LES RAPPORTS DE STAGE DU STAGIAIRE EXPERT-COMPTABLE, COMMISSAIRE AUX COMPTES
Rapport de Stage -...
Transcript of Rapport de Stage -...
Rapport de Stage Stagiaire Bureau système, réseaux et sécurité
BERTON Loïc
05 Janvier 2015 au 14 février 2015
Établissement d’accueil : Conseil d’Etat, 98-102 rue de Richelieu, 75002 PARIS
Responsable de bureau : M. Patrick Clebant
Tuteur en entreprise : M. Michel Benjamin, Ingénieur Réseau
Établissement de formation : Lycée Léonard de Vinci 77000 MELUN / BTS SIO
2
Table des matières
1°) Remerciements. ................................................................................................................................. 3
2°) Organigramme du B.S.R.S. ................................................................................................................. 3
3°) Lexique. .............................................................................................................................................. 4
4°) Introduction. ...................................................................................................................................... 6
5°) Projet. ................................................................................................................................................. 6
5.1°) Introduction du projet. ............................................................................................................... 6
5.2°) Planning du projet. ...................................................................................................................... 6
5.3°) Identification des flux. ................................................................................................................ 6
5.4°) But de ce projet. ......................................................................................................................... 6
5.5°) Caractéristiques du projet. ......................................................................................................... 7
5.6°) Réalisation du projet. .............................................................................................................. 9
5.7°) Mise en place de NeTem ..................................................................................................... 15
5.8°) Tests finaux ............................................................................................................................ 16
5.9°) Modification liée au changement d’équipement. .............................................................. 18
6°) Tâches annexes effectuées durant le stage. .................................................................................... 20
6.1) Configuration d'un switch managé. ........................................................................................... 20
6.2°) Configuration et installation de 5 commutateurs hp a5120. ........................................... 24
7°) Conclusion. .................................................................................................................................... 27
3
1°) Remerciements.
Je tiens à remercier tout particulièrement et à témoigner toute ma reconnaissance aux personnes suivantes, pour l’expérience enrichissante et pleine d’intérêt qu’elles m’ont fait vivre durant cette période au sein du Conseil d’Etat. Messieurs Patrick CLEBANT et Jean-Marc FREON de m'avoir accueilli au sein de l'équipe du B.S.R.S. (Bureau Système Réseau et Sécurité). Je remercie vivement mon tuteur M. Benjamin MICHEL pour son accueil, le temps passé ensemble et le partage de son expertise au quotidien. Grâce aussi à sa confiance, j’ai pu m’accomplir totalement dans les missions qui m’ont été confiées avec son aide précieuse dans les moments les plus délicats. Je remercie également toute l’équipe du B.S.R.S pour leur accueil sympathique, leur esprit d’équipe et leur coopération professionnelle tout au long de ce mois et demi.
2°) Organigramme du B.S.R.S.
Gestion des identités
Jean-Marie Nomed
Responsable système
Sébastien Dottin
Ingénieur système
Benjamin Michel
Ingénieur Réseau
Loïc Berton
Stagiaire Réseau
Christian Marciniac
Technicien téléphonie
Jammy Genaud
Technicien téléphonie
Sécurité Réseaux
Systèmes
Patrick Clebant
Chef de bureau
Geoffroy Dambricourt
Ingénieur Sécurité
Samuel Surendar Kumar
Gestionnaire des identités
Arnaud Mouchoux
Compte et messagerie
Jean-Marc Fréon
Adjoint au Chef de bureau
Téléphonie
4
3°) Lexique. Brevet de Technicien Supérieure (BTS), Service Informatiques aux Organisation (SIO)
B.S.R.S : Bureau Système, Réseaux et sécurité
Liste de contrôle d’accès - Access Control List (ACL) : est un ensemble d’instruction
basées sur des protocoles de couche 3 et de couches supérieures pour filtrer le trafic.
Flux : Désigne une succession de paquets d'un ordinateur source vers une destination, qui
peut être une autre machine, un groupe multicast, ou un réseau broadcast.
