LAANN CCLLAASSSSIICC · Mise en œuvre pratique Chaque groupe dispose d’un switch CISCO et...
4
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON CONTEXTE PPE2 SISR RDPL-GPI Préparation ETAPE 3 - Infrastructure réseau Approche du routage inter-site sécurisé Objectif La direction de RDPL GPI veut maintenant travailler sur la 3 ème étape : Etude et prototypage d’une infrastructure réseau sécurisée et modulaire. Elle veut mettre en place pour tous ses clients la même infrastructure-type. Parmi ces clients, il y a de nombreux lycées. Vous êtes chargés de prototyper l ’ installation et la configuration d’une infrastructure réseau chez un client, par équipe de 4 ou 5 étudiants. Le schéma ci-dessous détaille l ’infrastructure d’ un client et de RDLP-GPI. Le LAN « CLASSIC » joue le rôle de réseau d’accès Internet. Plateforme Equipe 1 Réseau SIO LA MARTINIERE Plateforme simulant RDPL-GPI INTERNET INTERNET IPFIRE IPFIRE LAN groupe 1 LAN groupe 1 DMZ groupe 1 DMZ groupe 1 Serveur HTTP Serveur HTTP FreeBox FreeBox PFSENSE PFSENSE 82.233.39.155 Réseau pédagogique 192.168.224.0 /21 192.168.224.253 LAN CLASSIC LAN CLASSIC 172.30.11.0/24 172.30.12.0/24 .1 .1 .80 .200 IPFIRE IPFIRE LAN RDPLGPI LAN RDPLGPI DMZ RDPL-GPI DMZ RDPL-GPI Serveur HTTP Serveur HTTP 172.30.101.0/24 .1 .1 .80 .200 192.168.228.10 /21 192.168.228.1 Redirections ports : 21080 => 192.168.228.1:21080 21180 => 192.168.228.1:21180 21389 => 192.168.228.1:21389 22080 => 192.168.228.2:22080 22180 => 192.168.228.2:22180 22389 => 192.168.228.2:22339 23080 => 192.168.228.3:23080 23180 => 192.168.228.3:22180 23389 => 192.168.228.3:23389 20080 => 192.168.228.10:20080 Redirections : Port 21080 => 172.30.12.80:80 (XAMPP) Port 21180 => 172.30.12.180:80 (OCS) Port 21389 => 172.30.11.10:3389 (Bureau Dist) J’ai omis l’utilisation de proxy labo qui est transparente. L’adresse que l’on donne aux étudiants et 224.253 (activée ou pas) mais l’adresse réelle est 224.3. .180 Redirections : Port 20080 => 172.30.102.80:80 .10 .10 Côté LAMARTIN avec Plateforme RDPL-GPI .11 .12 .13 .15 172.30.102.0/24 Une plateforme simulant RDGPL-GPO pourrait permettre aux étudiants de tester : - « en interne » l’accès à l’interface pseudo-publique de leur pare-feu. Exemple : http://192.168.228:21080 ou bureau distant sur 192.168.228.1:21389 - « en externe » l’accès aux maquettes de l’autre site en sortant réellement sur internet. Exemple : http://80.15.82.28:31080 ou bureau distant sur 80.15.82.28:31389 Une machine par groupe pourrait être disponible sur cette plateforme pour tester le bureau distant et l’accès HTTP. .14 Cette mission se déroulera en 3 étapes : 1. Mise en place et validation d’ un prototype d’architecture client par chaque équipe localement 2. Validation de la maquette avec d’autres sites clients, situés en dehors de Lyon (étudiants de BOURG en BRESSE) 3. Utilisation de la maquette pour simuler des interventions à distance chez les clients.
Transcript of LAANN CCLLAASSSSIICC · Mise en œuvre pratique Chaque groupe dispose d’un switch CISCO et...
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
CONTEXTE PPE2 SISR RDPL-GPI
Préparation ETAPE 3 - Infrastructure réseau
Approche du routage inter-site sécurisé
Objectif
La direction de RDPL GPI veut maintenant travailler sur la 3ème étape : Etude et prototypage d’une infrastructure réseau sécurisée et modulaire.
Elle veut mettre en place pour tous ses clients la même infrastructure-type. Parmi ces clients, il y a de nombreux lycées. Vous êtes chargés de prototyper l ’installation et la configuration d’une infrastructure réseau chez un client, par équipe de 4 ou 5 étudiants.
Le schéma ci-dessous détaille l’infrastructure d’un client et de RDLP-GPI. Le LAN « CLASSIC » joue le rôle de réseau d’accès Internet.
