Interconnexion des sites · La DSI souhaite profiter de cette interconnexion des 3 sites pour...

GROUPE 1A – NANTES

Interconnexion des sites d’APC et supervision

Interconnecter les sites d’APC en utilisant un VPN/IPSec et superviser l’ensemble

ESPADA Alexandre, GIROD Patrick, CHARLES Jean-Michel, COUPPEY Julia

18/12/2014

PPE 4 Nantes ConnectCorp

2

PPE 4 : Interconnexion des sites d’APC et

supervision

Sommaire

1. SUJET ....................................................................................................................................................... 3

2. TABLEAU DE GANT ................................................................................................................................... 4

3. LES SOLUTIONS D’INTERCONNEXION ....................................................................................................... 5

4. VPN .......................................................................................................................................................... 6

5. MPLS ........................................................................................................................................................ 8

6. TABLEAU COMPARATIF DES SOLUTIONS ................................................................................................ 10

7. ARCHITECTURE ...................................................................................................................................... 11

8. INSTALLATION DU SERVEUR DE SUPERVISION ....................................................................................... 12

9. TEST DU VPN .......................................................................................................................................... 14

10. INSTALLATION DU VPN IPSEC ................................................................................................................ 16


3

1. Sujet

1.1. Objectif(s)

Dans un but d’uniformisation du Système d’Information (S.I.) d’APC et de réduction de la multiplication des applications métiers, la DSI a décidé d’interconnecter les 3 sites d’APC pour en former qu’un seul réseau logique ce qui permettra une rationalisation de la gestion des ressources informatiques partagées. Dans l’objectif d’assurer une continuité de service, la DSI du groupe souhaite superviser son infrastructure système et réseau.

1.2. Expression des besoins

Jusqu’à maintenant, les échanges d’informations se font uniquement par mail. Le système de gestion de l’entreprise est installé à l’identique sur les trois sites sans aucune synchronisation. Ce qui engendre des données non cohérentes. Cette situation gène les dirigeants dans la prise de décision lors de la gestion des projets. Vous êtes invités à participer à un projet d’unification du SI en interconnectant les 3 sites d’APC en formant un seul réseau logique et un seul système de gestion d’entreprise qui sera installé au siège.

La DSI souhaite profiter de cette interconnexion des 3 sites pour installer un système de supervision centralisé au siège.

Direction

de Lyon

Site de

Grenoble Site de

Casablanca

Site de

Nantes

s


4

2. Tableau de Gant

Tableau de Gant

Temps en heures

Date Séance 1

28/11/2014 Séance 2

04/12/2014 Séance 3

11/12/2014 Séance 4

18/12/2014 Membre 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18

Explication du projet

Etude de la solution Ligne Spécialisée

Patrick

Etude de la solution VPN

Alex

Etude de la solution MPLS

Julia

Etude interfaces WAN

J-M

Architecture J-M

Comparatif des solutions

Test du VPN

J-M Julia

Mise en place du VPN

Installation Serveur de Supervision

Ajout des éléments à superviser

Alex

Test de la supervision

Documen-tation


5

3. Les Solutions d’interconnexion

3.1. Ligne Spécialisée Une ligne spécialisée est une liaison physique exclusive entre deux sites ou bâtiments distants. Sa mise en place et son exploitation sont assurées par un opérateur de télécommunication.

3.1.1. Avantages :

- Haute sécurité dû à l’exclusivité point-à-point de la liaison

- Un accès rapide permanent non limité en temps de communication.

- Une vitesse de transmission symétrique dans le sens transmission et réception, qui est adapté aux besoins de l'entreprise (transmission de mail, transmission de fichiers).

- Une disponibilité garantie, les communications étant totalement indépendantes du trafic téléphonique.

- Une facturation forfaitaire indépendante du volume et de la durée de vos transmissions de données ou d'appels téléphoniques.

- Généralement garantie d’intervention rapide en cas de panne

3.1.2. Inconvénients :

- Le débit proposé par ce service est en général très bas. Les débits offerts vont du moyen débit (2,4 Kbits/s à 48 Kbits/s) au plus haut débit (128 à 2048Kbits/s).

