DOSSIER PROJET ÉVOLUTION - Liverdun · 2018. 5. 29. · Le protocole propriétaire Cisco HSRP (Hot...

DOSSIER PROJET ÉVOLUTION

GAIRE Jordan

MARCHAL Théo

STAUFFER Benoit TSR L7 - Année 2016/2018

Table des matières

I. Introduction ................................................................................................................................................................... 5

I.1. Rappel du sujet ....................................................................................................................................................... 5

I.2. Présentation de notre entreprise ........................................................................................................................... 6

I.3. Répartition des tâches ............................................................................................................................................ 7

II. L’infrastructure réseau .................................................................................................................................................. 8

II.1. Interconnexion entre les bâtiments ....................................................................................................................... 8

II.2. Convention de nommage ....................................................................................................................................... 9

II.3. Choix du réseau .................................................................................................................................................... 10

II.3.a. Etude N°1: solution HA (High Availability) .................................................................................................... 10

II.3.b. Étude N°2 : Solution plus simple et moins coûteuse. ................................................................................... 17

II.3.c. Solution retenue ............................................................................................................................................ 25

III. Maquette Cisco Packet Tracer ................................................................................................................................... 26

IV. Accès à Internet ......................................................................................................................................................... 27

IV.1. Internet invités .................................................................................................................................................... 27

IV.2. Internet entreprise ............................................................................................................................................. 27

V. Serveurs ...................................................................................................................................................................... 29

V.1. Annuaire LDAP ..................................................................................................................................................... 29

V.2. DHCP .................................................................................................................................................................... 30

V.3. DNS ...................................................................................................................................................................... 32

V.4. GPO et Quotas ..................................................................................................................................................... 34

V.5. FTP ....................................................................................................................................................................... 35

V.6. Partage de ressources SAMBA : protocole SMB .................................................................................................. 36

V.7. Licences Windows Server .................................................................................................................................... 36

V.8. Tolérance de pannes ............................................................................................................................................ 37

V.9. Choix du matériel informatique ........................................................................................................................... 38

V.9.a. Serveur physique N°1 (BAIE 01) .................................................................................................................... 38

V.9.b. Serveur physique N°2 (BAIE 03) .................................................................................................................... 39

V.9.c. Onduleurs ...................................................................................................................................................... 39

VI. Postes clients ............................................................................................................................................................. 40

VI.1. Choix du matériel ................................................................................................................................................ 40

VI.2. Antivirus .............................................................................................................................................................. 41

VI.3. Prise de main à distance ..................................................................................................................................... 43

VI.4. Partage de bureau et Chat et vidéo .................................................................................................................... 43

VI.5. Déploiement d’images ........................................................................................................................................ 43

VII. Sauvegarde ............................................................................................................................................................... 44

VIII. Gestion des impressions .......................................................................................................................................... 46

IX. Supervision système et réseau .................................................................................................................................. 47

X. Maintenance ............................................................................................................................................................... 48

XI. Coût du projet ............................................................................................................................................................ 49

XII. Conclusion ................................................................................................................................................................. 50

Projet Evolution - Dossier Page 5 sur 50

STAUFFER Benoit – MARCHAL Théo – GAIRE Jordan 07/11/2017

I. Introduction

I.1. Rappel du sujet Dans le cadre de la refonte du système d'information, l'équipe informatique de CYC est chargée de présenter un projet chiffré qui inclura les points suivants :

• L’architecture réseau

• La connexion à Internet

• La mise en place d’un Windows Serveur 2012 intégrant les éléments suivants :

− Rôle Serveur de noms de domaines (DNS) − Rôle Active Directory (AD) − Rôle Dynamic Host Control Protocol (DHCP) − Serveur de fichier − Mise en place des GPO − Tolérance de panne

• La mise en place d’un serveur Linux intégrant les éléments suivants :

− DHCP et DNS

− Partage de ressources avec Windows

− Service FTP

• La gestion des impressions

• La gestion des sauvegardes

• La maintenance

• Une maquette fonctionnelle avec des postes clients qui permettra de valider le fonctionnement de l’ensemble



I.2. Présentation de notre entreprise L’entreprise CYC (Customize Your Car) de réputation internationale a deux domaines d’activité :

- La rénovation des véhicules de collection - La personnalisation de véhicules en tout genre (Moto, voiture, etc.) en peinture, moteurs et carrosseries

Elle se compose de 90 personnes selon l’organigramme suivant :

Le personnel est réparti sur 3 bâtiments. Bâtiment principal : Direction, employés administratifs, service informatique et responsables de service, soit 20 personnes. Le rez-de-chaussée est composé d’un restaurant d’entreprise et d’un showroom. Bâtiment Aile Nord : Service rénovation (atelier) soit 40 personnes.

Bâtiment Aile Sud : Service personnalisation (atelier) soit 30 personnes. L’entreprise CYC dispose d’un local technique à chaque étage de chaque bâtiment.



I.3. Répartition des tâches

Répartition tâches Jordan Théo Benoit Rédaction et mise en page X Réseau Infrastructure réseau X Maquette Packet Tracer X Accès Internet X Windows Server 2012 DHCP DNS AD X X X GPO et quotas X X X Tolérance de pannes X Choix du matériel X Script PowerShell X Réplication AD X X X Linux Server Debian 9 DHCP DNS X X FTP X X Choix du matériel X Postes clients Logiciels X Prise de main à distance X Partage de bureau et chat X Déploiement d’images X Gestion des sauvegardes X Gestion des impressions X Contrats maintenance X Chiffrage X X X Rédaction des annexes X X X



II. L’infrastructure réseau

II.1. Interconnexion entre les bâtiments

Liaison fibre optique La différence de performance entre le cuivre et la fibre optique n’est pas significative sur des distances inférieures à 100m. Nous utiliserons de la fibre optique pour relier les bâtiments entre eux uniquement pour limiter les risques électromagnétiques. Chaque bâtiment sera accessible par 2 chemins différents pour une question de redondance. Nous avons choisi de la fibre multimode Base SX type OM3 qui permet un débit de 10 Gbits/s sur une distance de 300 mètres (Longueur d’onde 850nm et diamètre 50/125 µ). C’est la catégorie la mieux adaptée à la distance entre nos bâtiments. La fibre monomode aurait pu être utilisée également, mais revient plus cher sans apporter d’avantages supplémentaires dans notre configuration. Nous utiliserons des fibres 12 brins entre chaque bâtiment, il y aura donc entre chaque bâtiment plusieurs fibres duplex en « spare ». En cas de défectuosité sur l’une d’entre elles ou en cas de modification de l’architecture réseau, il ne sera pas nécessaire de rouvrir les tranchées entre les bâtiments. Le gardiennage sera également relié en fibre au bâtiment principal et il sera équipé d’un petit commutateur. De nombreuses connexions sont en effet nécessaires au gardiennage : PC, badgeuse, écrans de surveillances. Ce point ne faisant pas partie du sujet, nous ne chiffrerons pas le matériel pour le gardiennage. Les fibres seront enterrées et passées sous gaine. Nous éviterons au maximum les zones goudronnées pour réduire les coûts.