Pla
tefo
rme
Eq
uip
e 1
Réseau SIO LA MARTINIERE
Plateforme simulant RDPL-GPI
INTERNETINTERNET
IPFIREIPFIRE
LAN groupe 1LAN groupe 1
DMZ groupe 1DMZ groupe 1
ServeurHTTP
ServeurHTTP
FreeBoxFreeBox
PFSENSEPFSENSE82.233.39.155
Réseau pédagogique 192.168.224.0 /21
192.168.224.253LAN CLASSICLAN CLASSIC
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
IPFIREIPFIRE
LAN RDPLGPILAN RDPLGPI
DMZ RDPL-GPIDMZ RDPL-GPI
ServeurHTTP
ServeurHTTP
172.30.101.0/24
.1
.1.80
.200
192.168.228.10 /21
192.168.228.1
Redirections ports :
21080 => 192.168.228.1:21080
21180 => 192.168.228.1:21180
21389 => 192.168.228.1:21389
22080 => 192.168.228.2:22080
22180 => 192.168.228.2:22180
22389 => 192.168.228.2:22339
23080 => 192.168.228.3:23080
23180 => 192.168.228.3:22180
23389 => 192.168.228.3:23389
20080 => 192.168.228.10:20080
Redirections :
Port 21080 => 172.30.12.80:80 (XAMPP)
Port 21180 => 172.30.12.180:80 (OCS)
Port 21389 => 172.30.11.10:3389 (Bureau Dist)
J’ai omis l’utilisation de proxy labo qui
est transparente.
L’adresse que l’on donne aux
étudiants et 224.253 (activée ou pas)
mais l’adresse réelle est 224.3.
.180
Redirections :
Port 20080 => 172.30.102.80:80
.10
.10
Côté LAMARTINavec
Plateforme RDPL-GPI
.11 .12
.13 .15
172.30.102.0/24
Une plateforme simulant RDGPL-GPO pourrait permettre aux étudiants de tester :- « en interne » l’accès à l’interface pseudo-publique de leur pare-feu.Exemple : http://192.168.228:21080
ou bureau distant sur 192.168.228.1:21389
- « en externe » l’accès aux maquettes de l’autre site en sortant réellement sur internet.Exemple : http://80.15.82.28:31080ou bureau distant sur 80.15.82.28:31389
Une machine par groupe pourrait être disponible sur cette plateforme pour tester le bureau distant et l’accès HTTP.
.14
Cette mission se déroulera en 3 étapes :
1. Mise en place et validation d’un prototype d’architecture client par chaque équipe localement
2. Validation de la maquette avec d’autres sites clients, situés en dehors de Lyon (étudiants de BOURG
en BRESSE)
3. Utilisation de la maquette pour simuler des interventions à distance chez les clients.
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
Première étape – Cahier des charges
Présentation de l’architecture générale
Comme on peut le constater dans le schéma ci-dessous, l’infrastructure de chaque client est architecturée
autour d’un routeur-Firewall qui sépare les 3 parties réseau : le LAN, la DMZ, et l’INTERNET.
Chaque partie correspond à un niveau de sécurité différent.
Pla
tefo
rme
Eq
uip
e 1
IPFIREIPFIRE
LAN groupe 1LAN groupe 1
DMZ groupe 1DMZ groupe 1
ServeurHTTP
ServeurHTTP
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
192.168.228.1.180
.10
Le choix de RDPL-GPI s’est porté sur le firewall IPFIRE, installé sur une machine dotée de 3 cartes.
Les principales règles sont les suivantes :
Le LAN a accès à Internet, mais aucune communication ne peut être initiée depuis l ’internet sur le
LAN.
Le LAN a accès aux services présents dans la DMZ
Certains services présents dans la DMZ doivent être accessibles depuis Internet. C’est le cas
notamment :
o Du serveur HTTP du client
o Du serveur OCS du client
RDPL-GPI envisage d’avoir également des accès privilégiés au réseau du client.
Plan d’adressage
Vous devez respecter le plan d’adressage figurant sur le schéma, en fonction de groupe. L’annexe A montre
le plan d’adressage pour les 3 premiers groupes
Chaque groupe disposera de deux machines virtuelles sur le LAN et de deux serveurs dans la DMZ : un
serveur HTTP standard (type XAMP) et un serveur OCS (sous Windows ou Linux).
Remarque : Les adresses sont toutes des adresses privées. Mais sur la « patte » internet la raison de cet
adressage privé est uniquement le partage de la connexion réelle par toutes les équipes.
Redirection
Pour que les serveurs soient accessibles depuis l’internet (réel ou fictif) il faut mettre en place des règles de
redirection sur le pare-feu. Pour des raisons organisationnelles/techniques, ces ports sont différents d ’une
équipe à l’autre.