- Le coût de ce service est très élevé. Il faut compter environ 2000€ pour l'installation de la LS. Il faut de plus rajouter le forfait mensuel qui est fonction de la distance entre les deux bouts de la LS et du type de LS installé. Pour avoir un ordre de grandeur, une LS à 64 kbps coûte entre 600 et 1400€ d'abonnement mensuel, et les prix grimpent de façon exponentielle lorsque le débit augmente.


6

4. VPN 4.1. Fonctionnement

La connexion entre les ordinateurs est gérée de façon transparente par le logiciel de VPN, créant un tunnel

les deux sites :

Les ordinateurs connectés au VPN sont ainsi sur le même réseau local (virtuel), ce qui permet d’éviter des

restrictions sur le réseau (pare-feux, proxies).

4.2. Intérêt

4.2.1. Gestion du réseau

Un VPN permet d'accéder à des ordinateurs distants comme si l'on était physiquement sur le réseau local, on a

donc accès au réseau interne de l’entreprise.

Un VPN dispose généralement d'une passerelle permettant d'accéder à l'extérieur, ce qui permet de changer

l'adresse IP source de ses connexions, rendant plus difficile l'identification de l'ordinateur émetteur.

Cependant, l'infrastructure de VPN dispose d’éléments d’informations permettant de déterminer les actions

réalisées par les machines présentes au sein du réseau. Cela permet aussi de changer l'identification

géographique d'un utilisateur, pour accéder à des services disponible uniquement sur site.

L’utilisation d’un VPN est connue pour simplifier la configuration de routeurs.

En effet, cela permet que les nœuds du réseau qui doivent se parler soient tous sur le même réseau virtuel, et

ce quelle que soit la topologie physique existante.

4.2.2. Chiffrement

Les connexions VPN ne sont pas nécessairement chiffrées. Cependant il est possible que des éléments sur le

réseau puissent accéder au trafic du VPN, ce qui peut être dangereux dans le cadre d’échange de données

sensibles.


7

4.3. Protocoles utilisés :

Les principaux protocoles permettant de créer des VPN sont :

L2TP : (Layer Two Tunneling Protocol) il s'agit ainsi d'un protocole de niveau 2 s'appuyant sur PPTP

(recommandé pour les utilisateurs nomades).

IPsec : est un protocole de niveau 3 permettant de transporter des données chiffrées pour les réseaux IP. Il

est comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des

réseaux IP, par l'utilisation d’algorithme de sécurité cryptographiques.

SSL/TLS : offre une très bonne solution de tunnelisation. L'avantage de cette solution est de permettre

l'utilisation d'un navigateur Web comme client VPN.

OpenVPN : Bien qu'il fonctionne mieux sur un port UDP, il peut être configuré pour fonctionner sur

n'importe quel port, y compris le port TCP 443. Donc, il est impossible de dire s'il utilise la norme HTTP sur SSL,

il est donc extrêmement difficile à bloquer.

DPI : (Deep Packet Inspection) est l'activité pour un équipement d'infrastructure de réseau d'analyser le

contenu (au-delà de l'en-tête) d'un paquet réseau (paquet IP le plus souvent) de façon à en tirer des

statistiques, à filtrer ceux-ci ou à détecter des intrusions, du spam ou tout autre contenu prédéfini.


8

5. MPLS 5.1. Fonctionnement

La technologie MPLS consiste à doter les trames circulant sur le réseau d'une étiquette (label) servant à

indiquer aux routeurs le chemin que la donnée doit emprunter.

Ces chemins peuvent être établis de façon manuelle (par un administrateur) ou de façon automatique (par un

protocole de signalisation).

MPLS combine donc les principes du routage (IP) avec les principes de la commutation. Le routage du paquet se

fait à l’entrée du nuage et la commutation se fait à l’intérieur du nuage.

Dans un réseau MPLS on définit 3 types de routeurs :

CE : Customer Edge => routeur client

PE / LER : Provider Edge / Label Edge Router => point d’entrée sur le réseau MPLS

LSR : Label Switching Router => routeur de cœur de réseau

Nuage : réseau MPLS

Le routeur d'entrée reçoit le paquet labellisé, il identifie le prochain saut (LSR suivant), il met à jour le label et

l’envoie au nœud suivant.

