PPE 3.1 Stadium Company Résumé de l'organisation Sommaire : I / Contexte ………………………………………………………………………………………………………………………1 II/ Cahier des Charges……………………………………………………………………………………………………….4 III/ Solutions……………………………………………………………………………………………………………………..6 a) Test et comparaison des solutions……………………………………………………………………………………………….6 b) Choix des solutions……………………………………………………………………………………………………………………..8 IV/ Projet…………………………………………………………………………………………………………………………..8 a) Objectifs………………………………………………………………………………………………………………………………………8 b) Phases………………………………………………………………………………………………………………………………………...9 V/ Conclusion……………………………………………………………………………………………………………………10 VI/ Annexes………………………………………………………………………………………………………………………10 I) Contexte STADIUM COMPANY Stadium Company est une société qui gère un grand stade. Elle gère deux équipes à temps plein et une équipe visiteuse lors des jours de matchs. Stadium Company fournit l'infrastructure réseau et les installations sur le stade. Elle emploie 170 personnes à temps plein : → 35 dirigeants et responsables → 135 employés De plus, elle emploie 80 intérimaires qui sont engagés en fonction des besoins que ce soit pour des événements spéciaux ou autre. Tous les dirigeants et responsables de Stadium Company utilisent des PC et des téléphones qui sont connectés à un PABX vocal numérique. A l'exception des préposés au terrain à temps plein et des gardiens tout les salariés utilisent des PC et des téléphones. Après quelques réunions Stadium Company charge l'entreprise Synapse Informatique qui est une société locale spécialisée dans la conception réseau et le conseil. Cette société est une société partenaire CISCO Premier Partner. Elle emploie plusieurs ingénieurs réseaux qui disposent de diverses certifications et d'une grande expérience dans ce secteur. → Restaurant 4 bureaux privés et un bureau 6 PC 8 téléphones → Bureaux administratifs 170 employés 1 → Concession permanente Aucun PC ni téléphone → Bureau des fournisseurs de concessions 5 employés 2 bureaux privés et 2 bureaux partagés 5 PC 7 téléphones → loge de luxe 20 loges 20 téléphones → Bureau de l'équipe A 15 bureaux dont 5 partagés 24 PC 28 téléphones Vestiaire avec 5 téléphones Salon avec 15 téléphones → Bureau de l'équipe B 12 bureaux dont 3 partagés 19 PC 22 téléphones 1 vestiaire (5 téléphones) et un grand salon (15 téléphones) pour les joueurs → Zone équipe visiteuse Un vestiaire et un salon avec 10 téléphones → Zone de presse 15 téléphones 2 ports Ethernet 15-20 stations de radio → Général 50 téléphones pour la sécurité 12 téléphones analogiques 30 caméras de sécurité Nous allons organiser le stade au niveau des VLANs comme suit : Réseau local stade Vlan WIFI Vlan VOIP Vlan sécurité Vlan Restaurant Réseau local équipe Vlan Equipe Réseau local fournisseurs Vlan Fournisseurs 2 Réseau local VIP-Presse Vlan VIP + Press SYNAPSE INFORMATIQUE Synapse Informatique Miniparc Bât. 7 1006 rue de la Croix Verte 34090 MONTPELLIER FRANCE Téléphone : +33 (0)4 67 02 23 90 Fax : +33 (0)4 88 10 05 21 Tél Commercial : +33 (0)4 67 02 23 89 Chiffre d'affaire pour 2014 : 1 068 152 euros Co-Gérant Mr Octavian DOBRICEAN Co-Gérant Mr Stéphane BOURRIER Co-Gérant Mr Bertrand LEISER Chef de Projet Mr Romain BUREAU Membre Mr Victor Da RUA Membre Mr Morgan KITOTI Membre Mr Anthony MACHTING Synapse Informatique est une entreprise de prestataire de services spécialisés dans la conception de réseau et en conseil en informatique depuis 1996. Au cours de ces années, Synapse Informatique a acquis de l’expérience dans ce domaine grâce notamment à plusieurs projets réalisés comme la refonte d'un réseau informatique de la Maison des Ligue de Lorraine. 