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
Mise en œuvre pratique
Chaque groupe dispose d’un switch CISCO et d’une machine physique, comportant 3 cartes réseau, et
dotée du système d’exploitation Windows Seven et VMWARE workstation.
IPFIRE sera installé sur une machine virtuelle, dont les cartes (virtuelles) seront bridgées sur les cartes
réelles. Une documentation vous est fournie pour configurer VMWARE de manière à permettre l’utilisation
de plusieurs cartes physique en « bridgé ».
Physiquement les 3 cartes physiques seront connectées de la manière suivante :
La « patte » Internet sera reliée au réseau du lycée, en adressage fixe
La « patte » LAN sera connectée sur un port du commutateur CISCO, affecté au vlan 10X (101 pour
l’équipe 1)
La « patte » DMZ sera connectée sur un port du commutateur CISCO, affecté au vlan 20X (201 pour
l’équipe 1)
Les ports 1 à 6 du commutateur seront affectés au VLAN 10X et les ports 7 à 12 seront affecté s au VLAN
20X. Les autres ports éventuels resteront dans le VLAN par défaut.
Les chefs d’équipes sont indiqués en annexe B (à compléter pour votre équipe).
Résultats attendus
Par équipe, un compte-rendu de l’installation est attendu par équipe, dans lequel figurera notamment :
- Un schéma réseau spécifique à l’équipe (Les adresses IP y figureront)
- Un compte-rendu d’installation (simplement les étapes personnalisées) et de configuration d’IPFIRE
- La configuration du commutateur.
- Un rapport de test démontrant qu’on peut accéder à Internet depuis le LAN et qu’on peut accéder
au service présent dans la DMZ à partir d’Internet.
Des postes simulant un accès depuis le réseau RDPL-GPI seront mis à votre disposition par les professeurs
et vous permettront de simuler l’accès depuis l’Internet (fictif).
BTS SIO / SISR PPE2 – RDPL-GPI – ETAPE 3 – PROTOTYPAGE DD/RS/PC LMD - LYON
ANNEXE A – PLAN D’ADRESSAGE PAR GROUPE P
late
form
e E
qu
ipe
1
Réseau SIO LA MARTINIERE
Pla
tefo
rme
Eq
uip
e 2
Pla
tefo
rme
Eq
uip
e 3
INTERNET
IPFIRE
LAN groupe 1
DMZ groupe 1
ServeurHTTP
FreeBox
PFSENSE82.233.39.155
Réseau pédagogique 192.168.224.0 /21
192.168.224.253LAN CLASSIC
172.30.11.0/24
172.30.12.0/24
.1
.1.80
.200
IPFIRE
LAN groupe 2
DMZ groupe 2
ServeurHTTP
172.30.21.0/24
172.30.22.0/24
.1
.1.80
.200
IPFIRE
LAN groupe3
DMZ groupe 3
ServeurHTTP
172.30.31.0/24
.1
.1.80
.200
192.168.228.2
192.168.228.3
192.168.228.1
Redirections ports :
21080 => 192.168.228.1:21080
21180 => 192.168.228.1:21180
21389 => 192.168.228.1:21389
22080 => 192.168.228.2:22080
22180 => 192.168.228.2:22180
22389 => 192.168.228.2:22339
23080 => 192.168.228.3:23080
23180 => 192.168.228.3:22180
23389 => 192.168.228.3:23389
Redirections :
Port 21080 => 172.30.12.80:80 (XAMPP)
Port 21180 => 172.30.12.180:80 (OCS)
Port 21389 => 172.30.11.10:3389 (Bureau Dist)
Redirections :
Port 22080 => 172.30.22.80:80
Port 22180 => 172.30.22.180:80
Port 22389 => 172.30.21.10:3389 J’ai omis l’utilisation de proxy labo qui
est transparente.
L’adresse que l’on donne aux
étudiants et 224.253 (activée ou pas)
mais l’adresse réelle est 224.3.
.180
Redirections :
Port 23080 => 172.30.32.80:80
Port 23180 => 172.30.32.180:80
Port 23389 => 172.30.31.10:3389
.180
172.30.32.0/24
.180
.10
.10
.10
Côté LAMARTIN
ANNEXE A – CONSTITUTION DES EQUIPES
Equipe 1 Equipe 2 Equipe 3 Equipe 4 Equipe 5
Chef de projet :
ARSLAN Sezai
Chef de projet :
BRENDLE Stephen
Chef de projet :
DEVIN Alexandre
Chef de projet :
OUDJOUDI Farid
Chef de projet :
TALEB Rémy
Membres de l ’équipe : -
-
- -
Membres de l ’équipe : -
-
- -
Membres de l ’équipe : -
-
- -
Membres de l ’équipe : -
-
- -
Membres de l ’équipe : -
-
- -
