, on a appris a bien manipuler la
configuration des reseaux bases sur le DMVPN et aussi a connaitre le
fonctionnement des differents equipements utilises clans !es reseaux
infonnatiques.
D'une fiwon generate le stage pratique a ete d'un apport considerable

pour notre formation, ce qui a enrichle nos connaissances pratiques dans le
domaine des reseaux informatiques.
Enfm, nous esperons que notre travail servira a d'autres promotions. II

peut Ctre ameliore au niveau de la sOCurite, sous le tht?me << seeurisation d'un
reseau H 4N base sur la tec/mologie D!.1VPN "·
Page 194
Glossaire
AES: Advanced Encryption Standard
AIi: Authentication Header
DES: Data Encryption Protocol.
DMVPN:
Dynamic Multiple Virtual Private Network.
D-DOS.: Dis.tributed nial-Of-Servke
DOS: Denial-Of-Service
EIGRP: Enhanced interior Gatway Routing Protocol
ESP: Encapsulation Security Payload
FTP: File Transfer Protocol
GNU: CiNU's Not UNlX "GNU n'est pas UNIX"
(!RE:
Generic Routing Encapsulation.
HDLC:
Iligh Data Level Conirol
IPSEC: Internet Protocol Security.
IKE: lnternel Key Exchange
ISAKMP: Internet Security Association and Key Management Protocol.
!,2TP: Layer 2 Tunneling Protocol
MIB:
Management Information Base,
MPPE:
Microsoft Point-to-Point Encryption
NAS:
t--ietwork Acee Server
NAT:
Nctwmk Address Translation
NHC: "Next Hop Client
NHRP: Next Hop Resolution Protcx.-ol
OS.!: Open Sy;,"'tem lnterconnexion
O.SPF: Open Shortest Path First
PPP: Point to Point Protocol
PPTP: Point-lo-point tuuneling pmtocc,I
£:iK: Pre-Shared Key
RSA:
type de chiffrement (eryptographie).
RTC:
RCseau te!ephonique commute
SNMP:
Simple Network Managcmem Protocol
TCP:
Tmnsmission Control Protocol
UD_E: User Datagram Protocol
VPk Virtual Private Network
WAN: Wld;;: Arca Netv.ork.
XOR: La foncdon OU exclusit:
Bib]iographie
Site Web:
https://fr.wikipedl;i,org/wiki/Baiayage de port
httos://fr,wikipedia.org/wikj/Analyseur de paquets
https://fr.wikipedia.org/wiki/Cryptographie sym%C3%A9trique
https://fr.wikipedia.org /wikl/ Cryptograohie asym%C3%A9trique
http://ww.;,v.frameip.com/vIDJL
http;//wapiti.telecQ!ll:.
UJlc:Leu /commun/e:ns/peda/options/st/rio/pub /exposes/exposesrio1997 /JpA
!
http://fr,:wikipedia.org/wlkl/Enhanced Interior Gateway Routing Protocol
http:/fen.wikipedia,or"/wiklJ.Cisru Express EQrwardine

http: I /en.wikiped.i;;wrg/wiki/Dyn_amic Multi Point Vj[tual Private f\etwork
https:/ /supportforu ms.rj,sco.com /document/6996 / mgre
htw:I Iioomla,bai kai,fr/Cisco/128-confi1.rn.ration-du dmvp n-sur-des routeurs-cisco2951

http:j/fr.wikipedja.or /wiki/Simple Network Management Protocol
htqi:/ /b]oa;JogJCmonitor.com /2o12/10/05/whats-wi th-the-differe 11 t- snmp-versions-s1-v2c

y:J£
http;//www.memoireonlinecom /05/10/351LJm lmplemeotation-dune-appJication-de
gestion-de-reseau-base-su r-le-protocole-SN MPlO.htrnl
http://w..ww,frameip.cQ1u/snmp/#Presentatmn. evolution des versions de S!',iMP
http;//2001.jres,org /actes/snnmvh ttu.udf http://fr.wikipedia.org/wiki/R

