•Date: 15/05/2023

▪ Par : Zakaria Rahali & Anas Aliky

Baidaoui Abdelhak & Nour Said Elhayk

▪ Dossier d'Architecture Technique (DAT) pour EST Salé :

▪ Plan :

I- Introduction :
II- Le contexte : besoins fonctionnels et non fonctionnels :
III- La représentation opérationnelle :
IV- La représentation fonctionnelle :
V- La représentation applicative :
VI- Le choix de l’architecture :
VII- Le planning de réalisation :
VIII- Les risques et coûts

# – Introduction :

▪ L’EST Salé est répartie sur une quinzaine de bâtiments dans lesquels sont placés plusieurs
centaines d'ordinateurs.

▪ Ces ordinateurs sont utilisés par plusieurs types d'utilisateurs :

 Les visiteurs (de une heure à une semaine, comme les professeurs invités, les
commerciaux...),
 Les invités (temporaires, thésards, post-docs, stagiaires...),
 Les permanents dont il faut distinguer trois équipes différentes :

1
 •Date: 15/05/2023

 Enseignants chercheurs,
 personnel administratif,
 équipe technique du Centre de Ressources Informatique (CRI)).

▪ Chacun de ces types d'utilisateur a différents droits d'accès au réseau, définis par
l'administrateur informatique. Par exemple, un visiteur n'a pas accès aux machines des salles de
manipulations, ni à l'intranet, mais peut aller surfer sur le Web et imprimer. L’EST Salé a établi le
cahier des charges ci-dessous :

 Pour accéder au réseau, toute personne doit être authentifiée.

 Les traces de connexion incluant le couple "utilisateur/adresse IP" seront conservées
pendant une année.
 Une mobilité des utilisateurs doit être possible, aussi bien en filaire qu'en sans fil, entre les
bâtiments.
 Une connexion depuis l'Internet vers les ressources internes du site devra être fournie au
travers d'un tunnel crypté avec authentification et la connexion devra être
 enregistrée dans les traces.
 La sécurité doit être prise en compte à tous les niveaux.

# – Contexte : besoins fonctionnels et non fonctionnels :

▪ Besoins fonctionnels :
• Développer un réseau privé permettant aux enseignants de consulter les notes de
leurs étudiants à distance.
• Authentification : Toute personne doit être authentifiée pour accéder au réseau,
avec des niveaux d'accès différents selon le type d'utilisateur.
• Mobilité des utilisateurs : Une mobilité des utilisateurs doit être possible, aussi
bien en filaire qu'en sans-fil, entre les bâtiments.

2
 •Date: 15/05/2023

• Sécurité : La sécurité doit être prise en compte à tous les niveaux, avec des
politiques de sécurité, des contrôles d'accès, des pares-feux, des outils de détection
d'intrusion et de prévention de la perte de données.
• Connexions cryptées : Les connexions depuis l'Internet vers les ressources internes
du site doivent être fournies au travers d'un tunnel crypté avec authentification.
▪ Besoins non fonctionnels :

• Scalabilité : L'infrastructure doit être capable de supporter plusieurs centaines

d'ordinateurs et utilisateurs simultanément.

• Fiabilité : L'infrastructure doit être fiable pour garantir un accès continu au réseau.
• Performance : L'infrastructure doit offrir des performances élevées pour permettre
aux utilisateurs d'accéder rapidement au réseau.
• Disponibilité : L'infrastructure doit être disponible 24h/24 et 7j/7 pour répondre
aux besoins des utilisateurs.

# – La représentation opérationnelle :

▪ L'architecture proposée pour répondre aux besoins fonctionnels et non fonctionnels va

comprendre les éléments suivants :
• Un système d'identification et d'authentification centralisé pour tous les
utilisateurs.
• Un réseau sans fil sécurisé et fiable pour permettre la mobilité des utilisateurs
entre les différents bâtiments.

• Des politiques de sécurité, des contrôles d'accès, des pares-feux, des outils de
détection d'intrusion et de prévention de la perte de données pour assurer la
sécurité de l'infrastructure.

3
 •Date: 15/05/2023

• Des connexions depuis l'Internet vers les ressources internes du site fournies au
travers d'un tunnel crypté avec authentification.

