Ajouter à la (aux) collection (s) Ajouter à enregistré
  1. Ingénierie
  2. Informatique
  3. Réseau informatique

Rapport de stage - Figure B

publicité 
Rapport
de
stage
Stagiaire
:
Tuteur ANPE :
Tuteur IPREC :
Michel CIOCCO
Mr Hervé TOUATI
Mr Vincent BENDRIDER
Département Réseaux et Télécoms
IPREC– 24, Rue du Faubourg Poissonnière 75010 PARIS – Promotion 30
SOMMAIRE
Introduction ...........................................................................................................................................................3
Remerciements ......................................................................................................................................................4
Avertissement ........................................................................................................................................................5
I.
Présentation de l’ANPE ...............................................................................................................................6
1.
Statut ..........................................................................................................................................................6
2.
Conseil d’administration............................................................................................................................6
3.
Mission .......................................................................................................................................................6
4.
Chiffres .......................................................................................................................................................6
5.
Organisation de l’ANPE ............................................................................................................................7
6.
Organigramme ...........................................................................................................................................7
7.
Applications informatiques ........................................................................................................................9
8.
Serveurs WEB.............................................................................................................................................9
II.
Présentation de la Direction des Systèmes d’Information (DSI)........................................................10
1.
Objectifs ...................................................................................................................................................10
2.
Fonctionnement........................................................................................................................................10
III.
Le département Réseaux et Télécommunications (DRT) ...................................................................11
1.
Description ...............................................................................................................................................12
2.
Les Missions des services du DRT ...........................................................................................................12
3.
Service Support et Administration............................................................................................................12
4.
Service Architecture et Sécurité Réseaux .................................................................................................12
5.
Service Support et Administration............................................................................................................13
6.
Service Téléphonie ...................................................................................................................................13
IV.
Etude de l’architecture réseau de l’ANPE ...........................................................................................13
1.
Principe de l’infrastructure réseau en France métropolitaine ................................................................14
2.
Principe de l’infrastructure DOM............................................................................................................14
3.
Accès Internet...........................................................................................................................................15
4.
Sécurité Internet .......................................................................................................................................16
V.
Organisation du support aux utilisateurs.................................................................................................17
1.
Support niveau 1.......................................................................................................................................17
2.
Support niveau 2.......................................................................................................................................17
3.
Support niveau 3.......................................................................................................................................17
4.
Administration du réseau .........................................................................................................................18
5.
Administration de la sécurité réseau........................................................................................................18
VI.
Appropriation des procédures et interventions en situation ..............................................................19
1.
Service Center ..........................................................................................................................................19
2.
Supervision Réseau sous HP Open View .................................................................................................22
3.
MRTG (Multi Router Traffic Grapher) ....................................................................................................26
4.
Métrologie et flux .....................................................................................................................................30
5.
Administration réseaux / Divers...............................................................................................................41
6.
Schemas architectures..............................................................................................................................48
7.
Description des technologies déployées dans ce réseau ..........................................................................50
VII.
Conclusion...............................................................................................................................................55
Glossaire...............................................................................................................................................................56
2
Introduction
Dans le cadre de ma formation de Technicien supérieur en maintenance informatique, un stage d’un
mois devait être réalisé avec pour objectif l’appropriation des outils et procédures internes et valider
des connaissances. Le stage a été réalisé à la direction générale de l’ANPE au département réseaux et
télécommunications (DRT) dans la banlieue Est de Paris (77) sous la tutelle de M. TOUATI,
responsable du DRT.
Nous aborderons dans un premier temps la présentation de l’ANPE puis la description de la Direction
des Systèmes d’Informations et du Département réseaux et télécommunications. La description de
l’architecture réseaux et l’organisation du support aux utilisateurs seront ensuite présentées. Puis une
description des interventions effectuées fera l’objet de la dernière partie.
3
Remerciements
Je tiens à remercier Hervé TOUATI, responsable du Département Réseaux et Télécoms de l’ANPE,
de m’avoir permis d’intégrer son service.
Je remercie Gilles GANGNEUX, responsable du service Support.
Je souhaite remercier toutes les personnes qui composent le département Réseaux et Télécoms, plus
particulièrement Arnaud Coston, Fabien Bizet, Henri Renaut et Frédéric Deluc pour le partage de leur
savoir.
Un grand merci aux formateurs de l’IPREC pour la qualité de leurs enseignements qui m’a permis
d’appréhender ce stage dans de bonnes conditions.
4
Avertissement
Pour des raisons de sécurité certaines informations confidentielles telles que les adresses IP de
l’ANPE, ne pouvant être divulguées, seront substituées par des adresses IP quelconques ou bien
masquées.
5
I. Présentation de l’ANPE
1. Statut
Créée en 1967, l’Agence Nationale Pour l’Emploi est un établissement public d’Etat, rattaché au ministère de
l’emploi du travail et de la cohésion sociale. Ses services sont déconcentrés et 23000 agents travaillent dans
mille implantations. Les directeurs d’agence locale disposent d’une réelle autonomie. 22 directeurs régionaux
coordonnent l’action de 118 directeurs délégués.
2. Conseil d’administration
L’ANPE est administrée par un conseil tripartite de seize membres. Il comprend :
-
un président, nommé par décret sur rapport du Ministre de l'emploi, du travail et de la cohésion sociale,
5 représentants de l’Etat,
5 représentants des employeurs,
5 représentants des salariés.
3. Mission
Intermédiaire actif entre les demandeurs d’emploi et les entreprises, L’ANPE développe son action afin de
dynamiser le marché du travail et le rendre plus réactif, plus transparent, accessible à tous.
Ainsi l’ANPE :
-
propose des offres d’emploi et des conseils,
apporte un appui et un suivi personnalisés aux demandeurs d’emploi, en particulier à ceux qui sont les
plus en difficulté,
offre aux entreprises des services d’aide au recrutement,
met en œuvre les mesures gouvernementales destinées aux publics prioritaires,
mène une politique active de partenariat pour démultiplier l’accès à ses services et simplifier les
démarches des demandeurs.
4. Chiffres
Quelques données quantitatives concernant les activités de l’ANPE en 2002 :
-
Un budget de 1,3 milliards d’euros (hors mesures pour l’emploi),
22 945 agents (dont 86% en contact direct avec les demandeurs d’emploi et les entreprises),
779 agences locales et plus de 1000 autres points, où tout ou partie des services sont réalisés avec des
partenaires,
Près de 5 millions de personnes se sont inscrites.
600 000 entreprises clientes,
3 millions d’offres collectées (à comparer aux 1,2 millions d’offres recueillies en 1992),
85 % d’offres satisfaites (soit 2,5 millions),
Délai moyen de satisfaction des offres : 34 jours,
« http://www.anpe.fr » premier site emploi français et deuxième site européen avec 120000 offres par
jour actualisées tous les soirs et une moyenne de 5 millions de connexions mensuelles.
6
5. Organisation de l’ANPE
L’effectif de l’Agence se répartit sur tout le territoire français (Hexagone et DOM/TOM) dans :
-
-
-
-
1 Direction Générale à Noisy Le Grand (banlieue Est de Paris – 93). Ce bâtiment rassemble comme son
nom l’indique la quasi-totalité de la Direction Générale, y compris les services informatiques.
1 Centre Technique Informatique National dit CTIN (banlieue Est de Paris – 77). Il s’agit du cœur
même de l'infrastructure informatique de l'ANPE. Il a pour mission d’exploiter les applications de
l’ANPE pour l’ensemble des régions et des départements et de les mettre à la disposition des entreprises
et des demandeurs d’emploi. Il s’agit d’un site critique, qui héberge une centaine d’agents et qui se doit
d’être physiquement sécurisé.
7 Centres Interrégionaux de Services Informatiques (CISI) à Paris (75), Lille (59), Caen (14),
Strasbourg (67), Lyon (69), Bordeaux (33), Vitrolles (13). Les CISI assurent le déploiement physique
pour le matériel informatique ou par télédistribution pour les logiciels ainsi que le support informatique
des ALE, DRA et DDA.
22 Directions Régionales de l'ANPE qui se superposent aux régions administratives françaises.
140 Directions Déléguées de l'ANPE couvrant l’ensemble des départements de la métropole et des
territoires d’Outre-mer.
961 points opérationnels et de contact avec l'ANPE pour les demandeurs d’emploi. Ce sont les Agences
Locales pour l’Emploi couvrant l’ensemble des départements de la métropole et des territoires d’Outremer et leurs points annexes spécialisés (spectacles, journalistes...). Des Espaces Spécialisés Jeunes sont
également créés à la demande des régions.
7 Centres de Ressources et de Développement des Compétences. Ces centres ont été créés pour la
formation des agents de l’ANPE.
6. Organigramme
A la tête de l’ANPE nous retrouvons une Direction Générale. Celle-ci regroupe :
-
Le Directeur Général.
Les Directions Générales Adjointes :
DGA Appui et Logistique (DSI)
DGA Développement des Services et des Interventions
DGA Ressources Humaines
DGA Prospective Contrôle et International.
-
Le Directeur de Cabinet.
L’Agent comptable.
La Direction de la Communication.
La Direction de la Modernisation et de la Qualité.
La Mission Coordination de la maîtrise d’ouvrage des systèmes d’information.