Secure Shell (SSH): Est un programme informatique et un protocole de communication
sécurisé. Le protocole de connexion impose un échange de clés de chiffrement en début de
connexion. Par la suite, tous les segments TCP sont authentifiés et chiffrés. Il devient donc
impossible d'utiliser un sniffer pour voir ce que fait l'utilisateur
Transmission Control Protocol (TCP): Est un protocole de transport fiable, en mode
connecté.
User Datagram Protocol (UDP): Est un des principaux protocoles de télécommunication
utilisés par Internet. Il fait partie de la couche transport de la pile de protocole TCP/IP : dans
l'adaptation approximative de cette dernière au modèle OSI, il appartiendrait à la couche 4,
comme TCP.
Differentiated Services Code Point (DSCP) : Est un champ dans l'entête d'un paquet IP. Le
but de ce champ est de permettre la différentiation de services ou DiffServ.
Qualité de service – Quality of service (qos) : Est la capacité à véhiculer dans de bonnes
conditions un type de trafic donné, en termes de disponibilité, débit, délais de transmission,
gigue, taux de perte de paquets…
Simple Network Management Protocol (snmp) : Est un protocole de communication qui
permet aux administrateurs réseaux de gérer leurs équipements supervisés et de
diagnostiquer des problèmes réseaux et matériels à distance
Classe de service - Class of service (cos) : Est un mécanisme d'assignation de priorité au
flux de donnée.
wfq: technique de gestion équitable de priorité des paquets, privilégiant les plus petit flux. Traffic classifier : Renseigne les différents critères que les flux devront disposer pour être
identifiés.
Traffic behavior : Permet d’affecter le champ dscp et d’indiquer la local-precedence afin de pouvoir classer les flux par queue Netem : Est une amélioration des installations de contrôle de trafic linux qui permet d’ajouter
de la latence, de la perte de paquets, de réduire le débit, la duplication et plusieurs autres
caractéristiques aux paquets sortant.
Latence : Est le délai entre le moment où est envoyé l’information et celui où elle est reçue.
De manier générale elle peut aussi désigner l’intervalle entre la fin d’un événement et le
début de la réaction à celui-ci.
5
Perte de paquets : Fait de perdre des paquets dû à la distance ou les mauvaises qualités
des liens réseaux et son encombrement.
Gigue : Est la variation de la latence au fil du temps.
Real-Time : Est un protocole de communication informatique permettant le transport de
données soumises à des contraintes de temps réel, tels que des flux média audio ou vidéo.
Best Effort : Qualité de service la meilleure possible, sans garantie dans le temps de
livraison.
Hp Intelligent Management Center (IMC) : Est un outil complet de gestion des réseaux.
6
4°) Introduction.
Ce stage s'est déroulé au sein du Conseil d’État où l'équipe du B.S.R.S m’a accueilli du 05 janvier 2015 au 14 février 2015. Lors de celui-ci j'ai pu participer à différentes activités et projets auxquels j'ai pu me joindre ou que l'on m’a confiés. Ce rapport présentera le projet principal dont j’avais la responsabilité ainsi que les activités auxquelles j'ai pu participer. Nous commencerons en première partie par le projet puis dans une seconde partie les tâches effectuées en annexe de celui-ci.
5°) Projet.
Identification des flux et priorisation de celui-ci
5.1°) Introduction du projet.
Le projet qui m'a été confié durant la période de ce stage a pour but de monter une plate-forme qui identifiera et priorisera les différents flux qui circulent entre les réseaux interconnectés de la structure.
5.2°) Planning du projet.
5.3°) Identification des flux.
Le flux qui devra être priorisé sera la Visio-conférence, les autres flux seront traités en Best Effort. Le choix de la visio-conférence a été effectué car le flux qu’elle représente doit être doté
d’une liaison réseau optimale du fait de son utilisation par les juridictions.
Une liaison réseau se caractérise de manière à ce que la latence, la gigue et la perte de
paquet soient minimes.
5.4°) But de ce projet.
Ce projet a pour but de différencier les flux, les catégoriser, et les prioriser sur un même moyen télécom. En effet ce moyen télécom est contraint (bande passante limitée), aussi nous devons nous assurer que les flux « Real Time » (notamment le service de
Janvier 2015 : Travail sur la plateforme (équipement
identique)
Debut fevrier 2015 : travail avec deux equipement
differents
fevrier 2015 : Valdiation de la platefome avec des tests de fonctionnement
mise en production : Fin du premier semestre
2015
7
Visioconférence) sont transmis avant tout autre flux.