Liaison CUIVRE

Nous utiliserons du câble cuivre pour relier l’aile nord au magasin. Une seule connexion étant nécessaire pour un PC, cela nous évitera l’installation d’un commutateur.

Le trafic sur cette liaison sera en effet très faible.

Nous avons choisis un câble 10G Base-T de catégorie 6A (Bande Passante 500Mhz) avec blindage de type S/FTP qui permet un transfert théorique de données jusqu'à 10 Gbits/s et ceci pour une distance de câble allant jusqu'à 100 mètres. (Norme ISO/IEC 11801 2nd Ed) Quatre câbles CAT 6A seront tirés et enterrés sous gaine pour la liaison Aile Nord – Magasin (3 en spare)



II.2. Convention de nommage Les serveurs physiques, machines virtuelles, postes clients et équipements réseau respecteront la convention de nommage suivante :

Serveurs physiques SRVbbex0 x = n° d'ordre machine physique

Machines virtuelles SRVbbexy y = n° d'ordre machine virtuelle (1 à 9)

Poste Client Desktop CLDbbexx bb = bâtiment, e = étage, xx = n° d'ordre

Poste client mobile CLt-xxxx t = type (P pour portable - T pour tablette) xxxx = n° d'ordre

Imprimantes IMPbbexx bb = bâtiment, e = étage, xx = n° d'ordre

Router Rbbezz-x bb = bâtiment, e = étage, x = n° d'ordre, zz = n° de baie

Commutateurs Cbbezz-x bb = bâtiment, e = étage, x = n° d'ordre, zz = n° de baie

Bandeaux Cuivre BCbbe-xx bb = bâtiment, e = étage, xx = n° d'ordre

Bandeaux fibre BFbbe-xx bb = bâtiment, e = étage, xx = n° d'ordre

Points réseau PRbbe-xx bb = bâtiment, e = étage, xx = n° d'ordre

Bornes WiFi WFbbe-xx bb = bâtiment, e = étage, xx = n° d'ordre Où « bbe » pourra prendre les valeurs suivantes : BP0 Bâtiment principal RDC - BP1 Bâtiment principal 1er étage AN0 Aile Nord RDC - AN1 Aile Nord 1er étage AS0 Aile Sud RDC - AS1 Aile Sud 1er étage



II.3. Choix du réseau II.3.a. Étude N°1: solution HA (High Availability)

La taille des bâtiments, en moyenne 45 m x 25 m permet une distribution cuivre d’un étage sur l’autre sans jamais dépasser la longueur maximum de 100m. Nous n’installerons donc qu’une baie réseau au RDC de chaque bâtiment. Concernant le choix du réseau, nous avons choisi d’utiliser des sous-réseaux par services. Nous choisissons un masque de sous réseau en /24 soit 254 Hôtes par sous réseau ce qui est bien plus que nécessaire, mais permet une évolution du personnel de l’entreprise sans être obligés de refaire complètement le plan d’adressage et facilitera également la gestion du DHCP. Par choix, nous partirons sur un réseau privé en 10.x.x.x en utilisant un masque de classe C pour limiter le nombre de Hosts par sous-réseaux à 254. Sur ce réseau, nous attribuerons des sous-réseaux par service. Tous les bâtiments seront équipés en WiFi. Cœur de réseau Pour une question de redondance nous utiliserons deux commutateurs de niveau 3 comme cœur de réseau. Ceux-ci seront installés dans des bâtiments différents par sécurité, une panne électrique sur une baie n’entrainera pas la perte du cœur de réseau. Le protocole propriétaire Cisco HSRP (Hot Standby Router Protocol) dit aussi protocole de haute disponibilité sera mis en œuvre entre les deux commutateurs formants le cœur de réseau : il permettra d’assurer la disponibilité de la passerelle par défaut dans un sous-réseau en cas de panne d'un d’entre eux. Le commutateur élu sera actif pendant que l’autre (standby ou inactif) sera prêt à prendre le relais en cas de panne du premier. Nous avons choisi des modèles Cisco 3650 avec une image IP-Base. Sur ce réseau nous mettrons en place des vlan, ce sont des réseaux locaux virtuels dont l’intérêt est le suivant :

- Améliorer la sécurité : les VLAN sont isolés les uns des autres et ne peuvent communiquer entre eux que par l’intermédiaire de la passerelle (= pare-feu).

- Réduction du domaine de broadcast d’où réduction de l’encombrement réseau. - Meilleure gestion du réseau.

Les VLAN’s seront créés sur les deux cœurs de réseau :

- Une adresse HSRP en 10.x.x.254 leur sera attribuée pour la gestion "actif / inactif" des cœurs. Ce sera également l’adresse de passerelle pour chaque vlan.

- Une adresse IP en 10.x.x.252 pour le cœur 1 et une en 10.x.x.253 pour le cœur 2 leur sera attribuée. Accès Nous utiliserons des commutateurs de niveau 2 pour l’accès, avec une image LAN-Base Nous choisissons des commutateurs PoE car ils permettront d’alimenter des téléphones IP ou caméras de surveillance pour des évolutions futures. Attention de bien répartir le matériel PoE sur les différents commutateurs pour une question de puissance : Un commutateur Cisco peut fournir 370W au total, un Tel IP consomme environ 5W et une borne WiFi environ 15/16 W.