3 II/ Cahier des Charges Cette année, vous allez intégrer la division du stade de StadiumCompagny. Vous serez chargé de la maintenance des systèmes et réseaux informatiques. StadiumCompagny est composé de plusieurs sites : Site 1 : Stade (hébergement informatique, siège social et centre administratif) Site 2 : Billetterie (vente des billets) Site 3 : Magasin (vente des souvenirs) Les différentes solutions retenues pour l’étude du projet d’un point de vue général de StadiumCampagny pourront faire l’objet de documentations techniques suivant la complexité de la mise en œuvre. Mission 1 Vous intégrez le service informatique du centre administratif de stade. Sur ce site sont effectuées toutes les opérations concernant la gestion du personnel, et l’administration du stade. On y trouve 7 grands services : Service Administration (170 personnes) Service Equipes (164 personnes) Service ViFi (100 personnes) Service Caméra IP (80 caméras) Service VIP-Presse (80 personnes) Service Fournisseurs (44 personnes) Service Restaurant (14 personnes) Le réseau de StadiumCompagny doit comporter plusieurs périmètres de sécurité Adressage réseau et attribution de noms faciles à mettre à niveau : 172.20.0.0/22 Un système de cloisonnement du réseau devra être testé. Les commutateurs devront être facilement administrables afin de propager les configurations rapidement et aisément Solution permettant l’interconnexion des différents sites (stade, billetterie et magasin) Les différents commutateurs ainsi que le routeur doivent disposer de réglages de base homogènes. La solution doit se faire avec les équipements réseau CISCO. Mission 2 Le StadiumCompagny possède le nom de domaine StadiumCompagny.com Les principaux serveurs sont hébergés au stade au centre d'hébergement informatique. Selon les cas, certains services sont répliqués sur les sites eux-mêmes. Par exemple, les services d'annuaire Active Directory sont généralement répliqués sur le site de stade. Le réseau de magasin et le réseau de billetterie sont tous composés de la même manière : X Postes pour les employés Le site de stade dispose d'un service Active Directory, d'un service DHCP, et d'un DNS primaire sur une machine sous Windows 2012 Server. Celle-ci permet aussi le stockage des fichiers utilisateurs. Un serveur RSync et DNS Secondaire sous Linux Debian. 4 Annuaire du site de stade : Les utilisateurs sont authentifiés via le serveur Active Directory du domaine Stadiumcompagny.com. Il est configuré en regroupant les utilisateurs par service. Les UO suivantes sont présentes sur le serveur : Admin, WiFi, … Chaque UO contient les utilisateurs du service concerné, un groupe d'utilisateurs dont le nom est au format G_xxxx où xxxx=le nom du service, un groupe regroupant les utilisateurs avec pouvoir du service GP_Admin (directeurs et responsables notamment) et une GPO permettant de d'imposer des contraintes d'utilisation et d'habilitations sur les machines du réseau. Les utilisateurs ont des logins construits sur la base suivante - pnom – p=première lettre du prénom et nom=nom de famille. S’il y a homonymie un chiffre de 1 à 10 sera ajouté. Chaque utilisateur possède un dossier personnel et un profil centralisé. Une stratégie de complexité des mots de passe est définie au niveau domaine. DNS : Les serveurs DNS sont configurés pour résoudre la zone directe stadiumcompagny.local et la zone inverse du 172.20.0.x/24 Le serveur primaire est hébergé sur une machine Windows 2012 Server et le DNS secondaire sur une Linux Debian. DHCP : Une plage est définie sur le 172.20.0.x/24 avec des options de routeur renvoyant vers la passerelle/pare-feu IPCOP. Les serveurs DNS sont aussi transmis via les options DHCP Mission 3 Solution permettant l’administration à distance sécurisées et la sécurisation des interconnexions • La sécurité du système d’information devra être renforcée entre les différents sites • Sécurisation des interconnexions entre le site du stade et les sites distants Billetterie et Magasin. • La solution retenue devra être administrable à distance via un accès sécurisé par SSH Mission 4 Solution permettant la redondance des services, la tolérance de panne et l’équilibrage des charges des éléments d’interconnexions de niveau 2 et 3 • La durée de l’interruption de service doit être minimale • Solution permettant d’améliorer la continuité de service des services existants en cas de panne de Commutateurs et liaisons d’accès (FAI) • Agrégation des liens entre les commutateurs et augmentation de la bande passante. 