Le label est une étiquette de 20 bits insérée dans un paquet :

Calcul : port d’entrée => @IP destination => label => port de sortie

InPort IpDest label OutPort

Eth1 82.10.234.0/16 L1 Eth4

On peut créer une étiquette en fonction de plusieurs critères :

- Selon la topologie (adresses IP)

- Selon le flux

- Selon le trafic

- Envoi au nœud suivant


9

5.2. Avantages

Production de profit

Suivi de l’´evolution d’IP

Souplesse

Neutralité vis à vis des couches adjacentes

Utilisation de l’existant

Evolutivité

Possibilité de mesures précises

5.3. Inconvénients

Manque d’homogénéité des équipements

Sous dimensionnement des routeurs MPLS

Difficulté à remplacer les réseaux existants

5.4. Prix

Liaison à 2Mb/s, symétrique, entre 2 sites, chez Orange : environ 1000euros TTC par mois

Accès au réseau

Qualité de service minimale

Accès secouru

Services supplémentaires en option

Augmentation de débit à la demande

MPLS est une technologie qui nécessite un abonnement à un Fournisseur d’Accès Internet.

Liens :

Schéma dynamique :

http://www.securite-

informatique.gouv.fr/autoformations/securite_reseaux_2/co/secu_reseau_2_CH04_UC02.html

http://igm.univ-mlv.fr/~dr/XPOSE2010/LesVPNMPLS/doc/[IR3][Xpose]-bdavenel-VPN_MPLS.pdf

http://www.securite-informatique.gouv.fr/autoformations/securite_reseaux_2/co/secu_reseau_2_CH04_UC02.html

http://www.securite-informatique.gouv.fr/autoformations/securite_reseaux_2/co/secu_reseau_2_CH04_UC02.html

http://igm.univ-mlv.fr/~dr/XPOSE2010/LesVPNMPLS/doc/%5bIR3%5d%5bXpose%5d-bdavenel-VPN_MPLS.pdf


10

6. Tableau Comparatif des Solutions

Critères Liaison spécialisée VPN MPLS

Fonctionnement Liaison physique point

à point Réseau privé virtuel sur l’internet public

Réseau privé d’un FAI

Facilité d’installation Difficile à installer Très facile Très facile

Facilité de configuration

Facile à configurer Facile à configurer

Facile avec un protocole de

signalisation puis géré par l’opérateur

Débit

Très bas - moyen débit (2,4

Kbits/s à 48 Kbits/s) - haut débit (128 à

2048Kbits/s)

Jusqu’à 50Mbits/s Faible à très élevé

De 512 Kbits/s à 100 Mbits/s

Sécurité Très haute

Selon les besoins, les protocoles L2TP, IPsec, SSL/TLS, et OpenVPN sont bien sécurisés.

Sécurité garantie

Prix

Installation : 2000€ Forfait Mensuel : 256Kbits/s : 360 € 2 Mbits/s : 1275 €

VPN IPSec : 26€HT/mois/site VPN/MPLS : 10€HT/mois/site VPN/SSL : 50€HT/mois/site

Liaison SDSL : 99€/mois

Liaison Fibre Optique : 649€/mois

Liaison ADSL : 39€/mois

Solution choisie : VPN IPSec

7. Architecture

Nuage

IPsec VPN

WAN 1 (P1)

WAN 2 (P2)

DMZ 1 (P6)

LAN 1 (P3)LAN

DMZ

RI

ZyXEL USG 100

RVPN

Site distant

8. Installation du serveur de supervision

8.1. Installation de la machine virtuelle Connexion à la plateforme avec vSphere

Carte réseau de la machine en 10.30.200.89 Passerelle : 10.30.200.254 DNS en 10.30.200.200 Cocher valider les paramètres en quittant Remarque : Lors de la première connexion, il faut installer des mises à jour, donc le temps des téléchargements, remettre la carte réseau en DHCP, puis la remettre dans le même réseau que la plateforme.

