Documentation Projet ASSIZ

Contexte du projet

Le service informatique de la Maison des Ligues de Lorraine a été sollicité par la ligue d'Escrime pour prototyper, puis mettre en place la couverture informatique nomade d'une manifestation quadriennale appelée "Les VIèmes assises nationales de l'Escrime. Cette manifestation qui aura lieu sur la dernière semaine du mois d'août est installée sous un ensemble de chapiteaux montés sur un terrain de football à pelouse synthétique, à quelques centaines de mètres de la MDL. Elle est couplée avec la sixième édition des championnats du monde d'escrime artistique.

Les 5 chapiteaux sont organisés en sept espaces différenciés :

- Un espace accueil, avec un guichet doté d'un PC et une imprimante à badge- Un espace restauration- Un espace dédié aux organisateurs où se situent les équipements informatiques- Un espace d'accueil pour les VIP- Un espace dédié aux stands de vente des équipementiers de l'escrime - Un espace conférence- Un espace dédié à l'escrime sportive (démonstrations, expositions)- Un espace dédié à l'escrime artistique, lieu des championnats.

La missionLa mission consiste à mettre en place un prototype de cette solution informatique nomade. La solution prototypée devra comporter : ▪ une séparation des deux réseaux Wifi en VLANs, ▪ la gestion de l'accès internet (service de NAT), ▪ la mise en place du service de DHCP,▪ l'établissement d'un périmètre de sécurité autour du réseau LAN et Wifi de l'organisation

(filtrage).

Éléments techniques ▪ Les points d'accès wifi et le commutateur s'administrent dans le VLAN d’administration (cf

configuration de votre baie).▪ Le SSID "public" sera diffusé, à sécurité WPA2 (clé indiquée sur le badge "visiteurs"). Les postes

connectés dans ce réseau wifi ne pourront pas communiquer entre eux.▪ Le SSID "orga" sera non diffusé, à sécurité WPA2 (clé connue des organisateurs)▪ Le VLAN 4x2 sera dédié au SSID "orga" et le VLAN 4x3 au SSID "public". (avec x = n° de votre baie)▪ Le routeur servira des plages DHCP pour ces deux réseaux :

o La plage 10.10.10.0/24 pour le SSID « orga »o La plage 172.31.1.0/24 pour le SSID « public »

Groupe 4 Page 1

Documentation Projet ASSIZ

▪ Le routeur "MDL" proposera un service de NAT pour faciliter l'accès Internet (le routeur de France Telecom ne peut pas être paramétré).

▪ Un

Sprint 1

• Titre : « Organisation et analyse »

• Date de remise du livrable : 10/09/2015

• Tâches principales :

◦ Organisation de l'équipe (désignation du « scrum master »)

Pierre Treton

◦ Mise en place des outils : redmine

◦ Analyse du cahier des charges

Etape 1 : Conception Validation sans la partie Wifi « Public »Réunion du groupe projetAnalyse du cahier des charges.

1.   Pourquoi y-a-t-il 2 points d’accès ? un public (visiteur) et un privé (organisation : pour imprimer par exemple)2.   Comment peut-on empêcher les utilisateurs « public » de se connecter sur le pont d’accès «

MDL » ?En masquant le SSID du pont d’accès MDL et en donnant qu’au personne concernée une clé

d’accès à ce réseau

3.   Comment empêcher les utilisateurs connectés sur le point d’accès public d’accéder au serveur ou aux postes MDL ?

En installant des règles de firewall

4.   Comment créer des réseaux séparés sur le switch ?En créant différents VLAN

Groupe 4 Page 2

Documentation Projet ASSIZ

5.   Combien de ports sont nécessaires  dans chacun de ces réseaux virtuels ?Il y a 2 ports nécessaires6.   Combien de ports Ethernet possède votre routeur ?il y en a 27.   Combien de ports Ethernet faut-il sur le routeur pour connecter les 2 réseaux virtuels au

routeur Internet ?Il en faut 3 8.   Quel est le principe du NAT ?     Le NAT ( Network Adress Translation ) permet de partager une connexion internet entre

plusieurs ordinateurs sur un réseau local. 9.   Sur quel routeur devez-vous mettre en place le NAT ?

Sur le routeur MDL

RéalisationRéalisation d’un schéma physique de votre baie.Réalisation du document « spécifications techniques »Validation sur une maquette avec Packet Tracer sans la partie Wifi « Public » avec les tests de recette de la solution (wifi, routage, NAT, accès Internet, VLAN)Réalisation sur la baie physique de la maquette précédente avec des machines virtuelles VMWARE (Un XP par étudiant et un Serveur 2008 par groupe). Méthodologie :Ne pas vouloir tout tester en même temps mais tester fonction par fonction (ex : le wifi , le dhcp, le routage, le NAT, le Firewall, …)Utiliser les ping de proche en proche.Utiliser la capture avec les bons filtres pour comprendre ce qui se passe. Etape 2 : Conception Validation avec la partie Wifi « Public »Modification des documentsModification de la maquette Packet TracerModification de la baie La réception du projet consistera en une démonstration du fonctionnement du prototype sur la baie.Les documents d'accompagnement à rendre seront :

• Le fichier de paramétrage du routeur et du switch sauvegardés avec Cisco Network Assistant.