5 III/ Solutions a)Test et comparaison des solutions Adressage : La division en sous-réseaux vous permet de créer plusieurs réseaux logiques qui existent sur un seul réseau de classe A, B ou C. Si vous n'effectuez pas de division en sous-réseaux, vous pouvez seulement utiliser un réseau de votre réseau de classe A, B ou C, ce qui est peu réaliste. Chaque liaison de données sur un réseau doit avoir un seul ID réseau, chaque nœud sur cette liaison étant un membre du même réseau. Si vous décomposez un réseau majeur (classe A, B ou C) en sous-réseaux plus petits, vous pouvez créer un réseau de sous-réseaux d'interconnexion. Chaque liaison de données sur ce réseau aurait alors un seul ID réseau/sous-réseau. Tout périphérique, ou toute passerelle, qui se connecte à n réseaux/sous-réseaux à n adresses IP distinctes, une pour chaque réseau/sous-réseau d'interconnexion. Avantages de la technique VLSM : - Utilisation efficace de l’espace d’adressage. - Utilisation de plusieurs longueurs de masque de sous-réseau. - Division d’un bloc d’adresses en blocs plus petits. - Prise en charge des résumés du routage. - Plus grande souplesse de conception de réseau. - Prise en charge des réseaux d’entreprise hiérarchiques. VLAN : Un VLAN (Virtual Local Area Network) est un réseau local regroupant un ensemble de machines de façon logique et non physique. De nombreux VLAN peuvent coexister sur un même switch En effet, dans un réseau local la communication entre les différentes machines est régie par l'architecture physique. Il existe trois types de VLAN : -Un VLAN de niveau 1 qui définit un réseau virtuel en fonction des ports de raccordement sur le commutateur. -Un VLAN de niveau 2 qui consiste à définir un réseau virtuel en fonction des adresses MAC des stations. Ce type de VLAN est beaucoup plus souple que le -VLAN par port car le réseau est indépendant de la localisation de la station. -VLAN de niveau 3 : même principe que pour les VLAN de niveau 2 sauf que l'on indique les adresses IP (ou une plage d'IP) qui appartiendront à tel ou tel VLAN. Les VLANs présentent des intérêts : - Gestion du réseau amélioré, - Amélioration de la bande passante - Séparation des flux - Plus de sécurité : permet de créer un ensemble logique isolé pour améliorer la sécurité. - Le seul moyen pour communiquer entre des machines appartenant à des VLAN différents est alors de passer par un routeur. 6 Routage : Il existe 3 types de routage : Routage statique : Ajouter une route manuellement dans la table de routage par l’administrateur : Réseaux de destination => masque => prochain saut Routage dynamique : Il existe deux types de routage dynamique, l’ajout de routes se fait automatiquement. Il y a le RIP v1, le RIP v2, OSPF et EIRGP. RIP v1 : Il diffuse intégralement sa table de routage à tous les routeurs voisins à intervalle régulier. Il peut envoyer sa table jusqu’à 15 saut (1 saut = 1 routeur). Il a cependant quelques défauts comme : Il n’envoie pas d’informations sur les masques de sous-réseau dans ses mises à jour. Il envoie des mises à jour sous forme de broadcasts sur 255.255.255.255. Il ne prend pas l’authentification en charge. Il ne prend en charge ni VLSM, ni le routage CIDR (Classless Interdomain Routing). RIP v2 : Il reprend le même système que le RIP v1 mais il peut router avec les CIDR ce qui lui permet d’envoyer les informations de routage sur le même réseau mais avec des masques différents. De plus il envoie ses mise à jour de table de routage non plus sur 255.255.255.255 mais sur une adresse de classe D spécifique qui est 224.0.0.9 ce qui génère beaucoup moins de trafic sur la bande passante. OSPF : Le protocole OSPF est un protocole de routage à état de lien. Il a le même objectif que les algorithmes à vecteur distance (RIP v1 et RIP v2) : Obtenir une table de routage avec les meilleures routes Converger au plus vite vers une table de routage optimale Attention : les sens de meilleur et optimal dépendent de la métrique. Le déroulement complet d'OSPF est le suivant : - Chaque routeur découvre son voisinage et conserve une liste de tous ses voisins - Utilise un