Voir l’organigramme de la direction générale de l’ANPE en page suivante
7
8
7. Applications informatiques
Dans le cadre des contrats de progrès entre l’ANPE et l’Etat, l’ANPE doit mettre en place des projets à forte
proportion informatique de part la répartition géographique des agences. A chaque contrat de progrès, l’ANPE
s’organise de manière interne, ceci pour avoir une totale maîtrise des évolutions.
Dans leur travail, les agents de l’ANPE s'appuient aujourd’hui sur deux grandes applications opérationnelles
(SAGE et GIDE), ainsi que sur des applications de gestion (AGIR), des serveurs télématiques et depuis 1997
un site WEB.
7.1. Applications opérationnelles
-
SAGE : Système d’Aide à la Gestion de l’Emploi. Application temps réel (sur le site ANPE) qui
permet la prise d’offres d’emploi et leur traitement en agence, le suivi et les essais de placement des
offres, la gestion du Libre-service des Offres, l’interface avec les applications statistiques du marché
du travail et les éditions de tableaux de bord de l’activité des agences. Cette application a été
étendue pour permettre de rattacher les différents événements à l’entreprise, actions individuelles et
collectives de l’Agence, offres déposées ou collectées. Cette application est implantée au sein du
CTIN sur un Mainframe Bull DPS9000 sous GCOS8.
-
GIDE : Gestion Informatisée du Demandeur d’Emploi. Application temps réel implantée dans le
centre informatique de l’UNEDIC à Montpellier, qui permet l’actualisation de la situation des
demandeurs d’emploi nécessaire au régime d’assurance chômage pour gérer leurs indemnisations.
Cette application est implantée au sein du Centre Informatique de l’Unedic sur un IBM.
7.2. Applications de gestion
-
STATISTIQUES MARCHE DU TRAVAIL : application exploitée bimensuellement sur le CTIN
à destination du ministère pour fournir des indications sur l’évolution du marché du travail.
-
AGIR : application de comptabilité publique utilisée par les Centres de Responsabilité Budgétaire.
8. Serveurs WEB
L’ANPE propose ses services sur le réseau INTERNET. Accessibles à partir de l’url « http://www.anpe.fr », le
serveur hébergé par le CTIN apporte de nombreuses informations et présente en ligne les offres d’emploi. Ces
dernières peuvent ainsi être consultées directement à domicile chez les particuliers ou par l’intermédiaire de
bornes libre-service mises à la disposition du public dans les agences locales.
Il est à noter que l’ANPE possède aujourd’hui l’un des plus importants réseaux de bornes libre-service d’accès à
Internet en France.
9
II. Présentation de la Direction des Systèmes d’Information (DSI)
La DSI est le maître d’œuvre des chantiers informatiques de l’Agence. D’un point de vue structurel, elle est aux
côtés des directions du budget, des services financiers ou de l’équipement, rattachée à la direction appui
logistique de l’Agence.
1. Objectifs
Cette direction doit répondre à trois objectifs essentiels :
-
Fournir à l’utilisateur final un outil informatique de qualité tant dans sa disponibilité ou son
efficacité que dans son support.
Apporter à l’Agence les moyens les plus adaptés à son métier par la mise à profit de l’évolution des
technologies de l’information.
Garantir dans la durée la maîtrise des ressources humaines et financières engagées dans la
réalisation des deux objectifs précédents. Les missions confiées aux structures correspondantes de la
DSI concourent à la réussite de ces objectifs.
2. Fonctionnement
Stratégiquement, la DSI se comporte vis-à-vis de l’Etablissement comme une véritable société de services.
Autrement dit, elle fournit à ses « clients » (en l’occurrence, les services de l’Agence) un ensemble de
prestations répondant à des normes de qualité.
La DSI a obtenu la certification ISO9001 en 2003 qui, par exemple, permet de distinguer le travail
qu’accomplissent, chaque jour, les 263 collaborateurs de la DSI et leurs sous-traitants.
La DSI s’articule verticalement autour de deux sous directions et de trois départements :
-
-
-
-
La Sous Direction des Etudes qui a pour mission de définir, de concevoir et de développer, en
collaboration avec la maîtrise d’ouvrage, les applications informatiques proprement dites, et qui
délègue le travail de développement à des sous-traitants.
La Sous Direction de la Production qui fournit l’énergie informatique des serveurs nationaux. A ce
titre, elle assure toutes les opérations concourant à la disponibilité et à la qualité des temps de
réponses, au respect des plages d’ouverture et à la sécurité des systèmes d’information.
Le Département Réseaux et Télécoms qui s’occupe, comme son nom l’indique, de ce qui touche au
réseau national de transmission de données et à la téléphonie. Nous y reviendrons plus en détail
dans la suite de ce document.
Le Département Informatique Poste de Travail et Intranet (DPI) qui choisit, achète et configure les
éléments de base (matériel et logiciel) constituant les postes de travail des agents de l’Agence.
Le Département du Support et de l’Informatique Régionale qui représente la DSI sur le terrain. Il
regroupe les sept CISI soit 140 personnes. Chacun de ces centres accueille la plate-forme
d’assistance téléphonique ASUR de sa région, assure le déploiement du matériel et des logiciels
dans le réseau et travaille en étroite relation avec la direction régionale. Le DISR s’appuie lui-même
sur deux services : QSD (Qualification, Support et Diffusion), qui est un peu l’organe de test et
d’intégration des applications avant leur généralisation effective dans le réseau ; SRC (Service de
Relation Client) qui, au niveau national et via des contrats de service, développe et met en place les
engagements assurant la qualité de fonctionnement de l’outil informatique et la bonne marche des
plates-formes ASUR.
10
III. Le département Réseaux et Télécommunications (DRT)
Le Département Réseaux et Télécommunications assure le fonctionnement, les installations et le maintien
du réseau national de transmission de données, dans le respect d’engagements de service tant sur la qualité
que sur la sécurité.
Le DRT fait partie intégrante de la DSI qui, nous l’avons vu, a la charge de l’organisation informatique de
l’ANPE. Ce département existe en tant que tel depuis avril 1998 ; il constituait auparavant un service
rattaché à la SDP.
Organigramme de la Direction des Systèmes d’information
DIRECTION des
SYSTEMES
d'INFORMATION
M. LESUEUR
DPT BUDGET,
GESTION & MARCHES
MISSION QUALITE
METHODE &
SECURITE
J.J. MERY (Adjoint)
N. POTTIER
DPT POSTE DE
TRAVAIL ET INTRANET
SOUS DIRECTION des
PROJETS
SOUS DIRECTION de LA
PRODUCTION
DEPARTEMENT
MAINTIEN EN
CONDITION
C. MOREAU
A. MONCE
J. SALLENT
OPERATIONNELLE
DEPARTEMENT
RESEAUX &
TELECOMMUNICATION
A. SENTIS
H. TOUATI
DEPARTEMENT
SUPPORT &
INFORMATIQUE
REGIONALE
L. MORO
7 CISI
Le DRT se présente désormais comme un prestataire de services interne pour le compte des différentes entités
de l’ANPE ou de ses partenaires externes comme l’UNEDIC.
Le DRT remplit à ce jour 3 types de missions :
.
- des missions liées au support des infrastructures réseaux et télécoms existantes :
il est le premier intervenant pour tout incident affectant l’infrastructure réseau et télécoms du
CTIN.
il peut être amené à traiter tout dysfonctionnement d’ordre technique ou non, dans le domaine des
réseaux et télécoms.
il doit résoudre les problèmes qui n’ont pas pu être résolus par les CISI.
-
des missions liées à la gestion des équipements et des ressources internes ou externes :
le DRT choisit, valide, installe et gère l’ensemble des équipements constituant l’architecture
technique du réseau national de l’ANPE.
le DRT anime le réseau de CISI, pour son domaine d’activité.
-
des missions liées à l’évolution de ces infrastructures et équipements :
11
le DRT doit gérer un certain nombre de projets d’évolution des moyens actuels.
le DRT se doit de tenir à jour ses connaissances techniques, une vision objective du marché et de
ses acteurs.
1. Description
L’existence du département Réseaux et Télécommunications de l’ANPE s’inscrit dans la logique de
convergence technologique des réseaux téléphoniques, informatiques et multimédia.
Ce département agit comme un véritable opérateur interne dont la vocation est de proposer des services et
mettre en œuvre des solutions de télécommunication sur le plan national.
Le DRT situé à Noisiel, se compose de trois services :
Le service Architecture et Sécurité Réseaux (ASR).
Le service Support et Administration (SSA).
Le service téléphonie
2. Les Missions des services du DRT
Ce service intervient dans trois domaines principaux qui sont :
Déploiements réseaux ,
Support des projets DSI
Ingénierie réseaux et sécurité.
Les missions de ce service sont :
Conception et déploiement de l'architecture des réseaux de communication.
Intégration des nouveaux projets DSI dans l'infrastructure réseau.
Assurer la sécurité logique des réseaux de communications.
Garantir la qualité de service réseaux.
3. Service Support et Administration
Ce service a en charge les cinq domaines principaux :
Gestion des achats, résolution des incidents, exploitation infrastructures réseaux, support et Qualité.
Les missions de ce service sont :
Administration et maintenance de l'infrastructure réseau et sécurité.
Support national réseau.
Gestion des commandes et de la facturation.
Mise en œuvre et support de solutions d'échanges de données.
Gestion de la Qualité (ISO 9001)
4. Service Architecture et Sécurité Réseaux
Les activités de ce service sont :
Etude et mise en service de solutions réseaux.
Etude et mise en service de solutions de sécurisation des réseaux de communication.