%C3%A9seau %C3%A9ten&lu
http:I /fr.wikmedia,or /wiki /Routage
htn.l;/ /fr.wikibooks.org/wlki/Histonque des r0/4C3°/oA9seaux informatiaues
http;//fr.wikiuedia.or2:/wikJ/R%C3°/oA9seau sans fil

http://www,commentca marche.net /contents/510-man-metropolitan·area-network·reseau-
metropolitain
http;//w..-vw.commentcama rehe,net/contents/1311-wman- reseaux-metropo)itains-sans-fil
,l i ,· I 96
http://fLWikIPedi a.org/ wi i /C%C3°1&A2b.le coaxial

http;//www.commentcamarche,ne:t/contertts/1128-transmissloo•de-dqn.nees-le;-cabl
http:JI wiki.monitoring-fLorg/z.«bbix
http:/ /labo-dsru.coru /elgro-to-no·1:_con figuration·basique/
http://www.smartpctricks.com/2014/l1/connect-cisc:o-iou-to-gns3-1 1,html
http:/ /joomla.bajkaLfr/cisco/1 ;28-configurat1on-du-dmvpn-s.ur-des-routeurs-cisco-2951
http:/flabo-dsco.comI
http://adnsec.net/presentation·du-dmvpnf
http:/ /wikLmonlto ring-fr,org/ zabbix/zabbix-use
http://www.firewall.cx/d::i:.eo-technical·knowledgebase/dsco-rournrs/901-cisq;:roµter
drnvpn-configuration,html
Uvre:
Reseaux (4' edition) -Andrew Tanenbaum

Pagel97
Annexe
-·--
Figure 1
I'" I 99
- .. -
· -·
. _· - ---
·-,.
-
-
)OJUUU!tlli" .......
mtf¥CS 1
- - . .-
a,
:
- ..-.: ..- ..
·-·..·...-
l
',.,.,,..
·
:-
••
•""'• •
•
-
-----·
_-"<'llftMM
l"ilMl/lltNN ,-,
wotitritr::i:ii:t•<- _ . ,
•
"'""'"""..,,.... . ., ..,. ···-
- .,_
•
:--_, ...........
.
.,-
...,.-.,.,•...
-.. _ _ ,. .. ...
...
"'•*n-•.·- ,-------..---- ,.,_ ,,, •
-...-- -.·... -...--

--_. . . . •
-•cnnmr_·.... "
•
'fl,I M ►S tt,_ •• •
!---- --- _ -
w •v . .
··
: ,UA J. tl"
r_ ,
,:•--· . . . ... .-..,..
t. .,. . -·
- ----
..._-- .-. ........ ..••.. •
WJMVffl..,. ,_
,_.-
..,,...,a..-:a ,_,. ,., ,. ,
···- - - ••
l> , h H >
,.·. _ • •
... ,_ •
: ._ ..,. .. ..,,,.
_ . .. . . .,,
-- -
l''IH1Peee-
...,...
•---•
ml'W )lta .. >1 _'!'
•• •
--• Y n - •..- - " . '