Nous souhaitons également avoir des commutateurs stackables (empilables), ce qui est très pratique lorsque l’on doit rajouter un nouveau commutateur. De plus, on aura une seule adresse IP pour gérer l’ensemble de la pile. L’intérêt des commutateurs stackables est le suivant :

- Simplifier l'administration : l'ensemble des commutateurs de la pile apparait pour l'administrateur comme un seul commutateur

- Améliorer la bande passante entre les commutateurs - Améliorer la redondance en cas de panne

Nous choisissons des commutateurs Cisco modèle 2960X-48 Des liens en mode Trunk permettront de faire circuler les différents vlan sur une même fibre entre le commutateur de niveau 3 et les commutateurs d’accès. Un trunk est un lien entre deux équipements, le plus souvent entre deux switchs, configuré de telle sorte que l’on peut y faire circuler des trames Ethernet modifiées comportant des informations relatives au VLAN sur lequel elles transitent. Cela peut se faire par l’encapsulation des trames grâce au protocole dot1Q. (Norme IEEE 802.1Q ) Nous utiliserons le paramètre « ip-helper address » pour indiquer au commutateur de rediriger les requêtes DHCP directement vers le ou les serveurs DHCP. Exemple :

SW1#configure terminal Enter configuration commands, one per line. End with CNTL/Z. SW1(config)#interface vlan 20 SW1(config-if)#ip helper-address 10.10.20.10 SW1(config-if)#end

Nous configurerons des ACL (listes de contrôle d'accès) sur les commutateurs de niveau 3 pour interdire le trafic entre les vlan « services », mais l’autoriser avec le vlan « serveur». Pour la redondance, il y aura deux chemins possibles pour accéder à chaque commutateur. Le protocole de Spanning-Tree sera donc mis en place pour éviter les boucles réseau. Le protocole STP grâce à un algorithme, peut bloquer administrativement certains ports de commutateur et garantir ainsi un chemin unique entre deux points réseau malgré un câblage doublé qui permet la redondance en cas de panne. Voici un exemple sous « Packet Tracer » d’un port bloqué par le Spanning-Tree.

Nous avons conçu 8 sous-réseaux comportant chacun 254 adresses disponibles. Les adresses IP des postes clients seront attribuées automatiquement par le ou les serveurs DHCP, cela permet de simplifier la gestion de l’adressage IP. Tous les matériels réseau et les serveurs se verront attribuer des adresses IP statiques, excepté les bornes WiFi qui recevront leur adresse IP et leur configuration directement du contrôleur WiFi grâce au protocole LWAPP qui est un protocole de transfert de données entre Access Point et son contrôleur. Les imprimantes auront une IP statique et les utilisateurs ne pourront imprimer que sur l'imprimante de leur étage.



Nous choisirons volontairement des sous-réseaux différenciés au niveau du deuxième digit de l’adresse IP afin de simplifier l’écriture des ACLs. Les différentes catégories identifiées seront :

Matériels 10.10.x.x Les différents services 10.20.x.x WiFi invité 10.30.x.x

WiFi 3 bornes à chaque étage de chaque bâtiment offriront une couverture suffisante vu la taille des bâtiments. Plusieurs SSID seront créés :

- 1 SSID par service (non diffusé) : avec accès au réseau de l’entreprise - 1 SSID Invité (diffusé): accès Internet, mais pas d’accès au réseau de l’entreprise Les 20 bornes WiFi seront gérées via un contrôleur WiFi Cisco.



Le plan d’adressage sera le suivant :

Nb Masque sous réseau Nb Hôtes Add base sous

réseau First IP Last IP Gateway Add broadcast Vlan Type adressage SSID Diffusion SSID

Matériel réseau (commutateurs, contrôleur WiFi, bornes WiFi) 43 255.255.255.0 (/24) 254 10.10.10.0 10.10.10.1 10.10.10.253 10.10.10.254 10.10.10.255 10

Mixte (DHCP pour bornes WiFi) Wifi10 non

Matériel informatique (serveurs, machines virtuelles, imprimantes) 9 255.255.255.0 (/24) 254 10.10.20.0 10.10.20.1 10.10.20.253 10.10.20.254 10.10.20.255 20 Statique

Service informatique 3 255.255.255.0 (/24) 254 10.20.30.0 10.20.30.1 10.20.30.253 10.20.30.254 10.20.30.255 30 DHCP Wifi30 non

Direction DG + Ass - DAF - DRH 4 255.255.255.0 (/24) 254 10.20.40.0 10.20.40.1 10.20.40.253 10.20.40.254 10.20.40.255 40 DHCP Wifi40 non

Chefs de service 3 255.255.255.0 (/24) 254 10.20.50.0 10.20.50.1 10.20.50.253 10.20.50.254 10.20.50.255 50 DHCP Wifi50 non

Employés administratifs 10 255.255.255.0 (/24) 254 10.20.60.0 10.20.60.1 10.20.60.253 10.20.60.254 10.20.60.255 60 DHCP Wifi60 non

Service rénovation (Old) 40 255.255.255.0 (/24) 254 10.20.70.0 10.20.70.1 10.20.70.253 10.20.70.254 10.20.70.255 70 DHCP Wifi70 non

Service personnalisation (Custom) 30 255.255.255.0 (/24) 254 10.20.80.0 10.20.80.1 10.20.80.253 10.20.80.254 10.20.80.255 80 DHCP Wifi80 non

Invités 255.255.255.0 (/24) 254 10.30.90.0 10.30.90.1 10.30.90.253 10.30.90.254 10.30.90.255 90 DHCP WiFi-invite oui



La topologie de notre réseau sera la suivante :



Choix des matériels

Commutateurs « cœur de réseau » Nous choisissons des commutateurs Level 3 Cisco PoE 24 ports Giga et stackables Cisco Catalyst 3650 24 Ports GigE PoE, 4x1G Uplink IP Base – Ref: WS-C3650-24PS-S Prix unitaire HT : 2 200 € (SENETIC) Nombre : 2

Commutateurs Accès Nous choisissons des commutateurs Cisco PoE 48 ports Giga et stackables Catalyst 2960-X 48 GigE PoE 370W, 4 x 1G SFP, LAN Base - WS-C2960X-48LPS-L

Prix unitaire HT : 1 950 € (SENETIC) Nombre : 6

Pour le WiFi nous mettrons en place des bornes à chaque étage de chaque bâtiment. Elles seront fixées au plafond dans les couloirs. Nous prévoyons 3 bornes par étages pour le bâtiment principal et les deux ailes. 1 borne sera installée au magasin et 1 au gardiennage. Un contrôleur de bornes sera installé avec le cœur de réseau (RDC Bâtiment principal)