protocole fiable pour échanger les informations topologiques avec ses voisins - Stocke les informations topologiques apprises dans leur base de données - Exécute l'algorithme SPF pour calculer les meilleures routes - Place ensuite la meilleure route vers chaque sous-réseau dans sa table de routage Chaque routeur possède : 7 - Une table de ses voisins, appelé Neighboor table - Une base de données de la topologie du réseau, appelé Topology database - Une table de routage, appelé Routing table EIRGP : EIGRP est une version avancée d'IGRP. Il onverge plus vite qu'IGRP. EIGRP envoie d'abord toutes ses informations de routage à un voisin et ensuite seulement des mises à jour. EIGRP envoie régulièrement (toutes les 90 s.) la totalité de sa table de routage. b) Choix des solutions Adressage : Nous avons choisi de prendre un découpage avec plusieurs VLANs, ce découpage va apporter une sécurité accrue par rapport un réseau normal et il sera administrable bien plus facilement. Routage : Pour le réseau de StadiumCompany nous allons opter pour un routage dynamique en RIP v2. Le routage statique est compliqué à mettre en œuvre et est plus compliqué à administrer. IV/ Projet a) Objectifs Nous allons créer des VLANs sur les deux switchs (Billetterie + Stade) et ensuite configurer les deux routeurs (Stade + Billetterie). b) Phases Phase 1 : Adressage + VLSM : Tableau adressage Stade : Services VLAN Nbre Adresses Administration Equipes Wifi Caméra-Ip VIP + Presse Restauration Fournisseur Trunk 10 20 200 100 30 40 50 x 170 164 100 92 47 20 12 x Réseaux/MSR 1er Adresse Dernière Adresse 172.20.0.0/24 172.20.0.1 172.20.0.254 172.20.1.0/24 172.20.1.1 172.20.1.254 172.20.2.0/25 172.20.2.1 172.20.2.126 172.20.2.128/25 172.20.2.129 172.20.2.254 172.20.3.0/26 172.20.3.1 172.20.3.62 172.20.3.64/27 172.20.3.65 172.20.3.94 172.20.3.96/28 172.20.3.97 172.20.3.110 x x x Adresse Broadcast Affectation Ports 172.20.0.255 172.20.1.255 172.20.2.127 172.20.2.255 172.20.3.63 172.20.3.95 172.20.3.111 x [1 -> 5] [6 -> 8] [9 -> 10] [11 -> 12] [13 -> 14] [15 -> 16] [17 -> 18] [19 ->20] 8 VLAN 1 1 x x x x x [21 -> 24] Interfaces logiques sur le routeur R-Stade : Services Administration Equipes Wifi Caméra-Ip VIP + Presse Restauration Fournisseur SD1 Réseau/MSR 172.20.0.0/24 172.20.1.0/24 172.20.2.0/25 172.20.2.128/25 172.20.3.0/26 172.20.3.64/27 172.20.3.96/28 200.200.1.0/30 VLAN ID 10 20 200 100 30 40 50 X Gateway 172.20.0.1 172.20.1.1 172.20.2.1 172.20.2.129 172.20.3.1 172.20.3.65 172.20.3.97 200.200.1.2 Interface fa 0/0.10 fa 0/0.20 fa 0/0.200 fa 0/0.100 fa 0/0.30 fa 0/0.40 fa 0/0.50 fa 0/1 SD2 200.200.2.0/30 X 200.200.2.2 fa 0/2 Interfaces logiques sur le routeur R-SD1 : Services Billetterie R-Stade Interface fa 0/0 fa 0/1 Resaux/MSR 192.168.1.0/24 200.200.1.0/30 Gateway 192.168.1.1 200.200.1.1 Resaux/MSR 192.168.1.0/24 200.200.2.0/30 192.168.1.1 200.200.2.1 Interfaces logiques sur le routeur R-SD2 : Services Billetterie R-Stade Interface fa 0/0 fa 0/1 Gateway Phase 2 : Commandes sur les Switchs : VTP : Protocole VTP : Switch-Billetterie(config)#vtp domain StadiumCompany.com Switch-Billetterie(config)#vtp password class Switch-Billetterie(config)#vtp version 2 Switch-Billetterie(config)#vtp mode server Switch-Stade(config)#vtp domain StadiumCompany.com Switch-Stade(config)#vtp password class Switch-Stade(config)#vtp version 2 Switch-Stade(config)#vtp mode client Création des VLANs : 9 Routage RIP v2 : V/Conclusion Avec toutes les données que nous avons pu récolter, nous pouvons dire que les équipements sont interconnectés entre eux et se répondent mutuellement. La base de la sécurité et du réseau de Stadium Company est maintenant en place. VI/Annexes (documentations) Running Config sur les Routeurs et Switchs : R-STADE R-STADE#sh run Building configuration... Current configuration : 1422 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-STADE ! boot-start-marker boot-end-marker ! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! 