▪ Note : Les données seront stockées sur des bases de données dédiés situés dans les
différents bâtiments de l'EST (Salé).

# – La représentation fonctionnelle :

1. Authentification des utilisateurs :

 Les utilisateurs doivent s'authentifier pour accéder au réseau.

 Les informations d'authentification sont stockées dans un annuaire LDAP.
 Le serveur Radius est utilisé pour l'authentification des utilisateurs.
 Les droits d'accès des différents types d'utilisateurs sont définis par l'administrateur
informatique.

 Serveur Radius : RADIUS (Remote Authentification Dial-In User Service) est un

protocole d'authentification et d'autorisation utilisé pour contrôler l'accès des
utilisateurs aux réseaux. Il permet également de suivre et de comptabiliser
l'utilisation du réseau.
 Annuaire LDAP : LDAP (Light-weight Directory Access Protocol) est un protocole
d'annuaire utilisé pour stocker et récupérer des informations sur les utilisateurs
et les appareils d'un réseau.

2. Conservation des traces de connexion :

 Les traces de connexion doivent inclure le couple "utilisateur/adresse IP".

 Les traces doivent être conservées pendant une année.

3. Mobilité des utilisateurs :

 Les utilisateurs doivent pouvoir se déplacer librement entre les bâtiments tout en
conservant leur connexion au réseau.
 Les connexions filaires et sans fil doivent être possibles.

4. Connexion depuis l'Internet :

4
 •Date: 15/05/2023

 Une connexion depuis l'Internet vers les ressources internes du site doit être fournie.
 La connexion doit être cryptée et authentifiée.
 Les connexions doivent être enregistrées dans les traces de connexion.

5. Sécurité :

 La sécurité doit être prise en compte à tous les niveaux.

6. Réseaux VLAN :

 Les différents types d'utilisateurs doivent avoir des droits d'accès différents au réseau.
 Les VLANs sont utilisés pour séparer les différents types d'utilisateurs.

 Réseaux VLAN : un VLAN (Virtual Local Area Network) est un réseau logique
créé à partir d'un réseau physique, qui permet de segmenter le trafic en fonction
des besoins. Les VLAN peuvent être utilisés pour isoler les différents types de
trafic, comme le trafic des invités, des utilisateurs ou des serveurs.

7. Protocole 802.1x :

 Le protocole 802.1x est utilisé pour contrôler l'accès au réseau.

 Protocole 802.1x : le protocole 802.1x est un protocole d'authentification réseau

qui permet de contrôler l'accès des utilisateurs et des appareils au réseau. Il est
utilisé pour empêcher les accès non autorisés et pour garantir que seuls les
utilisateurs et les appareils autorisés ont accès au réseau.

8. Portail captif :

 Un portail captif est utilisé pour authentifier les utilisateurs qui se connectent au
réseau sans fil.
 Le portail captif permet également de rediriger les utilisateurs vers des pages
d'information ou de publicité.

 Portail captif : un portail captif est une page Web qui s'affiche lorsque les
utilisateurs tentent de se connecter à un réseau. Cette page peut exiger une
authentification ou afficher des conditions d'utilisation, comme des règles de
sécurité ou de confidentialité, que les utilisateurs doivent accepter avant de
pouvoir accéder au réseau.

5
 •Date: 15/05/2023

9. Réseaux VPN :

 Les utilisateurs doivent pouvoir accéder au réseau à distance en utilisant un réseau

privé virtuel (VPN).

 Réseaux VPN : un réseau privé virtuel (VPN) permet de créer un réseau privé
sécurisé à travers un réseau public, comme Internet. Les VPN sont souvent
utilisés pour permettre aux utilisateurs distants de se connecter à des ressources
d'entreprise de manière sécurisée.

10. Réseau Wifi :

 Les bornes Wifi doivent être configurées pour permettre aux utilisateurs de se
connecter au réseau sans fil.
 Les bornes Wifi doivent être sécurisées pour éviter les accès non autorisés.

 Réseau Wifi : un réseau Wifi permet aux utilisateurs de se connecter sans fil à un
réseau. Les réseaux Wifi peuvent être sécurisés en utilisant des protocoles
d'authentification et de chiffrement.