Point d’accès sans fil

Nous utiliserons des bornes gérables par contrôleur : PoE WiFi n 300 mbps à bande réglable (2.4 ou 5 GHz) Cisco Aironet 700 series: Access Point Controller Based

AIR-CAP702I-E-K9: 802.11n CAP702, 2x2:2SS; Int Ant; E Reg Domain Prix unitaire HT : 180 € (SENETIC) Nombre de bornes : 20

Contrôleur WiFi

Toutes les bornes pourront être administrées et paramétrées depuis un contrôleur de bornes : Nous choisissons un Cisco 2504 Wireless Controller. Celui-ci permettra d’optimiser le roaming (chevauchement de fréquence) Connexion filaire Gigabit Ethernet et connexion sans fil WiFi a/b/g/n

Il supporte jusqu’à 75 points d’accès par ajout de licences et jusqu’à 1000 clients et il est PoE.



Nous prendrons une version 25 AP Licence : AIR-CT2504-25-K9: 2504 Wireless Controller with 25 AP Licenses à 2 769, 23 € HT (SENETIC)

Prix unitaire HT: 2 800 € (SENETIC)

SFP Cisco: GLC-SX-MMD= 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM Prix unitaire HT: 190 € (SENETIC) Nombre : 14

Modules de Stack Cisco 2960x : C2960X-STACK= Catalyst 2960-X FlexStack Plus Stacking Module optional Prix unitaire HT : 460 € (SENETIC) Nombre : 6 Cordons brassage PatchSee : CAT 6 U/FTP noir 2,10m à repérage lumineux Prix unitaire HT : 7,50 € (SENETIC) Nombre : 200

Solution 1 - Coût total HT du matériel réseau

Coût du matériel réseau (€ HT) PU HT Nb Total HT Cisco 3650 24 Ports 2 200.00 € 2 4 400.00 € Cisco 2960-X-48 Ports 1 950.00 € 6 11 700.00 € Cisco Aironet 700 (controled) 180.00 € 20 3 600.00 € Cisco Wifi controler AIR-CT2504-25-K9 2 800.00 € 1 2 800.00 € SFP Cisco 1000BASE-SX 190.00 € 14 2 660.00 € Modules de Stack Cisco 2960x 460.00 € 6 2 760.00 € Cordons brassage PatchSee 7.50 € 200 1 500.00 € 29 420.00 €

https://www.senetic.fr/product/C2960X-STACK=



II.3.b. Étude N°2 : Solution plus simple et moins coûteuse. De même que dans la solution 1, vu la taille des bâtiments nous n’utiliserons qu’un local technique au rez-de-chaussée de chaque bâtiment pour l’installation des baies réseaux / informatiques. Vu la taille de l’entreprise (moins de 100 personnes), nous n’utiliserons que 4 vlan’s : un vlan matériel réseau, un vlan serveur/imprimantes, un vlan employés pour les connexions filaires et un vlan WiFi employés. WiFi : L’Aile Nord et l’Aile Sud seront équipées de 2 bornes WiFi au RDC (dans chaque atelier). Il n’y aura pas de WiFi au 1er étage de ces bâtiments, car les bureaux sont équipés en filaire et les employés des ateliers ont tous un bureau au 1er étage équipé de station d’accueil.

Le bâtiment principal sera équipé de 2 bornes WiFi au 1er étage et une seule dans la showroom du RDC. Le rez-de-chaussée du bâtiment principal sera également équipé d’un réseau « WiFi « Guest » avec 2 bornes WiFi. Le showroom, le restaurant ainsi que le local d’accueil des clients auront donc un accès à Internet en dehors du réseau de l’entreprise. Pour le Wifi Guest nous prendrons un abonnement ADSL indépendant avec portail captif sous-traité au FAI. Cœur de réseau Le cœur de réseau sera assuré par:

• Un routeur Cisco de la gamme Cisco Small Business • Un commutateur Cisco gamme small business SG500X-24 L2/L3 de 24 ports • Un Firewall Opensource IPCOP (PC linux avec logiciel IPCOP équipé de 2 cartes réseau)

IPCOP est une distribution Linux basée sur Linux From Scratch, qui vise à fournir un pare-feu simple à gérer et basé sur du matériel PC. IPCOP est un pare-feu à états construit sur le framework netfilter de Linux. Il garde en mémoire l'état des connexions réseau comme les flux TCP, les communications UDP qui le traversent. Le fait de se souvenir des états des connexions précédentes permet de mieux détecter et écarter les intrusions et assurer une meilleure sécurité. Le pare-feu est programmé pour distinguer les paquets légitimes pour différents types de connexions. Seuls les paquets qui correspondent à une connexion active connue seront autorisés par le pare-feu et les autres seront rejetés. Ce cœur de réseau faisant partie des points faibles et critiques du réseau, nous mettrons à disposition dans une armoire en Baie 01 un double de ces deux éléments préconfigurés. Ils pourront être remplacés rapidement en cas de panne.

Access Pour la partie Access nous utiliserons des commutateurs Cisco gamme small business L2/L3 PoE. Nous choisirons des modèles Cisco SG500-52 ports. Nous prévoirons également un commutateur de « spare » dans une armoire en baie 01.

https://www.cisco.com/c/en/us/products/routers/small-business-rv-series-routers/index.htmlhttps://fr.wikipedia.org/wiki/Distribution_Linuxhttps://fr.wikipedia.org/wiki/Linux_From_Scratchhttps://fr.wikipedia.org/wiki/Pare-feu_(informatique)https://fr.wikipedia.org/wiki/Pare-feu_%C3%A0_%C3%A9tatshttps://fr.wikipedia.org/wiki/Frameworkhttps://fr.wikipedia.org/wiki/Netfilterhttps://fr.wikipedia.org/wiki/Linuxhttps://fr.wikipedia.org/wiki/Transmission_Control_Protocolhttps://fr.wikipedia.org/wiki/User_Datagram_Protocol



En cas de panne, il suffira de remplacer le commutateur et de restaurer sa configuration qui est sauvegardée sur le réseau sur un serveur TFTP. La sauvegarde réseau se fait manuellement après chaque modification de la config juste après avoir enregistré la config dans le commutateur. Exemple de sauvegarde de la config :

CBP001-2#write mem

CBP001-2#write net

This command has been replaced by the command: 'copy system:/running-config ' Address or name of remote host []? 10.10.2.50 l’adresse IP su serveur TFTP Destination filename [cbp001-2-confg]? Write file tftp://10.10.2.50/cbp001-2-confg? [confirm] [enter] [OK]

Exemple de restauration de la config :

CBP001-2# copy tftp: flash: Address or name of remote host []? 10.10.2.50 [enter] Source filename []? cbp001-2-confg [enter] Destination filename [cbp001-2-confg]? [enter] Accessing tftp://10.10.2.50/cbp001-2-confg... Loading cbp001-2-confg from 10.10.2.50 (via Vlan20): [OK - 19541 bytes]

Les commutateurs d’accès étant accessibles par deux chemins différents, nous mettrons en place le « spanning tree » pour éviter les boucles réseau.