Gestion des évolutions des réseaux de communication.
Gestion des appels d'offres réseaux.
Pilotage du déploiement de solutions réseaux.
Planification de la capacité et des performances du réseau de communication.
Expertise réseau dans les projets de la DSI.
Veille technologique réseaux et sécurité.
12
Définition des politiques et standards.
5. Service Support et Administration
Les activités de ce service sont :
Gestion de la Qualité (ISO 9001)
Support national réseau
Administration des équipements et des accès réseaux.
Administration de la sécurité réseaux.
Suivi de la qualité de service réseau.
Gestion des commandes de services réseaux & télécoms.
Suivi de la facturation des services réseaux & télécoms.
Gestion de parc réseau et télécoms.
6. Service Téléphonie
Les activités de ce service sont :
Conseil et expertise en téléphonie auprès des directions régionales ANPE.
Gestion des appels d'offres de fournitures de service de téléphonie fixe et mobile.
Elaboration et suivi de la mise et œuvre de solutions de téléphonie à valeur ajoutée.
Suivi de l'exécution des marchés de téléphonie.
Suivi de la facturation des services de téléphonie.
Ce service intervient dans le domaine du transport de la voix.
Les missions de ce service sont :
Définir et mettre en œuvre les accords cadres nationaux sur la téléphonie.
Assurer un rôle de conseil et de support aux régions.
Définir des solutions téléphoniques à valeur ajoutée.
IV. Etude de l’architecture réseau de l’ANPE
Le réseau WAN de l’ANPE regroupe plusieurs LANs, un réseau Internet, un réseau intranet, un réseau extranet
Son bon fonctionnement s’appuie sur une architecture complexe qui nécessite une surveillance 24h/24h. Des
outils de supervisions permettent une vision globale de son architecture et de remonter tous les incidents.
Le réseau de l’ANPE doit satisfaire la demande des utilisateurs, effectuer des transmissions de données fiables,
sans pertes ni erreurs, en conformité avec l’exercice du métier de l’agence.
Ces objectifs peuvent être atteints en mettant en œuvre une politique de qualité de service prise en compte dès la
conception du réseau et maintenue au cours de sa phase d’exploitation.
C’est le DRT qui définit les besoins et qui assure l’exploitation et la surveillance des technologies que nécessite
la transmission de données.
En 2004, les évolutions du réseau national ont nécessité un redéploiement qui s’appui sur un réseau IP - VPN
reposant sur le protocole de routage MPLS. Fin 2004 tous les sites (environ 1000) seront dotés d’accès ADSL
ou SDSL pour assurer leur connectivité avec le réseau national de l’ANPE.
13
1. Principe de l’infrastructure réseau en France métropolitaine
Les sites ANPE situés en métropole sont interconnectés par l’intermédiaire d’un backbone IP
(Technologie MPLS pour Multi Protocol Layer Service).
Il est composé de 2 réseaux privés virtuels IP (IP-VPN) distincts :
•
•
Un VPN « Intranet » (sites et utilisateurs internes) ;
Un VPN « Extranet » (sites et utilisateurs non ANPE, appelé partenaire).
La topologie de raccordement des sites est une topologie en étoile centrée sur le site de Marne la Vallée
(CTIN). Les raccordements des sites ANPE au réseau vers le site central sont les suivants :
•
•
•
•
•
Pour le CTIN : deux liens 56 Mb/s sur accès de 100 à 155 Mb/s ;
Pour les CISI : deux liaisons 1,6 à 2 Mb/s (LL et/ou SDSL) ;
Pour les DRA/CRDC ;
Accès SDSL, débit garanti de 512Kb/s, débit crête à 1,6 Mb/s ;
Pour les unités (DDA, USP, ALE…) :
- Accès ADSL (éligibilité des sites ANPE estimée > à 85%),
avec repli sur des accès Liaisons louées : 256Kb/s à 512Kb/s ;
- Débit garanti de 160Kb/s ;
- Débits crêtes montant à 256Kb/s, descendant à 1 Mb/s ;
Pour les liaisons de secours ;
- Pour le CTIN et les CISI : secours sur la seconde liaison ;
- Pour les autres sites : secours RNIS 128Kb/s.
Le schéma de principe du réseau d’interconnexion des sites ANPE est illustré ci-après.
2. Principe de l’infrastructure DOM
Les sites ANPE situés dans les DOM sont interconnectés par l’intermédiaire d’un backbone IP
(Technologie MPLS pour Multi Protocol Layer Service).
14
Il est composé de 2 réseaux privés virtuels IP (IP-VPN) distincts.
•
•
Un VPN « Intranet » (sites et utilisateurs internes) ;
Un VPN « Extranet » (sites et utilisateurs non ANPE).
Les raccordements réseaux sont les suivants :
•
•
Pour le CTIN : concentrations via deux accès 4Mb/s ;
Pour les Unités :
Accès ADSL (selon éligibilité) ;
Débit garanti 160Kb/s ;
Débits crêtes montant à 256Kb/s, descendant à 1 Mb/s ;
Repli sur des accès par LL (Liaisons Louées) 128 Kb/s si non éligible ;
Pour les liaisons de secours RNIS 128 Kb/s.
Le schéma de principe du réseau de l’ANPE dans les DOM est illustré ci-après.
3. Accès Internet
L'accès à Internet s'effectue par deux liens chez deux FAI (Fournisseur d'accès Internet) différents.
Ces deux liens ont les caractéristiques suivantes :
Premier lien :
• raccordement en fibre optique et constitution d'une liaison Ethernet 1 Gb/s ;
• un débit utile de 40 Mb/s sur une liaison qui peut être configurée jusqu'à 100 Mb/s (et au delà)
suivant l'abonnement choisi ;
• une plage d’adresse officielle (classe C).
Deuxième lien:
• raccordement à un backbone et constitution d'une liaison Ethernet 100 Mb/s ;
• un débit utile de 40 Mb/s sur une liaison qui peut être configurée jusqu'à 100 Mb/s suivant
l'abonnement choisi ;
• une plage d’adresse officielle (classe C).
15
Le raccordement à Internet a un double objectif :
• permettre aux demandeurs d’emploi et aux entreprises d’accéder via Internet aux services à distance
de l’ANPE : la consultation des offres d’emploi, l’abonnement à la diffusion automatique des offres
par email, le dépôt d’offres d’emploi, l’accès aux sites des différents partenaires...
• donner la possibilité aux utilisateurs internes d’accéder aux services Internet : web, messagerie,
transferts de fichiers.
Les services ANPE sur Internet sont de plus en plus consultés ce qui se traduit par une évolution croissante de
ressources en terme de bande passante . Pour faire face à la rapide progression du trafic de consultation du site
web « anpe.fr », ce débit de l’accès Internet est ainsi passé de 512 Kbps en 1997 à 40 Mbps à fin mai 2004.
La présence sur Internet est un élément important de la stratégie de l’ANPE avec la volonté de mettre en place
un accès Internet à haute disponibilité sur le site du CTIN.
4. Sécurité Internet
La sécurité mise en place pour le raccordement à Internet est assurée par :
Firewall :
• système qui permet d’établir des règles de contrôle d’accès entre deux réseaux, généralement entre le
réseau privé de l’entreprise et Internet, afin notamment d’éviter l’intrusion de pirates dans le réseau de
l’entreprise.
• il permet aussi d’accéder à la DMZ zone d’informations de l’entreprise (sur réseau local) accessible aussi
bien de l’intranet que de l’Internet ; dans ce cas le Firewall joue un rôle de commutateur.
• la fonction Firewall de l’Agence s’appuie sur le produit Firewall de la société Checkpoint Software.
Serveur mandataire (Proxy Server) :
• fonction système utilisée notamment pour ses capacité de cache (les pages récupérées sont placées dans
un cache-mémoire et l’utilisateur qui rechargera cette page ira non pas la rechercher sur l’Internet mais
dans le cache, afin d’optimiser les futurs temps de connexion).
• elle permet aussi de filtrer les accès à Internet pour les utilisateurs connectés sur intranet (ce n’est pas le
cas à l’ANPE).
Anti-virus :
• programme qui permet de détecter et de détruire les virus détectés. Il doit pouvoir détecter les virus y
compris dans les fichiers attachés dans le courrier électronique, les fichiers téléchargés ou les pages
HTML contenant des liens hypertextes.
• la fonction d’anti-virus s’appuie sur le couple de produits Viruswall Interscan et E-manager de l’éditeur
Trend Micro.
16
V. Organisation du support aux utilisateurs
L’activité de support aux utilisateurs a pour objectif d’apporter à l’ensemble des utilisateurs des systèmes
d’information de la DSI, l’assistance dont ils peuvent avoir besoin lors de l’utilisation des ressources matérielles
et logicielles qui leur sont fournies par la DSI.
On distingue un fonctionnement à 3 niveaux, le 3ème étant assuré par la DRT.
Dans le cadre de l’activité de support, sont apportées des réponses et des solutions aux types de demandes
suivantes :
•
les incidents, les anomalies, les évolutions, les informations.