Groupe 4 Page 3

Documentation Projet ASSIZ

• Les spécifications techniques• Le schéma réseau physique (avec les adresses IP, les VLAN, les SSID, les plages

DHCP°◦ Recensement des besoins en formation, matériel

4 ordinateurs : 2 fixes → 1 guichet, 1 accueil. 2 portables.2 bornes wifi : 1 publique. 1 privée.1 serveur : il fera office de serveur AD, DNS et radius.1 switch : 6 interfaces seront utilisées → 2 pour le wifi. → 2 pour les pc accueil et guichet. → 1 pour un lien trunk avec le routeur MDC. → 1 vers le serveur.2 routeurs : 1 routeur paramétrable (pour le lien trunk).[Le second routeur est une livebox, il nous donne un accès vers internet]

Notre routeur sera découpé en 4 vlans :

Un vlan admin : 172.15.0.0/16 → un serveur.Un vlan privé : 10.10.10.0/24 → 1 ordi portable, 2 pc fixes et 1 borne wifi.Un vlan public : 172.31.1.0/24 : une borne wifi plus les ordis du public.Un autre vlan pour le réseau internet : il se trouve entre le routeur MDC et la livebox, il est en 192.168.1.0/24.

◦ Réalisation d'un schéma physique de votre baie.

Groupe 4 Page 4

Documentation Projet ASSIZ

Sprint 2 et 3Comprends :

- Besoin matériel- Paramétrage des switchs et des routeurs- Schéma logique - Schéma physique

Besoin matériel à la réalisation du projet4 ordinateurs : 2 fixes → 1 guichet, 1 accueil. 2 portables.2 bornes wifi : 1 publique. 1 privée.1 serveur : il fera office de serveur AD, DNS et radius.1 switch : 6 interfaces seront utilisées → 2 pour le wifi. → 2 pour les pc accueil et guichet. → 1 pour un lien trunk avec le routeur MDC.

Groupe 4 Page 5

Documentation Projet ASSIZ

→ 1 vers le serveur.2 routeurs : 1 routeur paramétrable (pour le lien trunk).[Le second routeur est une livebox, il nous donne un accès vers internet]

Notre routeur sera découpé en 4 vlans :

Un vlan admin : 172.15.0.0/16 → un serveur.Un vlan privé : 10.10.10.0/24 → 1 ordi portable, 2 pc fixes et 1 borne wifi.Un vlan public : 172.31.1.0/24 : une borne wifi plus les ordis du public.Un autre vlan pour le réseau internet : il se trouve entre le routeur MDC et la livebox, il est en 192.168.1.0/24.

Paramétrage des switch

SWITCH 1

Ports Gi0/1 et Gi0/2 en lien TRUNK.

(config)# vlan 451 //Création du VLAN.(config-vlan)# name ORGA //On le nomme ORGA(config)# vlan 452 //Création du VLAN.(config-vlan)# name PUBLIC //On le nomme PUBLIC

(config)# interface Gi0/1(config-if)# switchport mode trunk(config-if)# exit(config)# interface Gi0/2(config-if)# switchport mode trunk

Groupe 4 Page 6

Documentation Projet ASSIZ

(config-if)# exit

SWITCH 2(config)# vlan 405 //Création du VLAN.(config-vlan)# name livebox //On le nomme livebox(config)# vlan 450 //Création du VLAN.Groupe 4 Page 7

Documentation Projet ASSIZ

(config-vlan)# name Administration //On le nomme Administration

(config)# interface Fa0/1(config-if)# switchport mode trunk(config)# interface Gi0/1(config-if)# switchport mode trunk(config-if)# exit(config)# interface Gi0/2(config-if)# switchport mode trunk(config-if)# exit

Paramétrage des routeurs

(config)# Interface Gi0/0.1(config-if)# encapsulation dot1Q 451(config-if)# ip address 172.15.255.254 255.255.0.0(config-if)#ip access-group 20 outGroupe 4 Page 8

Documentation Projet ASSIZ

(config-if)# ip nat inside

(config)# Interface Gi0/0.2(config-if)# encapsulation dot1Q 405(config-if)# ip address dhcp(config-if)# ip nat outside

(config)# Interface Gi0/1.1(config-if)# encapsulation dot1Q 451(config-if)# ip address 10.10.10.254 255.255.255.0(config-if)#ip access-group 30 out(config-if)# ip nat inside

(config)# Interface Gi0/1.2(config-if)# encapsulation dot1Q 452(config-if)# ip address 172.31.1.254 255.255.255.0(config-if)# ip nat inside

Groupe 4 Page 9

Documentation Projet ASSIZ

DHCP du Routeur MDL

(config)# Ip dhcp pool public(config)# network 172.31.1.0 255.255.255.0 (config)# default-router 172.31.1.254(config)# Dns-server 192.168.0.1

Groupe 4 Page 10

Documentation Projet ASSIZ

(config)# Ip dhcp pool orga(config)# network 10.10.10.0 255.255.255.0 (config)# default-router 10.10.10.254(config)# Dns-server 192.168.0.1

(config)# ip nat inside source list 1 interface Gi0/0.2 overload(config)# ip nat inside source static tcp 192.168.1.1 8080 interface Gi0/1 80(config)# ip route 0.0.0.0 0.0.0.0 192.168.0.1(config)# ip route 172.16.10.0 255.255.255.0 172.16.10.254

Dans le navigateur 172.31.1.245

Configuration wifi

Groupe 4 Page 11

Documentation Projet ASSIZ

IP Wifi

Sécurité

Groupe 4 Page 12

Documentation Projet ASSIZ

DIAGRAMME DE GANTT ACTUALISÉ

Groupe 4 Page 13

Documentation Projet ASSIZ

Sprint 4

Les tests de la solution

Ici, on voit que le ping ne fonctionne pas, donc les ACL fonctionnent parfaitement

Groupe 4 Page 14

Documentation Projet ASSIZ

C’est 2 captures montrent le ACL qui marche

Groupe 4 Page 15