Schémas de principe du réseau :



Le plan d’adressage sera le suivant :

Add base sous réseau Gateway Add broadcast Plage Nb

Hôtes Type adressage vlan SSID Diffusion

SSID

Réseau WiFi Guest 192.168.2.0 / 24 192.168.2.254 192.168.2.255

192.168.2.1 192.168.2.10 10 Statique Bornes WiFi

Wifi_Guest OUI

192.168.2.11 192.168.2.253 243 DHCP Clients Guest

Admin Réseau 10.10.1.0 / 24 10.10.1.254 10.10.1.255 10.10.1.1 10.10.1.253 253 Statique Matériel Vlan 10

Serveurs /

Imprimantes 10.10.2.0 / 24 10.10.2.254 10.10.2.255 10.10.2.1 10.10.2.253 253 Statique Matériel Vlan 20

Employés 10.10.3.0 / 24 10.10.3.254 10.10.3.255

10.10.3.1 10.10.3.5 5 DHCP Windows Réservées

Vlan 30 10.10.3.6 10.10.3.129 124 DHCP Windows Clients Windows

10.10.3.130 10.10.3.253 124 DHCP Linux Clients Linux

WiFi Entreprise 10.10.4.0 / 24 10.10.4.254 10.10.4.255

10.10.4.1 10.10.4.5 5 DHCP Windows Réservées

Vlan 40 Wifi_Entreprise NON 10.10.4.6 10.10.4.129 124 DHCP Windows Clients Windows


Projet Evolution - Annexes Page 22 sur 50


Adressage statique

Bâtiment principal (Baie 01) :

Commutateur Cœur de réseau : @IP admin CBP001-1 10.10.1.1 Commutateur accès : @IP admin CBP001-2 10.10.1.2 Serveur physique 1 SRVBP010 10.10.2.10 VM Windows (AD1 - DNS1 - DHCP1) SRVBP011 10.10.2.11 VM Windows (SF - S.Imp) SRVBP012 10.10.2.12 VM Windows (Métier) SRVBP013 10.10.2.13 VM Windows (Wsus) SRVBP014 10.10.2.14 1 Borne Wifi Enterprise RDC WFBP0-xx 10.10.4.1 2 Bornes Wifi Enterprise 1er étage WFBP1-xx 10.10.4.2 et .3 2 bornes Wifi Guest RDC WFBP0-Gx 192.168.2.1 et .2 Imprimante RDC IMPBP01 10.10.2.100 Imprimante 1er étage IMPBP11 10.10.2.101

Aile Nord (Baie 02)

Commutateur accès : @IP admin CAN002-1 10.10.1.3 2 Bornes Wifi Enterprise RDC WFAN0-xx 10.10.4.20 et .21 Imprimante RDC IMPAN01 10.10.2.120 Imprimante 1er étage IMPAN11 10.10.2.121

Serveur sauvegarde SRVAN030 10.10.2.30

Aile Sud (Baie 03)

Commutateur accès : @IP admin CAS003-1 10.10.1.4 2 Bornes Wifi Enterprise RDC WFAS0-xx 10.10.4.30 et .31 Serveur physique 2 SRVAS020 10.10.2.20 VM Linux (DHCP2-DNS2 - Nagios) SRVAS021 10.10.2.21 VM Linux (FTP - Base de données) SRVAS022 10.10.2.22 VM Linux (Métier) SRVAS023 10.10.2.23 VM Windows (AD2) SRVAS024 10.10.2.24 Imprimante RDC IMPAS01 10.10.2.130 Imprimante 1er étage IMPAS11 10.10.2.131



Plans des Baies Compte tenu du peu de matériel à loger dans chaque local technique, nous utiliserons une seule et même baie pour la partie réseau et informatique dans chaque bâtiment. Nous aurons donc un plan des baies comme suit :

Baie 01 Bâtiment principal RDC

Baie 02 Aile Nord RDC Baie 03 Aile Sud RDC



Choix des matériels

Routeur « cœur de réseau »

Nous prendrons un routeur filaire Cisco modèle RV345-K9-G5 avec 2 ports Wan et 16 ports Lan Prix unitaire HT : 470 € (LDLC) Nombre : 2 (dont un en spare)

Commutateur « cœur de réseau » Cisco SG500X-24P-K9-G5 - 24-Port Gig POE with 4-Port 10-Gig Stackable Managed Switch Prix unitaire HT : 1 150 € (SENETIC)

Nombre : 2 (dont un en spare)

Commutateurs Accès Cisco SG500-52P 52-port Gigabit POE Stackable Managed Switch - Ref: SG500-52P-K9-G5 Prix unitaire HT : 1 200 € (SENETIC) Nombre : 4 (dont un en spare) Commutateur « Wifi Guest » Nous utiliserons un commutateur 24 ports PoE pour l’alimentation des bornes avec fonction serveur DHCP SG500X-24P-K9-G5 - 24-Port Gig POE with 4-Port 10-Gig Stackable Managed Switch Ce commutateur n’étant pas vital pour l’entreprise, il n’y aura pas de spare sur place

Prix unitaire HT : 1 150 € (SENETIC) Nombre : 1 Points d’accès sans fil autonomes Nous utiliserons des bornes autonomes : PoE WiFi n 300 mbps à bande réglable (2.4 ou 5 GHz)

AIR-SAP702I-E-K9 - 802.11n Standalone 702, 2x2:2SS; Int Ant; E Reg Domain Prix unitaire HT : 210 € (SENETIC) Nombre de bornes : 8 (une en spare)