Ces différents types de demandes peuvent porter sur les catégories suivantes :
•
•
•
technique, relatif à l’ensemble de l’infrastructure technique,
applicatif, relatif aux fonctionnalités de l’outil,
métier, relatif à l’utilisation des outils pour le métier
1. Support niveau 1
•
•
•
•
•
•
•
•
•
•
Assurer l’accueil téléphonique pour la signalisation des incidents/anomalies et pour les demandes
d’information (de 9h00 à 18h00)
Enregistrer les incidents ou anomalies signalés dans la base d’incidents
Pré qualifier les incidents et les transférer au support deuxième niveau
Résoudre les incidents à partir des informations contenues dans la base d’incidents
Suivre le traitement des incidents
Exploiter la base d’incidents : relances, consolidation, analyse de tendance
Alerter et informer les équipes DSI sur l’état du réseau
Diffuser les informations concernant le réseau
Suivre le parc réseau et télécoms
Fournir mensuellement les indicateurs sur le fonctionnement du support
2. Support niveau 2
•
•
•
•
•
•
Résoudre les dysfonctionnements signalés par le support de premier niveau (SVP)
Diagnostiquer les dysfonctionnements sur le réseau de données
Contacter les supports des fournisseurs (opérateurs, intégrateurs)
Transmettre au SVP la description détaillée de la résolution des dysfonctionnements
Relever, noter et investiguer les comportements douteux des équipements ; corriger si nécessaire
Répondre aux demandes d’information sur le réseau
3. Support niveau 3
•
•
•
•
•
•
Résoudre les dysfonctionnements signalés par le support de deuxième niveau (techniciens CISI)
Faire réaliser des travaux de câblage informatique et téléphonique sur le site de Noisiel
Traiter les demandes de la DSI : adresses IP, DNS, modification de règles de firewall, …
Traiter les demandes de raccordement d’équipements sur les sites de Noisiel et de Noisy le Grand
Réaliser des études de métrologie réseau
Diagnostiquer et corriger les dysfonctionnements sur les réseaux des sites de Noisiel et de Noisy le
Grand
17
4. Administration du réseau
•
•
•
•
•
•
•
•
•
•
Superviser les services et les équipements réseaux
Modifier les configurations des équipements réseaux
Documenter les modifications de configuration
Sauvegarder les configurations des équipements réseaux
Analyser les fichiers logs des équipements réseaux
Traiter les alertes générées par les équipements réseaux
Assurer la maintenance préventive du réseau
Communiquer tout dysfonctionnement constaté au SVP
Signaler les dysfonctionnements aux fournisseurs de services
Suivre le traitement des dysfonctionnements signalés aux fournisseurs de services
5. Administration de la sécurité réseau
•
•
•
•
•
•
•
Prévenir les intrusions et supprimer les virus
Signaler immédiatement toute faille de sécurité constatée ou supposée
Mettre à jour les outils de sécurité
Analyser les fichiers logs des équipements sécurité
Gérer les clés de chiffrement et les certificats
Gestion des comptes d’accès aux équipements réseaux gérés par le DRT
Assurer la gestion des sauvegardes
Synthèse de l'organisation du DRT
Service Support et Administration
Résolution des incidents
Support 1er niveau
Exploitation réseaux
Gestion des achats
Qualité
Support projets
Service téléphonie
DSI
Ingénierie réseaux et sécurité
Service Architecture et Sécurité réseaux
18
VI. Appropriation des procédures et interventions en situation
1. Service Center
Mes actions dans Service Center ont consisté à qualifier des incidents et assigner les tickets aux personnes
qualifiées. Suivre et clôturer les tickets selon le logigramme de traitement des appels ci-dessous :
19
a)
Présentation Service Center
Service Center est un outil de gestion d’incidents qui permet de centraliser l’ensemble des demandes des
utilisateurs de l’ANPE (Peregrine System Inc. - Version : 5.1.2.0.0023)
Qualification des demandes utilisateurs dans Service Center :
Les demandes sont qualifiées par un technicien qui ouvre un dossier correspondant à une demande et lui attribut
un ticket.
4 types d’incidents selon des catégories prédéfinies sont identifiés :
incident, anomalie, évolution, information
Rappel :
Une anomalie correspond à un fonctionnement anormal inacceptable qui nécessite une action de correction.
Une évolution correspond à un nouveau besoin ou à la modification d’un besoin qui n’est pas pris en compte
actuellement par l’existant.
Une information correspond à une demande se traduisant en définitive par une prestation de conseil et
d’assistance concernant des difficultés d’utilisation des ressources informatiques.
Un incident correspond à tous les autres problèmes rencontrés qui ne peuvent pas être classés dans les types
précédents.
Ces différents types de demandes sont ensuite déclinées afin d’affiner la qualification de la demande.
b)
Masque d’accueil pour se connecter à Service Center
L’accès au dossier s’effectue en cliquant sur le bouton
20
c)
Masque « Liste des dossiers » dans Service Center
Cliquer sur un numéro de ticket pour le modifier
d)
Masque « Mettre à jour un dossier » dans Service Center
Masque permettant les modifications et la clôture du ticket. Les tickets peuvent être réaffectés à un autre
groupe d’affectation.
21
2. Supervision Réseau sous HP Open View
Présentation
Le logiciel de supervision HP/OV Network Node Manager permet la supervision en temps réel du réseau
national de l’ANPE. Sa fonction est d’alerter les équipes support et d’astreinte en cas de dysfonctionnement et
de communiquer en temps réel avec les équipes de Production sur les incidents réseaux qui pourraient impacter
la Production (serveurs d’applications). D’assurer la disponibilité et une performance optimale de votre réseau,
de diagnostiquer les problèmes de performance en exploitant des données historiques récentes, d’identifier les
liaisons sous-utilisées et les liaisons saturées, de documenter la performance actuelle du réseau à des
fins d'usage interne et pour prouver que vous avez respecté vos engagements de niveau de service.
Cet outil puissant de gestion réseau inclut des vues détaillées mais concises des périphériques réseau et de leur
état sous une forme graphique intuitive. Permet aux gestionnaires réseau d’évaluer les performances de leur
réseau, de dépister les sources de problèmes et de gérer de manière proactive leur réseau et la disponibilité de
celui-ci.
Les équipes de la Production de l’ANPE utilisent la suite de logiciels de Supervision BMC Patrol.
Le logiciel PiNNM (Patrol integration for Network Node Manager) a permis de mettre en place un canal
unidirectionnel NNM
Patrol qui renvoi un ensemble d’alertes sélectionné au préalable par l’administrateur
du DRT.
Network Node Manager Extended Topology
Prend en charge la gestion de réseaux commutés hétérogènes (LAN et WAN), c’est-à-dire la gestion de
niveau 2 ou VLAN. Lance des vues ciblées à partir des événements pour une résolution rapide des
problèmes. Prend en charge une gamme extensible de périphériques et fournit des vues des protocoles
s’exécutant par-dessus le réseau, comme OSPF.
Architecture matérielle
Architecture logicielle
Station Sun UltraSparc
Solaris 8 + patch
Ultra60Station Sun UltraSparc Ultral
PiNNM (pour PatrolEM 4.3)
Les modes opératoires
-
En arrière plan :
Le « daemon » Network Node Manager surveille les équipements en effectuant des « polling » en ICMP et
SNMP, récupère les « Traps » interne et externe, surveille les seuils, génère les « Traps », exécute des
commandes automatiquement sur arrivée de « Traps » et envoi certains « Traps » bien définis vers la station
Patrol EM.
-
En avant plan :
Depuis les consoles de supervision (Station UNIX , Debian) et de l’interface graphique « OVW » une
cartographie du réseaux est présentée.
Sont affichées les topologies réseaux, les « map » actives et les alertes via X11, les topologies réseaux, les
« map » actives et les alertes via serveur Web et Applet Java.
Sont configurés les paramètres de Supervision (communauté SNPM, seuils, action sur alerte) via X11
(développement graphique Unix Xwindows)
SNMP (Simple Network Management Protocol) : traduisez protocole simple de gestion de réseau. Il s'agit
d'un protocole qui permet aux administrateurs réseau de gérer les équipements du réseau et de diagnostiquer les
problèmes de réseau.
22
Cartographie
• Réseau ANPE
23
Cartographie Alarmes générées par la console SYSLOG
Les alarmes « Node alarms » sont remontées sur les consoles de supervision.
Des agents installés sur les équipements (Routeurs, switchs) permettent des « Traps » SNPM.
Ses « Traps » sont transmis à la console Syslog sur laquelle est installé un outil « Swatch ».
Il permet de surveiller en continu un fichier de log et de réagir si une chaîne de caractères particulière
est détectée. Les alertes détectées sont envoyées dans la fenêtre All Alarms Browser. La réaction est de
moins de 10 secondes et peut à nouveau engendrer de nouvelles actions configurées depuis la console
HP Open View.
Criticité des alarmes en fonction de la couleur (standard dans HP OPEN VIEW)
Alarme Critique
Alarme Majeur
Alarme Mineur
Alerte
Etat normal
•
Chaque Alarme donnée permet d’identifier la source qui émet le message
d’erreur.
•
L’impact sera différent selon le degré de gravité.
•
Une première analyse rapide peut-être effectué d’après la nature de l’alerte.
•
Certaines alertes seront acquittées (corrigées) par la console de supervision
pour les alarmes mineurs.
Les « Node Alarms » donnent des informations sur les réseaux impactés par l’incident. Le technicien doit mener
des investigations pour analyser le problème.
24
La première mesure à prendre sur un incident concernant un élément (Routeur / Switch) est de le pinguer.
Si la commande ping répond répond il faut se connecter via TELNET ou PUTTY (SSH) et vérifier l’état de
l’interface.