--
_
I P C
··-
W'IOU/OI tEll '-•
•
-
N■a
_
a9 ,• •'•
-·
•
· ·
·. ·.. -• - -
.....1,.
,._..,, •
• -....--
'IIOMl!tt<it,J> i:-•-
,
_.,,_
DltMrt#fflN. '"to, "'
# t ,-
.... .. ....
.. ··- ••• •
-
AA/0 .. !'"f"Uc' --
. . . , . ., . ....-..---
-----
ll_ .. ,
· .· .-. .
iiii"·-
-
m•••·as>t_,_ -.,,.
-/"""'!_,._.,,_
,,.. , "'
..
1 1' 1 ' ¥ /J mM
,, -
,,,....,...,_,..,.
••
_...,, -- _...,.
iOOli'i>t .. ·l' ,,_
.,,,.
-__--
.,,,,_,.
........
MJRMP-•-
■ - ....,.. _
••• •
... _
:U il" . . ..._
rilPMllW•• -- ...
-·--.-...---,---·-..
-._.·_, ;rt_,.,,."
.... . . .....
l t M"l-
;,..._ ,
. '!tit' -, •,.•'"' • . .• •
•
--.-_-....--..-..--.......-,--..-.-..--- -
•1,_
_,
_ ._ . , • , . ,•_ •'"
AtiMS.. M-
,, ,_ , • . . "'. ,"' .. • .. •
..
--,__,...----- ·- -•
-
,..
W•MNMM\I- ,_
,.. ... u,
..... ..
l'IIP:!wtlM,pU.-
--
-ll.l.l.l....:_ Mftl' , ,. ,..
- -
"" "" ••w
- -
•
w,u,w,,,..u,
. J .> . j " '"/.•
1 • • .. . .
....,
tit
...• .-. -
---. - - ---
., ""
, ,,
Wl'l¥U_,,
...... .......,. ..,_
i ,1111,uu1u1u1u11.1,-..a
.
Figure 2
1100
•
.-..-- I
·--. ,-.. 1=-

.. ..
[:,.._
--- - .-
··
..,, :·..
,., ;..
,
'",.
,. _
"' ..,
." .'".'.'.:.'
"
•• H"'
,,.· _ :
-
--- ;;_
, .
·.......
:
-
.".,.. ,
·
:"·" -. . . . ;> : ::
....."
"
""
"
Flgure3
--· -·r
"'?
5 ==·M
- - --------
.
.. ._
·_,-- -· ----,.-,-._-_· -·-----..--
-. ..,_
-
,,....
- - ,_ -
,,. , ,.
--- --
--·--·-
,.,..,•- ·
·
- -
--
-
·-
,
-- ----- -
◄ -
- -
··-------------
•= - -
·- -
·-·----- --
-
-
'..!..
$ --
- -
-
-- -
- ·- - :q '"' v
----•---•-·-=--- -
... --
-· ·------------·
--
_ ,.
---
-.-·-, ,...--.._
·-- $
---
- --
- ·-_ --
----------=--------·------
,,,
-
----·-
------
-·----·--·
_ -· -
_
# ,..
·-------- --
• -"-••-•fa
·---- ---
.,,,
-
_, .,
,
-
----
-
-
- ------·-·-------------·--- -
- ----
·------------=-------=- -----
..., ...
- . ...
---------- -- _
,..
- -- - ...
- ---...
·---- ,.
-
-
--
-
-
- , -- - - - -
-•--------,-------=------,--.- -.
= -- · -· ,-·-_-·------ --
·-- . , ,_ .
.. , .._
----
_
, _ -,_- -
- ---- -·-- ---- _. .,,...,_..4..'_.,..,..,......._.... -
-·-- - - - ·- -
._ ._
-- - . , ,_ ,. , .
-- -
, .. ,_.
- - --
,
·------ --------_
- - -
·------ - -
· -
- - -
-- ------...--·-----
,
-- -. .
- --
Figure4
I') 1102
- -
.
_ •
.. ·nv
- - ---·--- : ..
5
-- - ---·- -·.....·-_ .-. - --
-· ......,
,
-
- - - - 1 -
_J .. .._
- , - -- - ,..,.._
-- , - - -
-. -. - - ---
- -
-.·- .--- --
- - -
-- - --
- ..-
- ---·-
,
--- - ---.... - ....- . _
- -... .
,.-.
-- - - - - - ..·. .. - ,. . ,
- - - - · - .-
-- ----..-- ,
--
-- · - -- -
.... . .... ._
- ..-
- ----(--·-.. .._
- _-,- ..·-_ -·
_ . •.
- --
- -·---------
- -----·
.. .
- · - .... ..-
_.._
,._,
- - - - - _- .-..-.-_
-- .. ..
- ..
- ..
Figures

Implementation Et Supervision D'un Reseau WAN Base Sur La Technologie DMVPN 14

Transféré par

Informations du document

Titre original

Copyright

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Implementation Et Supervision D'un Reseau WAN Base Sur La Technologie DMVPN 14