11. Outil de supervision :

 Un outil de supervision est utilisé pour surveiller le réseau et détecter les éventuels
problèmes.
 Nagios est un exemple d'outil de supervision qui peut être utilisé.

 Outil de supervision : un outil de supervision est utilisé pour surveiller et gérer les
réseaux informatiques. Il peut être utilisé pour surveiller l'utilisation du réseau,
détecter les problèmes et les vulnérabilités de sécurité, et pour gérer les
ressources réseau.

# – La représentation applicative :

 Authentification :

 Serveur d'annuaire LDAP : pour stocker les informations d'authentification

des utilisateurs (login, mot de passe, droits d'accès, etc.).

6
 •Date: 15/05/2023

 Serveur Radius : pour la gestion des accès réseau (authentification et

autorisation).
 Protocole 802.1x : pour l'authentification des équipements (ordinateurs,
imprimantes, etc.) et le contrôle d'accès au réseau.

 Gestion des traces de connexion :

 Serveur de logs : pour la collecte et l'analyse des logs de connexion.

 Stockage des traces : pour stocker les traces de connexion (couple
"utilisateur/adresse IP" et données de connexion) pendant une année.

 Mobilité des utilisateurs :

 Réseaux VLAN : pour la segmentation du réseau en différents VLANs

permettant la mobilité des utilisateurs.
 Serveur DHCP : pour l'attribution dynamique d'adresses IP aux équipements
connectés.
 Configuration des routeurs et commutateurs : pour la gestion des VLANs et
des itinéraires réseau.

 Connexion depuis l'Internet :

 Réseau VPN : pour la connexion sécurisée depuis l'Internet vers les ressources
internes du site via un tunnel crypté avec authentification.
 Portail captif : pour l'authentification des utilisateurs souhaitant accéder au
réseau depuis l'Internet.

 Sécurité :

 Outil de supervision : pour la surveillance du réseau et la détection d'attaques.

 Filtrage des accès : pour contrôler les accès au réseau (ACLs).
 Politique de sécurité : pour définir les règles de sécurité à appliquer sur le
réseau.

 Réseau Wifi :

 Bornes Wifi : pour permettre la connexion des utilisateurs au réseau sans fil.

7
 •Date: 15/05/2023

 Configuration des bornes Wifi : pour la gestion des réseaux sans fil et la mise
en place de mesures de sécurité adaptées.

▪ Voici un algorithme fait par moi et mes camarades :

Préparation de l'infrastructure : Avant de commencer le déploiement, il est

important de s'assurer que l'infrastructure est prête et que les serveurs, les routeurs,
les commutateurs et les bornes Wifi sont tous configurés correctement.
Installation de l'annuaire OpenLDAP : L'installation de l'annuaire OpenLDAP est une
étape importante car il est utilisé pour stocker les informations d'authentification et
d'autorisation des utilisateurs.
Installation du serveur FreeRadius : FreeRadius est un serveur RADIUS open-source
qui est utilisé pour la gestion centralisée de l'authentification et de l'autorisation des
utilisateurs. Il est installé et configuré pour communiquer avec l'annuaire OpenLDAP.
Installation du serveur DHCP : Le serveur DHCP est installé pour attribuer
automatiquement des adresses IP aux clients connectés au réseau. Il est configuré
pour communiquer avec le serveur RADIUS.
Installation du portail captif: Un portail captif est installé pour rediriger les
utilisateurs non authentifiés vers une page de connexion avant d'accéder au réseau.
Il existe plusieurs options disponibles, et celui qui est choisi dépend des besoins de
l'entreprise.
Installation du serveur OpenVPN : OpenVPN est un serveur VPN open-source qui
permet aux utilisateurs de se connecter au réseau de l'entreprise depuis l'extérieur.
Il est installé et configuré pour communiquer avec le serveur RADIUS.
Configuration des routeurs et commutateurs : Les routeurs et les commutateurs
sont configurés pour rediriger le trafic réseau vers les serveurs appropriés en
fonction des règles définies dans le système de gestion de la politique de réseau.
Configuration des bornes Wifi : Les bornes Wifi sont configurées pour communiquer
avec le serveur RADIUS afin de permettre l'authentification des utilisateurs.
Installation et configuration de Nagios : Nagios est un système de supervision open-
source qui est installé pour surveiller les performances du réseau informatique et
détecter les éventuelles pannes.