Monitoring et dépannage
Commande SHOW
La commande show est très efficace pour le monitoring et le dépannage. Elle est utilisée pour exécuter toute une
série de fonctions :
•
•
•
•
Monitoring du routeur pendant l'installation et pendant sa production
Isolation des problèmes d'interface, de média ou d'application
Déterminer la charge du réseau
Déterminer l'état des serveurs, client ou encore des routeurs voisins
show ?
Affiche les options de la commande SHOW
show access-lists
affiche les listes de contrôles d'accès configurés sur le routeur ainsi que les interaces
auxquelles elles se rapportent
show buffers
affiche l'état du tampon du routeur
show clock
affiche les paramètres horaires du routeur
show <interface>
affiche différentes statistiques pour l'interface concernée comme par exemple le type
de média raccordé
show DECnet static
affiche les routes statiques configurées
show flash
affiche la version de l’IOS utilisés par le routeur ainsi que la quantité de mémoire flash
utilisée
show flash all
affiche la quantité de mémoire flash utilisée
show interfaces
affiche les statistiques ainsi que les caractéristiques de toutes les interfaces du routeur
show interfaces
accounting
affiche un aperçu des protocoles voyageant au travers des interfaces
show ip arp
affiche la table arp du routeur
show ip OSPF
<interface>
affiche le statut d'OSPF sur l'interface concernée
show ip route
affiche la table de routage IP
show IPX interfaces
affiche l'état des interfaces IPX ainsi que leur adresse MAC
show ip protocols
affiche les information de routage
show ip traffic
affiche les statistique de trafic passant par le routeur
show ipx servers
affiche les serveurs que le routeur connaît
show line
affiche les lignes actives du routeur
show log
affiche les logs du routeur ( il convient d'activer les logs au préalable)
show memory
affiche l'état de la mémoire du routeur
show running-config
affiche la configuration stockée en RAM, utilisée par le routeur en fonctionnement
show startup-config
affiche la configuration stockée en NVRAM, utilisée par le routeur au démarrage
show tcp
affiche les connections TCP
show version
affiche le uptime du routeur, la version de l'IPS, la séquence de boot ainsi que les
caractéristiques physiques du routeur
Des procédures internes non développées dans ce rapport permettent d’intervenir sur les routeurs gérés par
l’ANPE. Les autres routeurs sont gérés par 9TELECOM et CEGETEL.
25
Erreurs courantes au niveau des trois premières couches du modèle OSI
•
Les erreurs courantes au niveau de la couche 1 sont les suivantes :
Des câbles rompus.
Des câbles déconnectés.
Des câbles raccordés à des ports inappropriés.
Des connexions instables.
Des câbles inappropriés pour la tâche à accomplir (les câbles console, les câbles
d'interconnexion et les câbles droits doivent être employés à bon escient).
Des problèmes d'émetteur-récepteur.
Des problèmes de câblage ETCD.
Des problèmes de câblage ETTD.
Des unités hors tension.
•
Les erreurs courantes au niveau de la couche 2 sont les suivantes :
Des interfaces série configurées de façon incorrecte.
Des interfaces Ethernet configurées de façon incorrecte.
Un ensemble d'encapsulation inapproprié (HDLC est utilisé par défaut pour les interfaces série).
Une fréquence d'horloge inappropriée pour les interfaces WAN.
•
Les erreurs courantes au niveau de la couche 3 sont les suivantes :
Un protocole de routage non activé.
Un protocole de routage activé mais incorrect.
Des adresses IP incorrectes.
Des masques de sous-réseau incorrects.
Des liens DNS-IP incorrects.
3. MRTG (Multi Router Traffic Grapher)
Permet de suivre de façon graphique le trafic des différentes interfaces réseaux d’un système visible via le
protocole SNMP.
MRTG permet de grapher l’utilisation des interfaces locales de la machine et de suivre l’utilisation des
interfaces d’autres machines (en réseau par ex), puis le load average des systèmes.
Pour fonctionner, MRTG à besoin de :
-
Modules Perl,
GCC,
GD, librairie Perl permettant de faire des dessins,
Libpng, librairie utilisée par GD pour générer des graphes au format ouvert,
MRTG n’est qu’un script Perl, il ne se compile donc pas.
Les graphes MRTG sont visualisés depuis l’INTRANET DRT, ils sont réactualisés toutes les 5 minutes.
26
Supervision du Réseau ANPE , « Grapher » générés par MRTG
27
28
29
4. Métrologie et flux
L'ANPE dispose d’une infrastructure réseau nationale permettant la connexion de ses multiples utilisateurs
(agents, partenaires, Internautes) aux applications centrales hébergées sur le site de Noisiel (CTIN). Le
protocole réseau utilisé par l’ensemble des applications est TCP/IP.
Le CTIN concentre la quasi totalité des flux réseaux que l’on peut classer en 4 catégories :
- Les flux en provenance des sites connectés au réseau interne de L’ANPE (Intranet) ;
- Les flux en provenance des sites extérieurs à l’ANPE (Extranet et VPN) ;
- Les flux en provenance du MAN de Marne la Vallée;
- Les Internautes (Grand Public).
Le logiciel Application Vantage permet la réalisation de tests unitaires, aide à la résolution de
dysfonctionnement et permet de constituer un référentiel de flux.
Application Vantage est un package logiciel constitué de 3 composants principaux :
Vantage Agent
L’agent « Vantage » est l’élément de base d’Application Vantage. Il capture le trafic applicatif du client à
travers le réseau. Les traces qu’il enregistre sont compressées et cryptées.
Vantage Agent Manager
Ce module permet de déclarer et de gérer les agents dans le système (ajouter/retirer des utilisateurs, tester s’ils
sont joignables…). Il est accessible directement à partir de l’interface utilisateur d’Application Vantage.
L’interface utilisateur d’Application Vantage est la composante centrale du produit. Elle permet de définir les
applications et les transactions associées que l’on souhaite capturer. Au moment de la capture, ces traces
peuvent être filtrées et prises de différents points du réseau en fonction des agents déployés. Lors de la
consolidation des informations, les captures de chaque agent peuvent être vues séparément et/ou être fusionnées
(les translations d’adresse sont détectées et prises en compte). Un ensemble de vues graphiques et de données
tabulées permet de documenter les résultats issus des analyses de ces trames capturées, mais aussi d’aider à
déterminer d’où viennent les éventuelles défaillances liées aux applications (problème réseau, problème
purement applicatif…).
Tous ces composants peuvent être distribués dans le réseau.
30
On obtient l'architecture suivante :
WAN
Serveur
ou Utilisateur
Vantage Agent
Vantage Agent
- Capture
- Compresse
- Crypte
- Capture
- Compresse
- Crypte
Serveur
Web
Application Vantage
Vantage Agent Manager
Sélection des agents distants
Lors de l’ouverture d’Agent Manager à partir de l’interface Vantage, on obtient l’écran ci-dessous. A partir de
cet écran, on peut chercher les agents sur le réseau et les sélectionner. Au moment de la sélection, un nom
d’utilisateur et un mot de passe sera demandé.
Agent sélectionné
Capture d’une trace
Sélection des agents de capture
Lors de la capture d’une trace, on sélectionne les agents de capture dans la liste offerte par Vantage
Agent Manager.
Agents sélectionnés pour la capture
Fusion automatique après capture
31
Définition de filtres
Ensuite, des filtres peuvent être définis sur les adresses MAC, IP ou IPX des machines qui font l’objet de la
capture, ou sur des sockets IP ou IPX.
Fusion de deux traces
Après avoir capturer des traces à partir d’agents positionnés côté client et serveur, Application Vantage permet
de fusionner ces traces 2 à 2. Ces traces peuvent aussi bien être des traces Vantage, ou des traces de type Sniffer,
Distributed Sniffer, HP, Netscout, Net X-Ray, Observer, etc…
Trace côté « client »
Trace côté « serveur »
32
Démarche suivie
Application Vantage est un outil conçu pour aider à l’identification et la résolution de problèmes de
performances des applications dans un environnement de production.
Il permet en particulier de faire la part de ce qui revient au réseau et à l’application.
A.V. peut décoder les flux suivants :
•
•
•
•
•
•
•
•
•
•
•
Oracle 7.3 and 8i (NET8)
Sybase w/TDS 4.0 and 5.0
Informix SQLI v7
Microsoft SQL Server 6.5 and 7
DB2/400
Java (using HTTP)
Microsoft Networking (SMB)
NTTP
SMTP
POP3
Generic SQL, Novell NCP, NFSv2
Il est théoriquement possible avec Application Vantage d’identifier rapidement la cause du ralentissement d’une
application du point de vue de l’utilisateur (poste de travail, application).
Réponse aux questions:
Quelle est la cause des mauvaises performances ?
Que doit-on changer pour améliorer les temps de réponse ?
Quels appels applicatifs, requêtes de bases de données, prennent trop de temps ?
Quelles performances les utilisateurs expérimentent-t-ils ?
Vue unifiée du réseau, des applications et du comportement du système
Analyse des threads applicatives et bounce diagram
Timing de séquences de chaque composant d’une application
Possibilité d’examiner des traces en mélangeant des traces deux à deux, très important pour déterminer où se
trouve le goulet d’étranglement.
Les informations collectées par les agents Vantage sont visualisées au moyen de l’interface utilisateur
d’Application Vantage.