On exporte l’image disque du serveur vers le datastore de vSphere

Configuration > Stockage > Parcourir la banque de données (clic droit)

Créer la machine virtuelle avec l’ISO d’Eyes Of Network (EON) sous le système Linux RedHat 6 Entreprise 64bits

Remarque : Cocher la case « Connecter lors de la mise sous tension »

8.2. Installation du serveur de supervision

Sélectionnez « skip » puis « enter »

Au prochain affichage choisissez « suivant »

Ensuite sélectionnez « french » puis « suivant ».

Clavier : « fr-latinX»(latin9 intègre la touche €), choisir « suivant »

Sélection du media de stockage : « Périphérique de stockage basique »

Sélectionner Oui abandonner toutes les données

Nom d’hôte : ServSupervision Attention de bien cliquer sur la case « Configurer le réseau » avant de faire suivant Configurer le réseau :

Système eth0 > modifier > Paramètres IPv4 Méthode : Manuel

Adresse : 10.30.200.230 Masque : 255.255.255.0 Passerelle : 10.30.200.254 DNS : 10.30.200.200

Cocher « Connecter Automatiquement » « Appliquer… »

« Suivant »


13

Mot de passe root : sio2r@PPE

Utiliser tout l’espace, puis « suivant » Ecrire les modifications sur le disque

Minimal Choisir : « Personnaliser ultérieurement »

« Suivant »

Maintenant redémarrer le système

8.3. Interface Web d EON

Aller sur l’interface Web : 10.30.200.230

Pseudo et mot de passe par défaut : admin admin

Modifie l’utilisateur administration : Pseudo : root Mot de passe : sio2r@PPE


14

9. Test du VPN

9.1. Un point sur Zyxel

Entre deux lignes ADSL pour des besoins plus important en terme de débit.

Les ports WAN peuvent être configurés pour prendre uniquement en charge des plages d’adresses IP et/ou des

services spécifiés.

La configuration orientée objet permet à l'administrateur réseau de définir la sécurité dans le réseau et ce de

manière individuelle pour chaque utilisateur. Les technologies VPN intégrées (IPSec, SSL, L2TP) offrent une

grande flexibilité de connexion aux agences et utilisateurs distants.

Offrant un débit VPN allant jusqu'à 50 Mbps, le ZyWALL USG 100 est un concentrateur idéal pour relier des

sites distants.

La solution VPN hybride IPSec et SSL-VPN permet d'accéder au réseau à distance de manière sécurisée.

9.2. Points forts du ZyXEL USG 100

Débit maximum de 225 Mbps pour les connexions pare-feu SPI, testé au laboratoire (test basé sur RFC 2544 - UDP, 1518 octets).

Débit maximum de 90 Mbps pour les connexions VPN, testé au laboratoire (test basé sur RFC 2544 - AES, UDP, 1424 octets).

Il est possible d'établir 2 connexions WAN max. vers l'Internet.

50 tunnels simultanés au maximum pour les connexions VPN IPSec.

25 connexions utilisateur SSL simultanées max.


15

9.3. Les 2 ports WAN (Dual WAN)

Les 2 ports WAN Ethernet Gigabit prennent en charge deux connexions haut débit, soit en mode équilibrage de

charge, soit en mode basculement.

Le mode équilibrage de charge fournit un débit maximal, en utilisant les deux connexions WAN pour

répartir le trafic entre les deux connexions haut débit, éventuellement entre différents fournisseurs

d'accès.

Une charge équilibrée du réseau permet d’éviter les temps d’arrêt et permet au personnel, d’accéder

en toute sécurité à votre réseau via Internet à l’aide d’un seul routeur

En mode basculement, le second port WAN peut être configuré pour assurer une connexion de

secours en cas d'interruption de service sur votre connexion principale, vous disposez ainsi d'une

seconde garantie de fiabilité.