10 ! archive log config hidekeys ! ! ! ! ! ! ! ! interface FastEthernet0/0 no ip address duplex auto speed auto ! interface FastEthernet0/0.10 encapsulation dot1Q 10 ip address 172.20.0.1 255.255.255.0 ! interface FastEthernet0/0.20 encapsulation dot1Q 20 ip address 172.20.1.1 255.255.255.0 ! interface FastEthernet0/0.30 encapsulation dot1Q 30 ip address 172.20.3.1 255.255.255.192 ! interface FastEthernet0/0.40 encapsulation dot1Q 40 ip address 172.20.3.65 255.255.255.224 ! interface FastEthernet0/0.50 encapsulation dot1Q 50 ip address 172.20.3.97 255.255.255.240 ! interface FastEthernet0/0.100 encapsulation dot1Q 100 ip address 172.20.2.129 255.255.255.128 ! interface FastEthernet0/0.200 encapsulation dot1Q 200 ip address 172.20.2.1 255.255.255.128 ! interface FastEthernet0/1 ip address 200.200.1.1 255.255.255.252 duplex auto speed auto 11 ! ip forward-protocol nd ip route 192.168.1.0 255.255.255.0 200.200.1.2 no ip http server no ip http secure-server ! ! ! ! ! ! ! ! control-plane ! ! line con 0 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end R-SD1 R-SD1#sh run Building configuration... Current configuration : 780 bytes ! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname R-SD1 ! boot-start-marker boot-end-marker ! logging message-counter syslog ! no aaa new-model ! dot11 syslog ip source-route ! 12 ! ip cef ! ! ! multilink bundle-name authenticated ! ! ! ! ! ! archive log config hidekeys ! ! ! ! ! ! ! ! interface FastEthernet0/0 ip address 192.168.1.1 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 200.200.1.2 255.255.255.252 duplex auto speed auto ! ip forward-protocol nd ip route 172.20.0.0 255.255.252.0 200.200.1.1 no ip http server no ip http secure-server ! ! ! ! ! ! ! ! control-plane ! ! line con 0 13 line aux 0 line vty 0 4 login ! scheduler allocate 20000 1000 end Switch-Stade Switch-Stade >en Switch-Stade #sh run Building configuration... Current configuration : 1383 bytes ! version 12.2 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname SW1 ! ! no aaa new-model system mtu routing 1500 ip subnet-zero ! ! ! ! no file verify auto spanning-tree mode pvst spanning-tree extend system-id ! vlan internal allocation policy ascending ! interface FastEthernet0/1 switchport access vlan 10 switchport mode access ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 14 ! interface FastEthernet0/6 switchport access vlan 20 switchport mode access ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 switchport mode trunk ! interface FastEthernet0/20 switchport mode trunk ! interface FastEthernet0/21 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address 15 no ip route-cache shutdown ! ip default-gateway 172.20.1.1 ip http server ! control-plane ! ! line con 0 line vty 5 15 ! end Switch-Billetterie Switch-Billetterie#sh run Building configuration... Current configuration : 1402 bytes ! version 12.2 no service pad service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname SW2 ! boot-start-marker boot-end-marker ! ! ! ! no aaa new-model system mtu routing 1500 authentication mac-move permit ip subnet-zero ! ! ! ! ! ! ! ! spanning-tree mode pvst 16 spanning-tree etherchannel guard misconfig spanning-tree extend system-id ! vlan internal allocation policy ascending ! ! ! interface FastEthernet0/1 ! interface FastEthernet0/2 ! interface FastEthernet0/3 ! interface FastEthernet0/4 ! interface FastEthernet0/5 ! interface FastEthernet0/6 ! interface FastEthernet0/7 ! interface FastEthernet0/8 ! interface FastEthernet0/9 ! interface FastEthernet0/10 ! interface FastEthernet0/11 ! interface FastEthernet0/12 ! interface FastEthernet0/13 ! interface FastEthernet0/14 ! interface FastEthernet0/15 ! interface FastEthernet0/16 ! interface FastEthernet0/17 ! interface FastEthernet0/18 ! interface FastEthernet0/19 switchport mode trunk ! interface FastEthernet0/20 ! interface FastEthernet0/21 17 ! interface FastEthernet0/22 ! interface FastEthernet0/23 ! interface FastEthernet0/24 ! interface GigabitEthernet0/1 ! interface GigabitEthernet0/2 ! interface Vlan1 no ip address no ip route-cache ! ip default-gateway 172.20.1.1 ip http server ip http secure-server ip sla enable reaction-alerts ! line con 0 line vty 5 15 ! end 18