Ministère de l’enseignement supérieur et de la recherche scientifique Institut Supérieur des Etudes Technologiques de Radés Etude et Mise en Place d’un réseau d’une haute disponibilité LAN et WAN Réalisé par : Mlle Ben Targem Leila Mr Mahfoudh Mohamed Bilel Encadré par : Mr Elmahroug Sofiene Mr Abdelmalek Anis 2010/2011 Plan Présentation de la société Présentation Etude du besoin Partie LAN Partie WAN Conclusion 3 Présentation de la société C’est l’Union Bancaire pour le Commerce et l’industrie . Son Siège se situe à Tunis et ses deux cent agences sont réparties sur toute la république. Elle bénéficie d’un accès direct au réseau mondial du group BNP PARIBAS 4 Présentation Le Projet consiste à mettre en œuvre une solution de communication unifiée pour l’UBCI en respectant les contraintes suivantes: Garantir la qualité de service Assurer une haute disponibilité de service Mise en place de protocole garantissant le basculement vers des liaisons redondants. 5 Etude du besoin Visioconférence VLAN Accès rapide à Internet VPN Transfert des données MPLS Transfert du voix (VoIP ) QOS UBCI 6 Partie LAN Solution LAN Proposée A Configuration des VLANs B Configuration du service DHCP C Configuration de VTP D E Améliorer le protocole STP Configuration des IP phones F 7 Architecture LAN existante 8 Solution LAN Proposée étage1 étage 2 étage 3 étage 4 9 Réalisation « LAN » Crée les VLANs Activation de protocole RSTP Configuration de protocole VTP - Vlan Data - Vlan voix - Vlan admin Sw1# spanning-tree mode rapid-pvst etage1#vlan SwI#vlan database database SwI(vlan)#vtp server etage1(vlan)#vtp client SwI(vlan)#vtp domain etage1(vlan)#vtp domain UBCI.com.tn UBCI.com.tn 10 Réalisation « LAN » Configuration de protocole DHCP Siege (config) # ip dhcp pool Admin data Voice Siege (dhcp-config) # network 11.142.2.1 10.142.2.1 22.142.2.1 255.255.254.0 Siege (dhcp-config) #default-router 10.142.2.1 22.142.2.1 11.142.2.1 Siege (dhcp-config) #exit Siege (config)# ip dhcp excluded-address 10.142.2.1 11.142.2.2 22.142.2.1 11.142.2.1 10.142.2.2 22.142.2.2 Configuration des IP phones Siege (config(config) # telephony) telephony-service # ephone-dn 1 Siege (config- telephony)# telephony) #125 max-dn 5 Siege (config- telephony) # max –ephones 5 Siege (config- telephony) # ip source address 22.142.2.1 port 2000 Siege (config- telephony) # auto assign 4 to 6 Siege (config- telephony) # auto assign 1 to 5 11 Partie WAN A Solution WAN proposée B Configuration des liaisons MPLS C Configuration des liaisons VPN D L ’implémentation du protocol HSRP 12 Architecture WAN existante 13 Problématique Convergence de différent flux tels que voix, data 1 2 Et Augmentation du nombre d’utilisateurs Augmentation de la taille des tables de routages Augmentation des temps de traitement et de traversée 14 Problématique Besoin de trouver une méthode plus efficace pour la transmission de paquets en garantissant la qualité de service MPLS 15 Solution WAN proposée Siége_VPN HSRP Siége_MPLS 16 Maquette MPLS 10.10.10.0/30 10.10.10.4/30 10.142.249.0 /30 10.142.2.0/23 10.142.249.24/30 10.142.20.0/23 17 Implémentation de MPLS 1 2 3 Activation du routage IP classique o Assignation des adresse IP par interface o Assignation des adresse IP des loopback des routeur CE et PE o Activation du routage IGP (OSPF) Activation MPLS o Activation de la commutation CEF o Activation de la distribution des labels sur les interfaces participants o Configuration de l’ IGP (OSPF) Activation MPLS/VPN o Configuration de VRF o Assignation de VRF à une interfaces o Configuration de MP-BGP entre les PE oConfiguration de OSPF par VRF o Redistribution de MP-BGP en OSPF et OSPF en MP-BGP 18 Implémentation de MPLS Extrait de configuration : ip cef mpls label protocol ldp mpls ip ip vrf site rd 1:1 route-target export 1:1 route-target import 1:1 exit interface Loopback 0 ip address 4.4.4.4 255.255.255.255 interface s1/0 ip address 10.10.10.5 255.255.255.252 mpls ip Activation de la commutation CEF Activation de la distribution de label Configuration d’un VRF Assignation des adresse loopback Activation de la distribution des labels sur touts les interface P et PE 19 Implémentation de MPLS