Vous pouvez définir manuellement le pourcentage de bande passante du WAN

Avantages Inconvénient Débit

1 Port accès Internet (WAN 1)

+ 1 Port Accès VPN

(WAN 2)

Séparation des accès pour une meilleure sécurité (mode équilibrage)

Pas de possibilité de basculement en cas d’interruption de service

- Configuration manuelle possible

- Débit maximal pour le VPN de 50Mbps

1 Port avec accès Internet et VPN

(WAN 1)

Le WAN 2 peut être configuré pour assurer une connexion de secours en cas d'interruption de service (mode basculement)

Menace d’intrusion extérieure plus élevé

- Débit maximal de 225Mbps


16

10. Installation du VPN IPSec Le tunnel VPN passera par l’interface WAN 2. L’adresse des interfaces WAN sur le routeur Nantes sera 192.168.99.2 et sur le routeur de Lyon 192.168.99.1. Le WAN2 sera renommé en VPNversLYON. Matériel nécessaire :

- 1 boîtier Zyxel USG 100 initialisés (réglages usine)

- 1 Poste avec Windows XP (connecté en administrateur)

- Accès internet depuis XP

10.1. Principes de configuration

La configuration IPSEC doit être effectuée de la même façon sur les deux dispositifs de sécurité.

Lors de la création d’un tunnel VPN IPSEC, ce dernier se monte en 2 phases successives:

Phase 1 : Echange de clés (IKE : Internet Key Exchange) : authentification et encryption

Phase 2 : Création de la SA (Security Association) (il est possible d’avoir plusieurs SA sur une même « phase1 »

Dans la configuration des USG, il est possible (et très souhaitable !) de travailler sur des objets que

nous allons nommer et sur lesquels nous allons pouvoir travailler. Si l’un de ces objets change de

propriété (ex : changement d’adresse IP), il ne sera ainsi pas nécessaire de modifier toutes les

connexions sur lesquelles il intervient mais simplement sur sa propriété « adresse IP ».

1. Création adresse Il faut donc créer un objet « LYON_VPN » sur chacun des routeurs en utilisant le bouton « add » dans le menu


17

2. De même avec « NANTES_VPN»

Dans le champ Network figure l’adresse du réseau local

3. Sélectionnez dans le menu de droite puis cliquez sur l’onglet VPN Gateway

Dans VPN Gateway Name, on choisit un nom.

Dans My Address > Interface, on sélectionne la WAN2 (VPNversLYON) et dans Peer Gateway Address> Static

Address Primary, on sélectionne l’adresse du WAN2 du routeur à atteindre, soit Lyon.


18

Enfin dans Authentication>Pre-Shared Key on met la clé commune secrète.

4. Après validation de votre configuration, ré-éditez-la et activez en haut à gauche de l’écran.

Des paramètres cachés apparaissent :

DES : Data Encryption System. C’est un protocole symétrique de cryptage (qui utilise la même clé de cryptage

et de décryptage (« motdepassesecret » ici !))

MD5 : (Message Digest 5) est une fonction mathématique appelée fonction de hachage cryptographique qui

calcule, à partir d'un fichier numérique, son empreinte numérique.

Le résultat est une valeur de 128 bits (ou 32 caractères hexadécimaux). C’est le même principe que la clé RIB ou

la clé sur votre numéro de sécurité sociale.

A la fin de la phase 1, les deux dispositifs USG possèdent une clé commune secrète qu’ils peuvent utiliser pour

crypter et décrypter leurs données avec un maximum de sécurité.


19

10.2. Mise en place de la phase 2 : Etablissement de la SA (Security Association)

Dans les onglets du VPN, choisissez maintenant « VPN Connection »

5. Ajoutez une nouvelle connexion

On sélectionne une connexion site-to-site. Dans VPN Gateway, on sélectionne le nom choisit précedemment. Et

dans Policy, on met le réseau local (NANTES) et le réseau distant (LYON).

6. Après validation de votre configuration, ré-éditez-la et activez en haut à gauche de l’écran.

Des paramètres cachés apparaissent :


20

Wikipédia : « Le protocole ESP permet de combiner, à volonté, plusieurs services de sécurité comme la confidentialité des données par l'utilisation d'un système de chiffrement; l'authentification du paquet et de son émetteur (l'adresse source du paquet est celle de l'émetteur); l'intégrité des données (aucune altération volontaire ou non du paquet durant le transport) et l'unicité du paquet (pas de rejeu).