5.5°) Caractéristiques du projet.
1°) Logiciels et outils utilisés.
Kitty portable : logiciel permettant la prise en main d'équipements dans notre cas via SSH Virtual Box : logiciel de virtualisation d’OS (Windows, linux….) Iperf : outils générant du trafic afin d'effectuer les tests de performance NeTem : permet de rajouter de la latence, de la perte, de la corruption, sur les liens entre les différents conteneurs et de limiter le débit
2°) Matériel utilisé.
Lors de la réalisation de ce projet, on m’a confié différents matériels
Hp 5120-48G version 5.20.99 comportant 48 ports
Deux PC DELL - optiplex 740 amd radeon dual core processor 5000+
Nous utiliserons aussi deux machines virtuelles avec une version de l’OS de type « ubuntu »
afin d’utiliser le client et le serveur iperf.
9
Schéma détaillé d'un paquet IP avec le positionnement du champ DSCP
5.6°) Réalisation du projet.
Ce projet peut être réalisé avec deux équipements identiques à l’entrée de chaque interconnexion où avec deux équipements différents. Ici la configuration proposée est avec deux hp A5120. Pour commencer dans ce projet nous avons besoin de configurer le commutateur pour qu'il effectue l'identification du flux et lui intègre un champ DSCP. Nous avons d’abord déclaré le serveur SSH afin de pouvoir administrer l'équipement à distance. Puis nous avons déclaré une ACL 2000 permettant de restreindre l’accès à l'équipement via une connexion SSH afin d’éviter toutes connexions aux personnes non autorisées. L’user-interface permet de définir les droits d’accès en ssh à l’acl 2000 en entrée.
10
Nous avons procédé à la déclaration des ACL correspondantes au Protocol TCP et UDP, qui
seront sur le port désigné et activées par le minuteur définie par la règle (rule).
Ici le minuteur est activé que sur l’ACL 3004 car celui-ci sera utilisé afin d’identifier le flux qui
nous intéresse.
La mise en place d’un minuteur est nécessaire car le flux qui devra être priorisé est
seulement actif le mardi après-midi.
Mise en place du « traffic classifier ».
11
Mise en place du « traffic behavior ».
Déclaration de la « qos policy » permet de mettre en place la politique de la qos afin de faire
la relation entre le « traffic classifier » et le « traffic behavior ».
Affectation de la « qos policy » au port 1/0/2 afin que les flux soient identifiés en entrée.
12
Interface GigabitEthernet 1/0/3.
La limitation du débit du port nous est utile ici afin de pouvoir simuler un lien opérateur et créer un engorgement. La « wfq weight » permet de géré les flux par rapport à leur poids. Le « qos trust dscp » permet de faire correspondre les flux et leur file d’attente. C’est à ce moment que tout l’intérêt du projet va être mis en place grâce à l’affectation du flux prioritaire sur la file d’attente n°3. Cette file d’attente à comme caractéristique d’avoir une bande passante minimum de 512 Kbps afin de ne pas être perturbé par les flux non prioritaire et d’assurer une qualité de liaison réseau satisfaisante. Lancement des tests afin de vérifier que le flux est bien identifié et que le champ DSCP a bien été attribué. Pour effectuer ce test nous utilisons une machine virtuelle sur laquelle l’OS « ubuntu » est installé et doté de Iperf et TCPdump.
Lancement du serveur Iperf.
Mise en place du trust dscp
Limitation du débit du port
Mise en place de la WFQ
Mise en place de la queue et du
débit réservé
13
Lancement de TCPdump.
Lancement de l'envoi de flux sur le client Iperf.
Résultats de TCPdump nous permettant de constater que le flux a bien été identifié et que le
champ
DSCP a bien été ajouté grâce à la ligne TOS 0x38 qui correspond au DSCP AF13.
14
Ci-dessous le tableau de correspondance entre les valeurs hexadécimales (identifiées via
tcpdump) et la valeur dscp.