Vues et tableaux extraits des traces
Conversation Map
La carte des conversations (conversation MAP) est une représentation graphique des échanges de données entre
les différentes machines mises en œuvre. Les nœuds sont des points à la périphérie d’un cercle, et sont reliés
entre eux par des fils bleus dont l’épaisseur varie selon les volumes de données échangées. Le volume est inscrit
sur le graphe, le long des fils, pas toujours de façon lisible (consulter de préférence le tableau).
33
La croix rouge symbolise les erreurs qui sont survenues ; leur nombre figure devant la croix.
La table des conversations peut être visualisée sous forme de graphique ou de table et comporte les informations
suivantes :
•
Noeud1 <<>> Nœud2
•
Nombre de bytes échangés dans un sens et dans l’autre
•
Nombre de bytes utiles ( Payload ) échangés dans un sens et dans l’autre
•
Nombre de trames échangés dans un sens et dans l’autre
•
Nombre de tours applicatifs
•
Nombre d’erreurs
•
Nombre de Warnings
34
Bounce Diagramm
Visualisation sous forme de flèches des échanges réalisés entre les stations.
Ces échanges sont horodatés à partir du début de la capture, les temps d’attente de début et de fin peuvent être
supprimés.
De cette vue il est possible d’obtenir le détail de chacune des trames enregistrées.
35
Thread Analysis
Visualisation sous forme de table et de graphique de tous les threads d’une transaction, cette vue permet de
visualiser rapidement l’enchaînement ou le parallélisme des transactions.
Il est possible de visualiser les données du client vers le serveur et du serveur vers le client.
A partir de cette vue, il est possible de forcer le décodage de protocoles applicatifs qui auraient été uniquement
décodés en tant qu’échanges TCP.
Il est également possible d’obtenir le détail de chacune des trames enregistrées
De nombreuses données d’analyse sont présentes dans cette vue.
Vue principale
La partie supérieure fournit toutes les données concernant chaque thread.
La partie centrale visualise les datas sous différentes formes : binaire, header et données interprétées quand cela
est possible.
Thread Analysis ( suite )
Complément de la vue principale : détail des trames
36
Error Analysis
Table horodatée répertoriant toutes les erreurs observées lors des échanges.
Packet Trace
Visualisation des trames échangées.
Accès au détail des trame en double cliquant sur une des cellules de cette table
37
Node Processing Details
Table horodatée répertoriant toutes les transactions classées par protocole applicatif et durée
Performance Overview
38
CNS Breakdown
Network Utilisation and Transit Time
Affichage sous forme de graphiques des débits observés et des temps de transaction.
Affichages disponibles à partir des différents onglets : Local -> Remote et Remote -> Local
39
Tracer des packets IP avec Tcpdump et Ethereal (Sniffers)
En voici donc les options et les différentes possibilités.
TCPDUMP
La commande "tcpdump" permet d'afficher les packets, mais pas leur contenu, il fonctionne en ligne de
commande.
exemple :
tcpdump -i eth0 not port 22 tcpdump -i eth0 port 20 or port 21 tcpdump -i eth0 port 20 and host 10.10.10.2
Format de la commande : tcpdump [option(s)] [condition(s)]
Option
-i
-x
-X
-v
-vv
-vvv
-w
-r
Détail
Exemple
Affiche les packets pour une interface spécifique
tcpdump -i eth-s1p1
Mode "Verbose Hexa" : contenu des packets en Hexadecimal
tcpdump -i eth-s1p1 -x
Mode "Verbose Hexa" : contenu des packets en Hexadecimal et ASCII
tcpdump -i eth-s1p1 -X
Mode "Verbose light"
tcpdump -i eth-s1p1 -v
Mode "Verbose medium"
tcpdump -i eth-s1p1 -vv
Mode "Verbose Full"
tcpdump -i eth-s1p1 -vvv
Enregistre la sortie de TCPDUMP dans le fichier passé en paramètre
tcpdump -i eth-s1p1 -w
trc20040427.dump
Affiche le contenu d'un fichier créé avec tcpdump -w
tcpdump -r
trc20040427.dump
Exemples divers
Comment tracer les flux ftp venant de l'IP xxx.xxx.xxx.xxx
tcpdump port 21 and host xxx.xxx.xxx.xxx
Comment tracer les flux telnet venant des IP xxx.xxx.xxx.xxx. et xxx.xxx.xxx.xxx
tcpdump -i eth-s1p1 port 23 and host xxx.xxx.xxx.xxx or host xxx.xxx.xxx.xxx
Afficher un maximum d'informations sur les flux ftp.
tcpdump -i eth-s1p1 -vvv -X port 21
40
ETHEREAL
Ethereal est un analyseur multi-plateforme de (+ de 350) protocoles réseau. Il permet d’examiner les données
qui transitent sur votre réseau ou capturées dans un fichier sur un disque. Vous pouvez donc voir le contenu de
vos paquets en direct et en détail... comme un "sniffeur".
Les fonctionnalités que l’on a remarqué sont l’interface de création des filtres et la possibilité de reconstituer
une session TCP (pour régler ses problèmes avec son serveur web ou mail, par exemple).
A noter, le nombre impressionnant de ports du logiciel qui comblera les administrateurs de parcs multiplateforme.
Note : La capture "live" des trames nécessite l’installation préalable de WinPCap (libre sous licence BSD).
Donc, dès que vous avez besoin d'analyser une trace IP (packets, trame...), utilisez Ethereal...
5. Administration réseaux / Divers
Mes interventions en situation :
-
Effectuer des connexions en salle machine (câbles RJ 45 sur SWITCH AVAYA CAJUN P330 )
Attribution de port sur pour unVLAN donné
Intervention sur Routeur AVAYA
De: ASUR Prod [[email protected]]
Envoyé: lundi 13 décembre 2004 16:28
À: [email protected]
Objet: Incident réseau numéro: I718725
ServiceCenter Operator: DRT.Support
41
Vous êtes destinataire du dossier numéro : I718725
Contenu du champ description :
Dans le cadre de l'intégration de 2 firewalls, nous voudrions avoir deux ports configurés sur Cajun-1 et Cajun-2
- 1 port dans le réseau 15.0.145.0/24 sur Cajun-1 (salle Paris)
(Destination : interface d'admin du firewall Porter)
- 1 port dans le réseau 15.0.145.0/24 sur Cajun-2 (salle Marseille)
(Destination : interface d'admin du firewall Mack)
PROCEDURE 1 port dans le réseau 15.0.145.0/24 sur Cajun-2 (salle Marseille)
(Destination : interface d'admin du firewall Mack)
•
•
•
•
Accèder à la console de management Cajun Switch Management
Fenêtre Général Information (Avaya Cajun Switch Agent v5.4.2)
Fenêtre Module Information, le module 12 dispose de ports libres (port 10 libre)
Fenêtre Switch Port, vérifier si le port est libre et l’affecter au VLAN adm_rt
Je vérifie en salle machine les ports libres, je constate que le port 10 sur le module 12 est bien libre.
•
Fenêtre Switch Ports
Le port 12/10 est libre, il est affecté au VLAN adm_rt. Pour affecter le Port 10 il faut cliquer sur le lien.
42
•
Fenêtre Detailed Physical Port Configuration - Port 12.10
Modifier cette fenêtre selon les préconisations réseau et lui donner un nom « MACK »,
puis valider les modifications en cliquant sur
43
•
Fenêtre Physical Port Configuration - Module 12
On peut ainsi vérifier que la modification est bien effective
•
Fenêtre Configuration File Management
Pour sauvegarder la modification dans la fichier de config
cliquer sur le lien Configuration <Configuration Files > < File
Management >.
Cliquer ensuite sur le bouton
Pour CAJUN1 nous avons pris le module 12 et le port 10 qui était disponible de façon à avoir une configuration
identique (Ce qui n’est pas toujours le cas).
44
-
Vérifier des ports sur SWITCH AVAYA CAJUN depuis la console de Management Avaya
-
Intervenir sur le Firewall ARAGON en salle machine (déconnexion des fibres)
-
Affectation de ports sur Vlans (encadré par un administrateur)
-
Intervenir chez utilisateur pour un problème de négociation de carte réseau, problème identifié se révélant
être un défaut dans la prise murale.
-
Modifier un nom d’un port mal renseigné sur un switch AVAYA.
-
Identifier les problèmes depuis l’Espace Client France Télécom et suivre les dossiers.
-
Capturer des trames sur un port (mirroring, sniffer Ethereal)
-
Créer des noms DNS (demande PROD-GEODE) sur serveur DNS Principal BELZEBUTH
Ajout et suppression de DNS sur des adresses IP communiqués par la PROD
1) vérifier que le nom de la machine n'existe pas déjà ainsi que son reverse dans une session DOS
nslookup xxx.anpe.fr
2) se connecter en ssh (Putty) à Belzebuth
3) exécuter la commande "nsupdate -d"
Commande :
>nsupdate –d
Suppression de noms DNS du ficher named.conf avec la commande Update
Nom DNS pour IP adresse 192.168.xx.x
>update delete 192.168.60.5.in-addr-arpa. IN PTR ovarq.anpe.fr.
Zone inversée DNS pour IP adresse 192.168xx.x
> update delete x.xxx.60.192.in-addr-arpa. IN PTR ovarq.anpe.fr.
Ajouts de noms DNS dans le ficher named.conf
>update add ovarq.anpe.fr.in-addr-arpa. 86400 IN 192.168xx.xx
Ajouts de la zone inversée
>update add xx.xx.168.192.in-addr-arpa. 86400 IN PTR ovarq.anpe.fr.