SFP Cisco: GLC-SX-MMD= 1000BASE-SX SFP transceiver module, MMF, 850nm, DOM Prix unitaire HT : 190 € (SENETIC) Nombre : 11 (un en spare)



Cordons brassage PatchSee: CAT 6 U/FTP noir 2,10m à repérage lumineux Prix unitaire HT : 7,50 € (SENETIC) Nombre : 200 Firewall : PC Linux avec IPCOP

- Linux firewall distribution v 2.1.9 : Firewall par application IPCOP + Proxy Cet équipement étant un point sensible, nous aurons également un deuxième PC firewall préconfiguré dans une armoire en baie 01 pour un remplacement rapide en cas de panne. Nous avons choisi un ordinateur monté, composé d’un processeur i3 et de 4 Go de RAM, ainsi que de 2 interfaces réseaux 1000Base-T (une gérée par la carte-mère, ainsi qu'une carte réseau supplémentaire en PCIe) pour un total de 400€ HT

Solution 2 - Coût total HT du matériel réseau

Coût du matériel réseau (€ HT) PU HT Nb Total HT Cisco SG500X 24 Ports 1 150.00 € 3 3 450.00 € Cisco SG500 52 Ports 1 200.00 € 4 4 800.00 € Cisco AIR-SAP702I (point accès autonome) 210.00 € 8 1 680.00 € SFP Cisco 1000BASE-SX 190.00 € 11 2 090.00 € Cordons brassage PatchSee 7.50 € 200 1 500.00 € PC Linux ipcop 400.00 € 2 800.00 € Router Cisco RV345 470.00 € 2 940.00 15 260.00 €

II.3.c. Solution retenue Compte tenu de la taille de l’entreprise (moins de 100 personnes) et donc de ces moyens, nous retiendrons la solution N°2. Celle-ci est moins redondante, mais nous avons prévu un matériel de chaque catégorie en « spare » afin de pouvoir nous dépanner très rapidement en cas de panne. Et sur le plan financier, elle est plus de moitié prix de la solution N° 1.



III. Maquette Cisco Packet Tracer Nous avons réalisé une maquette Packet Tracer pour simuler l’infrastructure réseau.

On pourra vérifier sur cette maquette fonctionnelle que :

Les PC Desktop en DHCP récupèrent bien une adresse en 10.10.3.x Les portables WiFi récupèrent bien une adresse en 10.10.4.x on peut mettre Power Off n’importe lequel des deux serveurs DHCP, on récupère bien une adresse par l’autre serveur DHCP. Les PC’s utilisateurs voient bien les serveurs sur le vlan 20 Les PC’s utilisateurs ne peuvent accéder aux commutateurs sur le vlan 10

Add base sous réseau

Gateway Add broadcastNb

HôtesType adressage vlan SSID Diffusion SSID

192.168.2.1 192.168.2.10 10 Statique Bornes WiFi

192.168.2.11 192.168.2.253 243 DHCP Clients Guest

Admin Réseau 10.10.1.0 / 24 10.10.1.254 10.10.1.255 10.10.1.1 10.10.1.253 253 Statique Matériel Vlan 10

Serveurs / Imprimantes 10.10.2.0 / 24 10.10.2.254 10.10.2.255 10.10.2.1 10.10.2.253 253 Statique Matériel Vlan 20

10.10.3.1 10.10.3.5 5 DHCP Windows Reservées

10.10.3.6 10.10.3.129 124 DHCP Windows Clients Windows


10.10.4.1 10.10.4.5 5 DHCP Windows Reservées

10.10.4.6 10.10.4.129 124 DHCP Windows Clients Windows


Wifi Entreprise 10.10.4.0 / 24 10.10.4.254 10.10.4.255 Vlan 40

Plage

192.168.2.0 / 24Réseau Wifi Guest 192.168.2.254 192.168.2.255 Wifi_Guest OUI

Wifi_Entreprise NON

Employés 10.10.3.0 / 24 10.10.3.254 10.10.3.255 Vlan 30



IV. Accès à Internet

IV.1. Internet invités Nous avons ensuite discuté du problème que peut poser le WiFi pour invités, suite à la réglementation n°2006-64 du 23 janvier 2006 et la directive européenne 2006-24-CE, nous sommes dans l’obligation de surveiller toute connexion utilisant notre WiFi, nous avons donc choisi de mettre en place un portail captif. Pour ce faire nous

avons fait appel à l’aide d’un prestataire. Pour ce qui est du WiFi destiné aux invités lors de réunion par exemple ou les employés avec leur smartphone au restaurant d’entreprise … nous avons choisi : RED +Internet fibre de SFR

• Jusqu’à 100mb/s • Pour 10,00 € HT/mois

IV.2. Internet entreprise Différents types de connexion existants:

Nous avons commencé par déterminer notre besoin pour le type de connexion, nous avions le choix entre SDSL VDSL et Fibre. Le VDSL étant une version améliorée de l’ADSL (plus rapide et fluide) nous avons décidé de ne pas choisir ce type de connexion de peur de subir de trop gros ralentissements. ADSL (ou Asynchronous Digital Subscriber Line) : Cette technologie xDSL fait passer les données sur la paire de fils de cuivre de la ligne téléphonique. Le principe de l'ADSL est d'attribuer une partie de la bande passante au transport de la voix, une seconde à l'acheminement des données circulant en direction du cœur du réseau (données montantes) et une troisième au transport des données vers l'abonné (données descendantes). VDSL étant une version améliorée de l’ADSL (plus rapide et fluide)

SDSL, pour Symmetric Digital Subscriber Line : Technologie d’accès à Internet haut débit qui a la particularité d’obtenir un débit symétrique. Contrairement aux technologies xDSL classiques comme l’ADSL, le SDSL vous permet d’obtenir, en fonction de votre éligibilité, un débit allant jusqu’à 20 Mbps, aussi bien en upload qu’en download. Nous avons par la suite comparé les caractéristiques des deux types de connexions restants, la fibre ayant de gros débits théoriques tandis que l’SDSL ayant de plus petits débits, mais ceux-ci étant assurés et symétriques en réception et émission. Nous avons fini par comparer en fonction de nos besoins. Notre serveur FTP nécessitant une connexion montante relativement élevée, notre choix s’est porté sur une connexion en SDSL.