On constate aussi que le client Iperf et tcpdump renvoient des informations sur les échanges effectués.
TCPdump.
15
Iperf.
5.7°) Mise en place de NeTem. Netem permet de simuler le trafic sur un réseau inter connecté et distant en y ajoutant de la
perte de paquets, de la latence, de la gigue et de limiter le débit.
Nous avons d’abord mit en place la latence dans le cas ci-dessous, elle sera à 0ms afin
d’effectuer des tests rapide.
Cette commande doit être effectuée avant toute autre commande tc:
tc qdisc add dev eth0 root handle 1 :0 netem delay 0ms
Puis nous allons alors réduire le débit grâce à la commande :
tc qdisc add dev eth0 parent 1 :1 handle 10 : tbf rate xxxkbit buffer xxx limit xxx
16
La commande pourra être modifiée en utilisant à la place de l’argument add l’argument
change afin de pouvoir modifier les valeurs entrées précédemment.
Tc qdisc change dev eth0 parent 1:1 handle 10 : tbf rate xxxkbit buffer xxx limit xxx
N’oublions pas d’interrompre et de remettre à 0 nos commandes TC à la fin des tests sinon
nous ne comprendrons pas pourquoi notre débit est réduit alors qu’il ne doit plus l’être dans
d’autres tests.
5.8°) Tests finaux
Afin de réaliser ces tests la limitation du débit a été descendue de 4Mbps à 768kbs/s pour
pouvoir constater que les flux se partagent cette bande passante avec un flux priorisé à un
minimum de 512kbps.
Nous lançons 4 clients Iperf sur la machine virtuel qui se trouve en bout de la plateforme
permettant de recueillir les serveurs qui seront lancés via un petit script bash, les ports qui
ont été utilisés sont 5002, 5003, 5004 et le flux priorisé sera sur 5005.
Commande permettant de lancer le serveur : iperf –s –p 5005 –i10
Script permettant de lancer les clients iperf.
-c : permet de le configurer en mode client.
-p : défini le port de connexion qui doit être utilisé.
- t : défini le temps de la connexion qui doit être établi.
17
Les clients se connectent sur les serveurs pour une durée de 60 secondes.
Nous attendons le résultat afin de constater le débit utilisé ou nous pouvons directement
regarder l’évolution sur votre serveur en incluant le –i 10 pour effectuer un affichage toutes
les 10 secondes.
Voici le résultat du script lancé et nous pouvons constater que le flux a bien été priorisé.
Le flux prioritaire occupe 608 kbps de la bande passante et les trois autres se partagent le
reste de la bande passante.
18
5.9°) Modification liée au changement d’équipement.
Cette partie expliquera comment réaliser ce projet avec deux équipements différents, ici cela
sera un HP A5120 et un H3C S3600.
1°) HP A5120
Des modifications seront à apporter sur le HP A 5120 au niveau de l’interface de sorti, dans
notre cas sur l’interface 1/0/3.
Celle-ci consiste à ne plus utiliser un qos bandwitch mais à mettre en place la gts queue afin
de limiter le débit de la bande passante à 512 Kbps et ne plus lui accordé un minimum de
512 Kbps.
Il faut donc supprimer le qos bandwitch queue 3 min 512 précdement cité via la commande :
undo banditch queue 3
Puis ajouter le qos « gts queue 3 cir 512 » pour limiter la bande passante.
2°) H3C S3600
Déclaration des acl et de la qos profil.
19
Interface 1/0/1 et 1/0/2.
- Appliquer le priority trust et le line rate outbound sur l’interface 1/0/1, qui correspond à
l’interface de sortie.
- Appliquer la qos profil sur l’interface 1/0/2 qui correspond à l’interface d’entré des flux.
Queue Scheduler.
La queue scheduler wfq nous permet de déterminer la capacité de la bande passante par
queue.
Ici les queues 3 et 4 sont utilisée, pour cela la queue N°3 correspond au flux priorisé (d’où
une limite à 512 Kbps) et la N°4 au flux passant en best effort (3456 Kbps).
Voici le résultat obtenue.
Ici les encadrés rouges corresponde au flux priorisés et le bleue au flux passant en best
effort.
20
6°) Tâches annexes effectuées durant le stage.