Extrait de configuration : int s1/1 ip vrf forwarding site ip address 10.142.249.26 255.255.255.252 router ospf 10 vrf site redistribute bgp 1 subnets network 10.142.249.26 0.0.0.0 area 0 exit router ospf 1 network 4.4.4.4 0.0.0.0 area 0 network 10.10.10.5 0.0.0.0 area 0 Assignation de VRF a une interface Configuration de OSPF par VRF Redistribuer BGP en OSPF Configuration de routage IGP (OSPF) 20 Implémentation de la QOS Diffserv QOS DSCP EF : Trafic voix Haute priorité BP: 80Kbits/s AF: Best effort 21 Implémentation de la QOS Extrait de configuration : Megrine(config)# class-map match –all voix Megrine(config-cmap)# match ip rtp 16383 16000 Megrine(config-cmap)# exit Megrine(config)# policy map out policy Megrine(config-pmap)# class voix Megrine(config-pmap-c)# set dscp ef Megrine(config-pmap-c)# priority 80 Megrine(config-pmap-c)#exit Megrine(config-pmap)#class class-default Megrine(config-pmap-c)# set ip dscp default Megrine(config-pmap-c)#exit Megrine(config-pmap)#exit Megrine(config)#interface s1/0 Megrine(config-if)#service-policy output out policy Définir une classe pour notre stratégie de QOS Assuré le transfert de la voix (EF) L’algorithme traite en priorité la voix et lui garantie au moins 80kbits/s de la bande passante Assuré le transfert des données (best effort ) 22 Configuration des liaisons VPN 1 2 3 Mettre en place les Tunnels entre les deux sites ( définition des interfaces virtuelles). Crypter les Tunnels. Mettre en place le routage intersites 23 Définition de l’interface virtuelle •interface Tunnel1 •ip address 172.16.254.2 255.255.255.252 •tunnel source Serial1/1 •tunnel destination 10.142.245.1 24 Cryptage du tunnel •crypto isakmp policy 2 • authentication pre-share • lifetime 3600 •crypto isakmp key UBCI address 10.142.245.2 •crypto ipsec transform-set transfdes esp-des •crypto map cryptvpn 2 ipsec-isakmp • set peer 10.142.245.2 • set security-association lifetime kilobytes 102400 • set security-association lifetime seconds 900 • set transform-set transfdes • match address cryptolist 25 Routage intersites •router ospf 20 • log-adjacency-changes • network 10.142.2.0 0.0.1.255 area 0 • network 10.142.245.24 0.0.0.3 area 0 • network 172.16.254.0 0.0.0.3 area 0 26 Les accès Listes ip access-list extended cryptolist permit gre host 10.142.245.1 host 10.142.245.2 ip access-list extended natlist deny ip 10.142.2.0 0.0.1.255 10.142.20.0 0.0.1.255 permit ip 10.142.2.0 0.0.1.255 any ip access-list extended netin permit tcp any host 10.142.245.1 established permit udp any eq domain host 10.142.245.1 permit tcp any eq www host 10.142.245.1 permit tcp any eq 443 host 10.142.245.1 permit udp host 10.142.245.2 eq isakmp host 10.142.245.1 eq isakmp permit esp host 10.142.245.2 host 10.142.245.1 ip access-list extended netout permit udp host 10.142.245.1 any eq domain permit tcp host 10.142.245.1 any eq www permit tcp host 10.142.245.1 any eq 443 permit tcp any eq 443 host 10.142.245.1 permit udp host 10.142.245.1 eq isakmp host 10.142.245.2 eq isakmp permit esp host 10.142.245.1 host 10.142.245.2 27 Implémentation du protocole HSRP Siège SiègeVPN MPLS •standby •standby 11 ip ip 10.142.2.3 10.142.2.3 •standby •standby 11 priority priority 100 110 •standby •standby 11 preempt preempt 28 Implémentation du protocole HSRP Scénario 1 29 Implémentation du protocole HSRP Scénario 2 30 Implémentation du protocole HSRP Scénario 3 31 Implémentation du protocole HSRP implémentation du paramètre « track » •interface FastEthernet 2/0 •standby 1 track FastEthernet 2/1 3 •standby 1 track serial 1/0 3 •standby 1 1 track serial 1/1 3 32 Conclusion A travers ce projet nous avons mis en place une solution d’interconnexion LAN qui supporte la téléphonie IP et tolérante aux pannes. Nous a avons Implémenté une nouvelle architecture WAN hautement disponible en garantissant la qualité de service et tolérante aux pannes en prévoyant un basculement automatique entre équipements en cas de problème. Un tel réseau dans son ampleur a besoin d’un outil de supervision ce qui lui fait défaut, pour ce la il faut penser à mettre en place un outil qui assure la sécurité d’accès au réseau LAN par exemples des firewalls. 33 34