Par opposition à l'Authentication Header (AH), qui ajoute seulement un en-tête supplémentaire au paquet IP, ESP chiffre les données puis les encapsule. »

SHA : Secure Hash Algorithm Fonction de Hachage (comme MD5 vue précédemment).

10.3. Création d’une route entre les réseaux LAN pour utiliser le tunnel

7. Dans le menu Network / Routing, ajoutez une route :

Dans, Source Address on sélectionne le réseau local (NANTES_VPN) et dans Destination Address on sélectionne

le réseau à atteindre (LYON_VPN)

Dans la partie Next-hop, on sélectionne en type VPN Tunnel, et dans VPN Tunnel on met le nom de la VPN

connection définie plus tôt.

Il ne reste plus qu’à activer la connexion VPN.

Dans le menu VPN / IPSEC, choisissez VPN Connection

http://fr.wikipedia.org/wiki/Authentication_Header

http://fr.wikipedia.org/wiki/Internet_Protocol


21

8. Activez la connexion VPN après l’avoir sélectionnée en cliquant sur

Si tout se passe bien, le pictogramme indique que la connexion VPN est active.

10.4. Test de la connexion VPN

On ping deux postes chacun dans le réseau Nantes et le réseau Lyon.

11. Supervision

11.1. Le service SNMPD

Configuration de la communauté d’EoN:

Dans le menu Administration, Généralités/snmp changer le nom par défaut de la communauté par

APCintra :

Configuration de SNMP sur les hôtes :

Afin de pouvoir superviser les hôtes voulus, Il est obligatoire d’activer le protocole SNMP sur ces

derniers mais il faut aussi intégrer le nom de communauté EoN sur tous les hôtes à supervise.

Comme vu plus haut, nous utiliserons la communauté APCintra.

Pour les équipements Cisco :

>enable

#configuration terminal

#(config)snmp-server community APCintra

Le contact prédéfini dans EoN se nomme admin, on définira une adresse mail sur ce profil afin de

recevoir les alertes en cas d’arrêt ou de panne.

Menu Administration, Nagios/configuration, suiver le lien Contacts :


22

Le lien admin permet de configurer ce contact :

Nous retrouvons les paramètres de notification, notamment :

- "Host Notification On" : Notification liées à l’équipement

- "Service Notification On" : Notification liées à un service

Cliquer sur Edit afin de saisir l’adresse mail voulue.

11.2. Ajout d’un hôte

Menu Administration, Nagios/équipements (ou Menu Administration, Nagios/configuration, lien

Network).

Ajout d’un équipement :

- Utiliser le lien "Add A New Child Host" et renseigner les

informations : Host Name, Host Description, Address, Display Name

- Utiliser le bouton "Add Host" pour ajouter l’hôte à la communauté.

- sélectionner la catégorie Inheritance, et choisissez le Template

"GENERIC_HOST" :


23

Valider avec le bouton "Add Template".

Transfert d’un équipement dans Nagios Utiliser le lien Tools en haut à droite.

Utiliser le lien Exporter :

cliquer sur le bouton Restart (Job) afin d’actualiser les hôtes supervisés dans la communauté :

Attendre le message Export Job ... Successfully :

Il est indispensable de faire cette manipulation à chaque fois que vous ajoutez ou supprimez des

hôtes dans la communauté. Parfois, il arrive que le job ne redémarre pas : il faut vérifier que l’hôte

est disponible sur le réseau et qu’il dispose d’un Template adapté (par défaut mettre

« GENERIC_HOST »)

Vue de l’équipement dans Nagios

Dans le menu Disponibilités, Évènements/vue équipements :

Après avoir redémarré votre job, le serveur doit normalement être apparu et être opérationnel

comme ci-dessous

Si l'état du serveur que vous avez ajouté est "Status : PENDING", il faut cliquer sur PENDING pour

faire apparaitre une fenêtre qui permet de relancer la commande de supervision de l'équipement à

l'aide du bouton "submit command for 1 host".


24

Un Template, un service, un Template de service,

Interconnexion des sites · La DSI souhaite profiter de cette interconnexion des 3 sites pour...

Documents

Transcript of Interconnexion des sites · La DSI souhaite profiter de cette interconnexion des 3 sites pour...