Vérifier la résolution de nom pour l’adresse 192.168.xx.xx depuis une fenêtre Dos
>nslookup ovarq.anpe.fr
45
-
Ajoute de règles dans le FIREWALL avec CHECK POINT SmartDashboard
Objet de la demande :
il faudrait ouvrir vers la machine xxx.xxx..xxx.xx lehar, les ports
0000,0000,0000 et 0000, à partir du poste 15.xx.xx.xxx
Saisir le password et cliquer sur OK
Faire un search de la machine lehar, pour vérifier si une règle existe pour cette machine
Il existe une règle en ligne 30 et 31 pour cette machine.
En ligne 30 cellule SOURCE, faire un clic droit et ADD
46
Renseigner les champs Name, IP Address et modifier color puis OK.
En ligne 30 cellule SERVICE, faire un clic droit et ADD. Renseigner les champs Name, Port et modifier color
Puis OK.
Faire une sauvegarde en modifiant le nom du fichier et quitter.
47
6. Schemas architectures
a. Architecture du réseau ANPE
MAILLENORD
MICHELANGE
10 Mb/s
2Mb/s
srel
Tran
Applis internes
( SAGE, AGIR,
OASIS..)
Serveurs Publics
(www.anpe.fr, Isa,
Gescand...)
Firewall
n
Tra
Accès internet
Messagerie...
(échanges Internet
Intranet)
l2
s re
10 Mb/s
CTI NOISIEL
2 * 32Mb/s
sur 45 Mb/s disponible
Internet
Firewall
/s
Mb
10 Mb/s
GALILEE
2 * 12 Mb/s
sur 34 Mb/s disponible
Lien OPERATEUR
10Mb/s
2 * 34 Mb/s
MAN "Marne la
Vallée"
Piazza
CENTRAL
2
Global Intranet
(Transpac)
ADSL
Bornes
128 Kb/s
RNIS
Lien OPERATEUR
Réseau ATM/FR (Transpac)
liaisons satellites en secours ,
Liens nominaux via câbles
intercontinentaux sous-marin
RTC
2 Mb/s
Lien OPERATEUR
512 Kb/s
Portables DG/DRA
PCLA
2 *2 Mb/s
128 Kb/s
PPP
2 * 512 Kb/s
ALE
DOM
DDA DOM
128
K
b/s
DRA /
CRDC
ALE
2 * 512 Kb/s
CISI
Réseau FR DOM
TRANSPAC
ANPE/DSI/Département Réseaux et Télécoms/ Service ASR
maj 15/09/2003
48
b. Plate-forme Internet Noisiel
49
7. Description des technologies déployées dans ce réseau
ADSL : Asymetric Digital Subscriber Line
Ligne d'abonné numérique à débit asymétrique.
Technologie permettant de transporter des données numériques sur une ligne téléphonique classique et
d'atteindre des débits de plusieurs centaines de Kbit/s. Les données sont transportées en employant un
signal à fréquence très élevée. Ce signal ne vient pas empiéter sur les fréquences utilisées pour
transmettre la voix et laisse la ligne téléphonique libre pour un appel en même temps que le transfert de
données. Les débits sont dits asymétriques, parce qu'il n'y a pas d'équivalence entre la vitesse de la
transmission réseau/abonné et celle de la transmission abonné/réseau.
FRAME RELAY : (Relais de trames) Aménagement du protocole de réseau à commutation de paquets
X.25 visant à augmenter au maximum le débit sur ces réseaux
La commutation de paquets est une technique pour la transmission de données sur un réseau . Le
protocole X.25, de l' UIT-T , a normalisé les différents aspects de cette technique et a servi à bâtir le
premier réseau français spécialisé dans la transmission de données, Transpac. Il offre un débit allant
jusqu'à 2 Mbit/s.
Ce débit est peu élevé au regard des applications de ces dernières années, notamment parce que les
contrôles d'erreur et de flux sont très rigoureux avec X.25 et font baisser le débit effectif.
Le relais de trames (frame relay) a permis de pousser ces débits jusqu'à 45 Mbit/s en plaçant les paquets
X.25 dans des trames et en réduisant le nombre de contrôles, la qualité des liaisons étant supposée
suffisante pour que cela n'entraîne pas trop de demandes de renvoi de paquets.
Cette technologie est désormais dépassée par la technologie ATM.
SDSL : Symetric Digital Subscriber Line
Ligne d'abonné numérique à débit symétrique.
Technologie de transmission permettant d'atteindre des débits compris entre 144 Kbit/s et 1,5 Mbit/s.
Les échanges s'effectuent sur une paire de cuivre mais ne peuvent avoir lieu en même temps qu'un appel
téléphonique. SDSL est réservée aux transmissions sur de courtes distances où les échanges doivent
avoir lieu à la même vitesse dans les deux sens.
LL :
Liaison Louée
La liaison louée est une liaison permanente de télécommunication utilisant le réseau public. Elle permet
de connecter 2 sites géographiquement distants afin d’échanger des données. C’est le cas, par exemple,
des entreprises multi-sites telles que l’ANPE qui connectent le siège à leurs agences.
MPLS :Multi-Protocol Label Switching
MPLS associe la flexibilité de la communication offerte sur le RTPC (réseau Téléphonique Public
Commuté) ou Internet à la fiabilité, la qualité et la sécurité des services fournis sur ligne privée, Frame
Relay ou ATM. Cette technologie permet de construire sur un réseau un chemin balisé entre un point de
départ et une destination.
Elle se fonde sur l’étiquetage par « label » de chaque paquet qui entre dans un réseau et qui va
progresser le long du chemin, appelé « LSP » (Label Switched Path : chemin commuté par étiquette),
par commutation des labels. Cette technique, appelée « tagging ».
VPN : Virtual Private Network
Les réseaux privés virtuels (VPN : Virtual Private Network) permettent à l'utilisateur de créer un chemin
virtuel sécurisé entre une source et une destination. Grâce à un principe de tunnel (tunnelling) dont
chaque extrémité est identifiée, les données transitent après avoir été chiffrées. Un des grands intérêts
des VPN est de réaliser des réseaux privés à moindre coût.
Les principaux protocoles permettant de faire du « tunneling » sont les suivants :
•
PPTP (Point-to-Point Tunneling Protocol) est un protocole de niveau 2 développé par Microsoft,
3Com, Ascend, US Robotics et ECI Telematics.
50
•
•
L2F (Layer Two Forwarding) est un protocole de niveau 2 développé par Cisco, Northern Telecom
et Shiva. Il est désormais quasi-obsolète.
L2TP (Layer Two Tunneling Protocol) est l'aboutissement des travaux de l'IETF (RFC 2661) pour
faire converger les fonctionnalités de PPTP et L2F. Il s'agit ainsi d'un protocole de niveau 2
s'appuyant sur PPP.
IPSec est un protocole de niveau 3, issu des travaux de l'IETF, permettant de transporter des données chiffrées
pour les réseaux IP.
PROTOCLE OSPF : Open Shortest Path First (RFC 2328)
Ce protocole est plus performant que RIP et commence donc à le remplacer petit à petit. Il s'agit d'un protocole
de type protocole route-link (Protocole d'état des liens), cela signifie que, contrairement à RIP, ce protocole
n'envoie pas aux routeurs adjacents le nombre de sauts qui les sépare, mais l'état de la liaison qui les sépare. De
cette façon, chaque routeur est capable de dresser une carte de l'état du réseau et peut par conséquent choisir à
tout moment la route la plus appropriée pour un message donné.
De plus, ce protocole évite aux routeurs intermédiaires d'avoir à incrémenter le nombre de sauts, ce qui se
traduit par une information beaucoup moins abondante, donc d'avoir une meilleure bande passante utile qu'avec
RIP.
Ce protocole de routage interne est utilisé entre les switchs et les routeurs du réseau déployé. Il permet
notamment de calculer le plus court chemin à emprunter, ce qui représente un gain de temps dans les
transmissions ; il permet aussi, lorsque l’on possède des liens redondants, de router vers un autre chemin si le
principal cède.
LAG (802.3ad) : Link Aggregation Groups (trunking) Agrégation de liens
Les modèles de switch/routeur de l’ANPE, AVAYA P333T et P333R, dispose d’un réseau de commutation à
quatre Gbps, de 24 ports 10/100 et d’un support LAG allant jusqu’à huit ports 10/100, deux ports 100 Base-FX
ou deux ports Gigabit Ethernet ;
Le LAG a deux principaux avantages :
-
Etablir des liens hauts débits entre équipements : les switchs disposent de ports pouvant débiter jusqu’à 100
Mb/s ; en créant un LAG, c’est à dire un même matériel que l’on relie au moyen de deux câbles ou plus, on
obtient alors une bande passante de 200 Mb/s (2 x 100 Mb/s).
-
Impact : réduction des coûts inutiles dans des modules Gbits.
Créer une redondance matérielle : si l’un des deux liens tombe, le second assure la connexion mais avec une
bande passante qui correspond à celle d’un seul câble : 100 Mb/s.