Nous avons donc comparé plusieurs offres et notre intérêt s’est porté sur les deux offres suivantes : OVH Télécom SDSL Coût mensuel 49.99€ HT /mois

Débit symétrique jusqu'à 20 Mbps Garantie de Temps de Rétablissement 4H non ouvrées 7/7j et 24/24h Création de ligne offerte IP fixe v4 Technologie EFM et ATM Installation sur site

Keyyo Accés SDSL et SDSL EFM Débit symétrique et garanti de 16Mbps, avec garantie de temps de rétablissement de 4h non ouvrées. Adresse IP publique fixe, jusqu'à 50 adresses mails et 50 Go de stockage + Webmail Antivirus, Antispam, firewall Modem routeur Entreprise & WiFi à partir de 79€ HT /mois

Choix : Après comparatif nous avons choisi de prendre l’offre OVH pour son débit plus élevé et son coût inférieur. Les fonctions supplémentaires de l’autre offre sont déjà couvertes et ne nous sont donc pas utiles.



V. Serveurs

V.1. Annuaire LDAP Choix de l’annuaire LDAP L’annuaire LDAP fournit des services centralisés d'identification et d'authentification à un réseau d'ordinateurs. Il permet également l'attribution et l'application de stratégies, la distribution de logiciels, et l'installation de mises à jour critiques par les administrateurs.

La solution LDAP fournie par Microsoft est l’Active Directory (AD).

Active Directory (AD) est une organisation hiérarchisée d'objets qui sont classés en trois grandes catégories :

- Les ressources matérielles (exemple : les imprimantes) - Les services (exemple : le courrier électronique) - Les utilisateurs (comptes utilisateurs et groupes).

L'AD fournit des informations sur les objets, il les organise et contrôle les accès et la sécurité Les Unités d'organisation (OU) sont des objets conteneurs qui permettent de hiérarchiser et structurer l'organisation des objets et faire appliquer les stratégies de groupes. Les groupes contiennent les objets utilisateurs et ordinateurs et permettent de leur attribuer des droits et des services. Les utilisateurs et les ordinateurs : ce sont les objets basiques contenant les informations sur les utilisateurs du domaine et sur les ordinateurs qui y sont connectés. Pour un gain de temps ainsi qu’une optimisation nous avons décidé d’automatiser plusieurs tâches. Nous utiliserons donc un script PowerShell pour la création des utilisateurs et des OU, un autre pour la connexion des lecteurs réseau. Les scripts PowerShell sont fournis en annexe 2.

https://fr.wikipedia.org/wiki/Authentificationhttps://fr.wikipedia.org/wiki/Strat%C3%A9gies_de_groupehttps://fr.wikipedia.org/wiki/Distribution#Informatiquehttps://fr.wikipedia.org/wiki/Microsoft_Updatehttps://fr.wikipedia.org/wiki/Microsoft_Updatehttps://fr.wikipedia.org/wiki/Imprimantehttps://fr.wikipedia.org/wiki/Courrier_%C3%A9lectronique



V.2. DHCP Le protocole DHCP (Dynamic Host Configuration Protocol) est décrit dans la RFC 2131.

(DHCP) est utilisé pour activer des hôtes (Clients DHCP) pour qu’ils obtiennent leur configuration IP d'un serveur (Serveur DHCP), notamment en leur attribuant dynamiquement leur adresse IP. Cette solution permet de réduire le poids administratif de la gestion du réseau. DHCP définit un mécanisme d'assignation d'adresse IP à un client pour une période déterminée (bail), cette adresse pouvant être redonnée à un autre client plus tard. Il y a trois mécanismes d'assignation d'adresses IP : - Allocation automatique - DHCP assigne une adresse IP permanente à un client.

- Allocation manuelle - L'IP du client est assignée par un administrateur, DHCP donne cette adresse au client. - Allocation dynamique - DHCP assigne une adresse IP au client pour une période limitée (bail = lease)

Avantage et inconvénient DHCP Avantage DHCP

1. Évite les conflits d'adresse IP et permet un contrôle centralisé. Si un paramètre change au niveau du réseau, il suffit de changer la valeur du paramètre au niveau du serveur DHCP, pour que toutes les stations prennent en compte le nouveau paramètre une fois le bail renouvelé.

2. Économie d'adresse : grâce au DHCP, seules les machines connectées en ligne ont une adresse IP. 3. Le changement de plan d'adressage se trouve facilité. 4. Avec le DHCP, il suffit d'attribuer une adresse au serveur. Lorsqu'un ordinateur client demande

l'accès au réseau, son adresse est distribuée de manière dynamique à l'intérieur d'une plage d'adresses définie sur le serveur.

5. L'administrateur de réseau contrôle l'attribution des adresses IP en spécifiant une durée de bail qui indique combien de temps l'utilisateur gardera une IP attribuée, avant de devoir faire une requête pour renouveler un bail auprès du serveur DHCP.

6. L'adresse IP est libérée automatiquement, à l'expiration du bail, pour un ordinateur client retiré d'un sous-réseau, et une nouvelle adresse est automatiquement définie pour ce dernier, lorsque cet ordinateur est reconnecté à un autre sous-réseau. Ni l'utilisateur ni l'administrateur de réseau n'ont besoin de fournir de nouvelles informations.

http://www.ietf.org/rfc/rfc2131.txt



Inconvénient DHCP :

1. Il faut un serveur DHCP par réseau local Notre choix Comme dans l’étude précédente, tous les postes clients qu’ils soient mobiles ou desktop se verront affecter une adresse IP automatiquement par le serveur DHCP. Nous utiliserons un serveur DHCP sur une machine virtuelle Windows en Baie 01 pour attribuer automatiquement ces adresses. Par souci de redondance en cas de panne de ce serveur nous configurerons un deuxième serveur DHCP sur une machine virtuelle Linux en Baie 03. Partie LAN L’entreprise comptant moins de 100 personnes et notre plage d’adresse disposant de 253 adresses, nous découperons la plage de la manière suivante :

- 5 adresses DHCP réservées : exemple portables informaticiens - 124 adresses suivantes pour le DHCP Windows - 124 dernières adresses pour le DHCP Linux.