Titre original :

Transféré par

Droits d'auteur :

REPUBL/Ql/£ AL6ER/£JVNE IJEMOCHATJQUE ET POPOULAJRE '

Ministere de la formation et de l'enseiqnement professionnels :l'.<l

Memoire de Fin de Formation pour l'Obtention du Dipf6me

Organisme d'accueil: NAFTAL

Presente par: Encadreur:

M. AIT Messaoud Tewfik

On remercie tout d'abord dieu qui nous a donne la force de continuer ce

Je remercie t!galement toutes les personnes qui m'ont soutenu et crus en

AOUCHETTE Anis Abdelhak

Chapitre l: Les Reseaux Prives Vlrtucls...........................,......................................3

Liste des figures :

Chapitre 3 : Presentation de l'entreprise

Chaoitre 4 : I\1ise en reuvre de la solution II

VCrifieation de !'activation du SNMP.. .,.,,..,.69

Screen •-- Ajout de graph ........,.. .................... H "'' •• ... 75

Liste des tableaux :

De nombreuses entreprises disposent aujourd'hui de plusieurs filiales

Les reseaux informatiques pennettent d' interconnecter de fa,on

Pour repondre it certains besoin, NAFTAL souhaite d'une part

Cependant, !'implementation, !'administration et la supervision des

De cc fait nous aborderons ce sujet sous le theme :

« IMPLEl\1ENTATION ET SUPERVISON D'UN RESEAU WAN BASE

On est done en droit de se poser la question suivante : Comment

Hypothese I : Le DMVPN pennet la misc en place de tunnels d'une

Hypothese 2 : La supervision pennet de garder le contriile sur ses

Chapitre 1: Les Reseaux

A.La securite et1<: cryptage

I.I. Les attaques de reconnaissance

Le Sniffing ou renitlement consiste a

l.2.Les attaques d'acces

L'attaque d'acces est la phase d'attaque proprement dite, elle consiste a

I.3. Les attagues DOS

I.4. Les menaces

II. Les methodes d'attenuation

11.1. Quelques conseils de securite

11.2. Les Algor\thmes

► DES : La taille maximale de la de du DES (Data Encryption

► 3DES: Le 3DES (Triple DES) ameliore la securite du DES du

► AES : L' AES (Advanced Encryption Standard) soit « standard de

; Source: https:f/fr.wik\pedlsLorg/wi<i/Cryptggraphig wm%C3%A9triqL!

11.2.b.Les Algorithmes de chiffrements asvmetriques

\'?'I ;Olli:,"""""""' ,,,,,.•ml -al tll'<a»::e

O!liUJ t P ._..,.,..,, 111! 'M 1 t

II.Les types de VPN

IL I.Les VPN hote a site

VPN Hate a site

' '"''""'' :,yu,),! ,

Sobnel A 10 s_e Di14 Subnet 8 t12 23.9.0.24

Ill.Les proto oles demise en place d'un tunneWPN

PPP s'appuie sur trois composants ;

n.---.-.- . 1 F .n lirtrr Ppp - 8 .ortru

. Entete duprotocole PPP

Le principe du protocole PPTP est decreer des paquets sous le

L2TP tunnel li'P

Exemple deVPN base ,ur le protocole L2TP

Lors de l'etablissement d'une connexion IPSec, plusieurs operations

► Echange des cles : Un canal d'echange de cles, sur une connexion

Le protocole IKE (Internet Key Exchange) est charge de negocier la

Ces deux methodes se distinguent par le fait que !'utilisation d'un

IPsec utilise une association de securite (Security association) pour

manuelle ou par ISAKiv!P (Internet Security Association and Key

> Mode tra11sport : Dans Te mode transport, ce sont uniquement Jes

traverser un NAT il faut avoir recours a !'encapsulation NAT-T. Le mode

► Mode tunnel; En mode tunnel, c'est la totalite du paquet IP qui

A. Les technologies utilisees par le DMVPN