51
Schéma de principe du LAG
Commandes à effectuer sur le switch AVAYA p330T pour activer le LAG dans le mode « config » :
Set port channel 1/1 on nom_du_lag
Set port channel 1/2 on nom_du_lag
affectation du LAG à un port
affectation du LAG à un port
Commandes à effectuer sur le switch AVAYA p580T pour activer le LAG dans le mode « config » :
Set huntgroup nom_lag load sharing enable
Set port huntgroup 2/1 nom_lag
Set port huntgroup 2/2 nom_lag
activation d’un LAG
affectation du LAG à un port
affectation du LAG à un port
52
Le Tagging
Le trunking, plus communément appelé « tagging », permet d’acheminer du trafic provenant de différents
VLANs sur une liaison point à point entre deux éléments actifs du réseau : les paquets sont marqués afin d’être
reconnu par leur destinataire : ici on peut remarquer trois VLANs différents représentés par les couleurs verte,
rouge et bleue.
Commandes à effectuer sur le switch AVAYA p330T pour activer le tagging dans le mode « config ».
On considère que les VLANs sont déjà définis dans la configuration.
Set trunk 1/1 dot1q
Set port vlan-binding-mode 1/1 bind-to-configured
activation du tagging
définition du port «porteur»
Commandes à effectuer sur le switch AVAYA p580 pour activer le tagging dans le mode « config » :
Set port trunking-format 1/1 ieee-8021q
tagging sur le port 1/1
indique le chemin des paquets à destination des VLANs 1, 2 et 3
53
Le protocole VRRP (RFC 2338)
VRRP : Virtual Router Redundancy Protocol
Ce protocole permet à plusieurs routeurs (256 au maximum) sur un même réseau local de se secourir
mutuellement. Si ce dernier tombe en panne, les autres prennent le relais. Ce protocole fonctionne sous un
principe « maître-esclave »
Par exemple, si l’on utilise ce protocole avec deux routeurs :
Les deux machines partagent une même adresse IP virtuelle et également une même adresse MAC. Plus
précisément, seul le routeur actif possède ses adresses. L’adresse MAC appelée « VRID », peut être configurée
manuellement et est commune aux deux machines. Grâce à ce protocole, un routeur peut secourir plusieurs
routeurs à la fois.
A un instant donné, seule une machine répond à l’adresse IP virtuelle et à l’adresse MAC (c’est le maître),
l’autre restant en sommeil (c’est l’esclave ou backup). La machine active émet toutes les secondes un
« datagramme multicast » pour indiquer à l’autre qu’elle est toujours vivante :
Lorsque la machine active défaille, les paquets multicast ne sont plus émis :
La seconde machine qui était en sommeil va alors détecter l’absence des paquets VRRP et s’approprie alors à
son tour l’adresse IP virtuelle et l’adresse MAC. Un paquet ARP est alors envoyé pour forcer les machines du
réseau local à faire une mise à jour de leur table ARP : ceci permet aux machines du réseau local de continuer à
pouvoir dialoguer avec le routeur 2 ( 10.0.10.2 ).
La nouvelle machine active émet ensuite, à son tour les paquets VVRP multicast.
Une spécification de VRRP stipule que la reprise, en cas de défaillance, se fait en moins de quatre secondes.
54
VII. Conclusion
Ce stage m’a permis d’être au cœur d’un département stratégique : le DRT.
Au cours de cette période j’ai pu appréhender les difficultés à superviser, administrer et maintenir un
réseau à la pointe des nouvelles technologies. J'ai été confronté à des mises en situation qui
demandaient une très grande réactivité et une réflexion pour déterminer l’impact provoqué par des
incidents critiques, majeurs et mineurs.
L’équipe Support niveau 3 m’a permis de me familiariser avec les outils indispensables à la
supervision et l’administration réseau (Proxy, Firewall, routeurs, switchs, outils, procédures, services
client, Help Desk, consoles de management,…) et d’acquérir de nouvelles connaissances tant au
niveau technique qu’au niveau organisationnel Cette expérience me conforte dans ma réflexion à me
diriger vers l’ administration réseau et du parcours qu’il me reste à effectuer pour m’ approprier le
savoir.
Je garderai de mon passage à la DRT un très bon souvenir d’un point de vue technique et relationnel
au sein d’une équipe compétente et disponible que je tiens encore à remercier.
55
Glossaire
Administrer : Partie active de l’administration.
Anomalie : Ecart, déviation, dysfonctionnement constaté pour un système en fonctionnement ou un résultat
produit par rapport à ce qui est prévu.
CISI (Centre Interrégional de Services Informatique) : Centres informatiques régionaux. Ces centres sont
rattachés au CTIN par l'intermédiaire de liaison frame-relay (réseau FR.F8).
Correction : Action visant à éliminer une non-conformité.
CTIN (Centre de Traitement de l'Informatique National) : Centre informatique de l'ANPE. C'est la porte
d'entrée du SI de l'ANPE.
Défaut : Non-satisfaction d’une exigence relative à une utilisation prévue ou spécifiée.
Dérogation (avant production) : Autorisation de s’écarter des exigences spécifiées à l’origine pour un produit
avant sa réalisation.
Hub : Un hub est une sorte de "prise multiple" pour les connections inter-equipement. Un hub contient un
nombre certains d'interfaces (4, 8, 16, 20, ...) sur lesquelles on branche des équipements pour y accéder en
général en TCP (telnet, ftp, http...). Le principe du hub est d'envoyer sur chaque interface toutes les informations
qui arrivent, sans filtre ni aucun autre test. La majorité des hubs sont équipés d'un port qui peut être inversé dans
le cas ou l'on doit brancher un câble droit, alors qu'il faudrait un câble croisé. Les hubs sont également utilisés
pour dupliquer des prises, tels que les hubs USB pour brancher plusieurs périphériques USB (par exemple un
modem, une souris, une webcam et un scanner).
Interface : Une interface est le nom donnée aux prises réseau. Sur une interface, on peut mettre une adresse IP
physique, et en général configurée également, si nécessaire, des adresses IP virtuelle. Ainsi, une machine peut
répondre sur plusieurs adresses IP différentes, alors qu'il ne s'agit que d'un seul et unique branchement physique,
que d'une seule interface.
Logigramme : Représentation symbolique usuellement utilisée pour illustrer le flux des actions d’une
procédure.
Non conformité : Non satisfaction d’une exigence.
Procédure : (D’après la définition de la Norme ISO 8402)
“Manière spécifiée d’accomplir une activité : CE qui doit être fait et QUI doit le faire ; QUAND, OU et
COMMENT Cela doit être fait et COMMENT cela doit être enregistré”.
Processus : Ensemble d’activités corrélées ou interactives qui transforme des éléments d’entrée en éléments de
sortie.
Produit : Résultat de la réalisation d’un processus.
RLQ (Responsable Local Qualité) : Responsable de l’application dans leur entité de la politique qualité de la
RQ (Responsable Qualité) : Responsable de la qualité à de la DSI.
DSI, en accord avec sa hiérarchie.
Routeur : Un routeur permet de définir une route pour une connexion grâce à la table de routage. La
comparaison peut donc se faire avec un trajet en voiture. Si vous voulez aller de Rennes à Paris, entre les 2,
vous suivrez toujours le panneau Paris, même si vous êtes passé par Laval et Le Mans. Le routeur correspond en
fait au panneau indicateur qui se trouverait au Mans. Ce panneau dit : vous venez de Rennes, vous voulez aller à
Paris, voilà par où aller. La table de routage est un ensemble d'adresse IP et de destination (en général, la
commande "netstat -nr" permet de consulter cette table).
Service : Ensemble de produits pour répondre à une exigence formulée. La première catégorie générique de
produits correspond aux services (par exemple transport de l’information).
Surveiller : Supervision passive de l’administration.
Switch : Un switch est un hub amélioré, c'est à dire qu'au lieu d'envoyer les flux à travers toutes les interfaces, il
ne l'envoi qu'à l'interface destination. Donc, un Switch sur lequel 5 serveurs seraient connectés, si l'un décide de
communiquer avec un autre, la communication ne se fera qu'entre les 2, sinon, tous les serveurs auraient reçu la
demande de connexion. Le Switch peut également limiter des connexions en interdisant des connexions entre 2
machines. Par exemple, si vous essayer d'accéder à un serveur, il va d'abord vérifier si votre adresse source à le
droit d'y accéder. C'est ce qu'on appelle des ACL et pour une plage d'adresse, elle va vous diriger vers un autre
routeur jusqu'à ce que vous arriviez à destination. Comme le switch, le routeur peut limiter des connexions en
interdisant des communications entre 2 machines. C'est toujours ce qu'on appelle des ACL.
56
Documents connexes
Marie-Paule Horras
Marie-Paule Horras
Les politiques locales d`insertion et d`intégration
Les politiques locales d`insertion et d`intégration
G1602 Cuisinier 13212 Cuisinier
G1602 Cuisinier 13212 Cuisinier
Journée locale d`information et d`échanges sur l`emploi du bassin
Journée locale d`information et d`échanges sur l`emploi du bassin
La chance de faire de l`éducatif aujourd`hui
La chance de faire de l`éducatif aujourd`hui
(aller + verbe à l`infinitif) Je vais Tu vas Il/elle/on va Nous allons
(aller + verbe à l`infinitif) Je vais Tu vas Il/elle/on va Nous allons
Quelques définitions La fonction d`usage : Un objet technique, à
Quelques définitions La fonction d`usage : Un objet technique, à
La législation, des droits de préemption
La législation, des droits de préemption
Modèle de lettre : Réunions : Annoncer une réunion d
Modèle de lettre : Réunions : Annoncer une réunion d
Modèle de lettre : Responsable vente marketing
Modèle de lettre : Responsable vente marketing
Téléchargement
publicité