6.1) Configuration d'un switch managé.
Pour repartir sur une configuration usine : à l’aide d’un outil adéquate appuyer simultanément sur les boutons « reset » et « clear », une fois que les 3 voyants «power» «fault» et «locator» sont allumés, relâcher le bouton «reset» (tout en restant appuyer sur «clear»). Après quelques secondes, retirer la pression sur «clear». Toutes les leds doivent s’éclairer l’une après l’autre. => Retour conf usine OK, à nouveau administrable sur le port 1 via http://192.168.2.10 (pas de mot de passe par défaut).
- Paramétrage de l'IP
22
- Activation de la protection Loop back, désactivation du port en cas de boucle.
- Activation du RSTP. Définition des ports servant à accueillir les stations utilisateurs en « Edge », « Non-Edge » vers le commutateur.
23
- Activation de la protection contre le deny de service.
- Attribution des vlan au port.
Configuration du trunk 802.1q
Un port peut être :
-E : Exclude : N’avoir aucun lien avec un Vlan donné (et préalablement sélectionné avec le
menu déroulant)
-U : Untag : Le port est associé à un seul VLAN. C'est à dire que tous les équipements
raccordés à ce port feront partie du VLAN. (Un port ne peut appartenir qu’à un VLAN dans le
mode UNTAG)
-T : TaggAll : Signifie que les trames qui arrivent et sortent sur le port sont marquées par un
en-tête 802.1q supplémentaire dans le champ Ethernet. Un port peut être "tagged" sur
24
plusieurs « VLAN » différents. L'avantage du mode Tagged est la possibilité d'avoir un
serveur (à condition qu’il ait une configuration 802.1q) pouvant communiquer avec toutes les
stations des « VLAN » sans que les « VLAN » ne puissent pas communiquer entre eux.
- Définition du mot du passe.
6.2°) Configuration et installation de 5 commutateurs hp a5120.
Suite à un dysfonctionnement sur les équipements constaté par un membre de l’équipe du
B.S.R.S une demande a été formulée pour qu’un remplacement proactif soit effectué. On
m’a donc demandé de configurer 5 commutateur afin qu’ils soient disponible dans les plus
brefs délais, accompagner de mon tuteur pour les installer.
Cette manipulation a pour but d’activer le serveur ssh ainsi que le snmp afin de pouvoir
implanter dans l’équipement la configuration définitive via un outil hp IMC (Intelligente
management center).
Pour cela nous avons besoin de déclarer un utilisateur local comme admin de l’équipement
via ssh.
25
Puis de déclarer le vlan 10 comme vlan d’administration.
Ensuite, lui déclarer une adresse IP local afin de pouvoir lui envoyer la configuration.
Puis implanter SNMP version v2c et v3.
- Interface VTY.
Affecter à l’user-interface vty 0 15 le Protocol ssh en entrée.
- Configuration.
Envoie de la configuration via l’outil hp IMC.
26
Pour terminer, mettre son adresse IP définitive.
L’installation consiste à implanter les commutateurs dans la baie correspondante à
l’emplacement définie par mon tuteur. Basculer les connexions de l’ancien commutateur sur
le nouveau et de vérifier la bonne connexion au serveur.
27
7°) Conclusion.
En conclusion j’ai effectué mon stage de deuxième année de BTS SIO au sein du conseil
d’Etat. Lors de ce stage de 6 semaines j’ai pu mettre en pratique mes connaissances
théoriques acquises durant ma formation, de plus, je me suis confronté aux difficultés réelles
du monde du travail et du réseau.
Après ma rapide intégration dans l’équipe, j’ai eu l’occasion de réaliser plusieurs tâches dont
un projet, l’ensemble de celles-ci ont constitué une mission de stage global.
Les recherches que j’ai effectuées sur mon projet seront mise en production courant 2015,
par ailleurs chacune des tâches effectuées lors de ce stage ont été utiles au service et au
bon fonctionnement de cette administration.
Je pense que cette expérience en entreprise m’a offert une bonne préparation à mon
insertion professionnelle car elle fut pour moi une expérimentation enrichissante et complète
qui conforte mon désir d’exercer mon futur métier dans le domaine du « réseau ».