# – La représentation technique :

8
 •Date: 15/05/2023

▪ En ce qui concerne la topologie du réseau, les équipements que le système va supporter :

 Un serveur RADIUS (Remote Authentication Dial-In User Service) : est un

serveur d'authentification, d'autorisation et de comptabilisation utilisé pour gérer
l'accès réseau des utilisateurs à distance. Il permet de centraliser et de contrôler l'accès
des utilisateurs à un réseau, en vérifiant leur identité et en autorisant ou en refusant
leur accès en fonction de leurs droits et des politiques de sécurité établies.

 Un switch manageable : est un type de switch (commutateur réseau) qui offre des
fonctionnalités de gestion et de contrôle avancées. Contrairement aux switches non-
manageables, les switches manageables permettent aux administrateurs réseau de
surveiller et de configurer les paramètres du switch via une interface de gestion,
généralement via une interface Web ou un logiciel de gestion.

 Un serveur LDAP (Lightweight Directory Access Protocol) : est un serveur qui

permet de stocker et de fournir des informations d'annuaire à des applications ou des
utilisateurs. Les annuaires LDAP sont utilisés pour stocker des informations sur les
utilisateurs, les groupes, les ordinateurs, les serveurs et d'autres objets d'un réseau
informatique.

 Un point d'accès, également connu sous le nom de "Access Point" en anglais : est
un dispositif de réseau sans fil qui permet à des appareils équipés de la technologie
Wi-Fi (ordinateurs portables, smartphones, tablettes, etc.) de se connecter à un réseau
local (LAN) ou à Internet sans avoir besoin d'un câble Ethernet.

 Un point d'accès est généralement connecté à un routeur ou à un switch Ethernet via

un câble réseau et offre un accès sans fil au réseau local. Les points d'accès sans fil
peuvent également être configurés pour former des réseaux maillés sans fil pour
étendre la portée du réseau.

 Les points d'accès sans fil utilisent des antennes pour émettre des signaux Wi-Fi
dans un rayon limité. Les utilisateurs peuvent se connecter à un point d'accès en
saisissant un mot de passe ou en utilisant une clé de sécurité pour accéder au réseau.

 Nagios : est un système de surveillance open-source pour les réseaux informatiques,

les serveurs, les applications et les services. Il permet de surveiller et d'alerter les
administrateurs systèmes en cas de problèmes ou de pannes dans le système.

# –Le choix de l’architecture :

9
 •Date: 15/05/2023

10
 •Date: 15/05/2023

▪ La fonction de chaque équipement :

 Serveur DNS : est de traduire les noms de domaine en adresses IP correspondantes.

 Serveur RADIUS : est de fournir une méthode d'authentification et d'autorisation
centralisée pour les utilisateurs qui se connectent à un réseau.
 Serveur VPN : est de permettre aux utilisateurs d'accéder à un réseau privé à distance
via une connexion sécurisée à Internet.serveur proxy est d'agir comme un
intermédiaire entre un client (tel qu'un navigateur Web) et un serveur distant.
 Serveur proxy : est d'agir comme un intermédiaire entre un client (tel qu'un
navigateur Web) et un serveur distant.
 Serveur FTP : est de permettre le transfert de fichiers entre des ordinateurs sur un
réseau, en utilisant le protocole FTP.
 Serveur portail captif : pour authentifier les utilisateurs du réseau avant de leur
permettre l'accès à Internet ou à des services réseau spécifiques.
 Serveur DHCP : est de fournir automatiquement des adresses IP et d'autres
informations de configuration de réseau à des clients sur un réseau, tels que des
ordinateurs, des smartphones, des tablettes, des imprimantes, etc.a
 Serveur web : est de fournir des pages web à des clients qui y accèdent via un
navigateur web.

# – Les risques et coûts :

 serveur radius NAS : 12 999Dh

 HP ProCurve 5400zl (switch) : 6100DH
 Routeur cisco 2911 : 5800DH
 Switch cisco de 16 ports : 3000DH
 Server LDAP : 13000DH
 UNIFI ( point d’accée ) : 3000DH
 Server Nagios : 12 000DH

11