Nous utiliserons des baux de 4H pour les équipements en WiFi, les personnes du commercial étant en déplacement plusieurs fois par jour autant libérer leurs adresses IP rapidement. Pour les PCs desktop nous réglerons les baux à 12H. Pour ceux qui resteront connectés, leur adresse sera renouvelée automatiquement de manière transparente avant la fin du bail. C’est le premier des deux serveurs qui répondra qui fournira l’adresse à l’hôte. N’importe lequel des deux serveurs DHCP peut ainsi tomber sans perturber le fonctionnement, car ils sont capables tous les deux de fournir des adresses IP dans un range différent en même temps. On peut parler d’un « basculement transparent » Le routeur ou commutateur de type L3 inclut dans son IOS la fonction “DHCP server and relay agent software” qui leur permet d’adresser directement une requête DHCP aux serveurs DHCP qui ont été configurés via le paramètre : ip helper-address L’adresse IP des deux serveurs DHCP sera donc configurée en « ip helper-address ». Partie WiFi Guest Le « WiFi Guest » est limité au rez-de-chaussée du bâtiment principal (Showroom et Restaurant) et ne permet qu’un accès à Internet sans pouvoir accéder au LAN Entreprise. Les adresses des clients « WiFi Guest » seront fournies via DHCP. Nous utiliserons la fonction serveur DHCP du commutateur Cisco pour fournir ces adresses.



V.3. DNS

L'intérêt du serveur DNS est de convertir les noms d’hôtes en adresses IP, car pour les techniciens il est plus facile de mémoriser des noms d’hôtes que des séries de chiffres.

Les options intéressantes du DNS

Lorsque l’on installe les services de domaine Active Directory sur un serveur, celui-ci est promulgué au rôle de contrôleur de domaine, dans ce cadre, nous sommes invités à spécifier un nom de domaine DNS pour le domaine AD DS que nous joignons. Pour les réseaux qui déploient un DNS afin de prendre en charge les services de domaine Active Directory, des zones principales intégrées à l’annuaire sont fournies. Ces zones présentent les avantages suivants :

-DNS propose une réplication des données « multimaître » et une sécurité améliorée basées sur les capacités des services de domaine Active Directory.

-Les zones sont répliquées et synchronisées automatiquement sur les nouveaux contrôleurs de domaine chaque fois que vous en ajoutez un à un domaine AD DS.

-En intégrant le stockage des bases de données de zones DNS dans les services du domaine Active Directory, on optimise la planification de réplication de base de données pour votre réseau.

-La réplication intégrée à l’annuaire est plus rapide et plus efficace que la réplication DNS standard.

Les avantages et inconvénients du DNS Avantage DNS

1. Évite de tenir à jour la table hosts de chaque poste client 2. Le cache DNS permet d’accélérer la recherche des noms 3. Sur un réseau local, il permet d’accélérer le trafic sur le réseau, car de nombreux services ont besoin

d’un serveur DNS bien configuré pour fonctionner correctement (WEB, POP, SMTP,..) 4. Il est possible d'en avoir plusieurs sur des serveurs différents afin de garantir son service en cas

d'arrêt d'un des serveurs (Installation maitre sur un serveur principal et esclave sur les autres) 5. Cela se couple très bien avec le serveur DHCP.

Inconvénient DNS

1. Penser à l'installer sur au moins 2 serveurs si l'on manipule un grand réseau 2. En cas d'utilisation d'un DNS sans DHCP, il faut créer les entrées DNS manuellement

Le DNS primaire sera installé dans une machine virtuelle Windows en Baie 01 (la même que le DHCP1). Le DNS secondaire sera installé dans une machine virtuelle Linux en Baie 03 (la même que le DHCP2). Sur les serveurs DNS, la mise à jour dynamique sera activée pour les recherches directes et indirectes, ce qui autorisera une inscription automatique lors d’une affectation IP via DHCP.



Au niveau des paramètres IPv4 des cartes réseau, il faudra veiller à ce que le paramètre d’enregistrement automatique des postes soit activé :



V.4. GPO et Quotas GPO Nous utiliserons des GPO (Group Policy Object) ou stratégies de groupe qui permettent la gestion des ordinateurs et des utilisateurs dans l’environnement Active Directory. Elles permettront:

• La gestion des utilisateurs itinérants • La redirection de dossiers (documents) • Définition d’une « policy » pour les mots de passe • Le verrouillage du panneau de configuration • Mise en place des fonds d’écran • Le blocage de ports : USB, lecteur CD … • L’affectation d’es imprimantes • La désactivation de l’exécution de certains exécutables • L’installation de logiciels • L’emploi de scripts de connexion et déconnexion (affectation de lecteurs réseau…) • Le réglage des paramètres d’Internet Explorer

Les stratégies de groupe sont analysées et appliquées au démarrage de l’ordinateur et pendant l’ouverture de session de l’utilisateur. Quotas Nous mettrons en place également un système de quota pour les utilisateurs (20go) et pour les services (100go). Afin de limiter les abus au sein de l'entreprise et éviter la surcharge de l'espace disque, nous posterons des alertes lorsqu'un utilisateur dépasse les 20 Go de stockage sur son espace personnel. Des alertes seront envoyées lorsque les 100 Go seront dépassés dans les espaces d'échange par service. L'espace commun ne sera pas doté d'alertes, car il sera vidé et archivé tous les jours à 19h à l’aide de deux scripts différents que l’on lancera en tâche planifiée depuis le serveur tous les jours à heure régulière.

https://fr.wikipedia.org/wiki/Active_Directory



V.5. FTP Le FTP (File Transfer Protocol) est un protocole de communication dédié à l’échange informatique de fichiers sur un réseau TCP/IP. Il permet, à partir d’un ordinateur, de copier des fichiers depuis ou vers un autre ordinateur du réseau, d’administrer un site web, ou encore de supprimer ou modifier des fichiers sur cet ordinateur.

FTP obéit à un modèle client-serveur, c’est-à-dire qu’une des deux parties, le client, envoie des requêtes auxquelles réagit l’autre, appelé serveur. En pratique, le serveur est un ordinateur sur lequel fonctionne un logiciel ou service, appelé serveur FTP et qui rend publique une arborescence de fichiers similaire à un système de fichiers Unix. Pour accéder à un serveur FTP, on utilise un logiciel client FTP possédant une interface graphique (ex Filezilla) ou en ligne de commande. Le protocole utilise deux types de connexions TCP :

• Une connexion de contrôle initialisée par le client, vers le serveur (port 21 en général), pour transmettre les commandes de fichiers (transfert, suppression de fichiers, renommer un fichier, liste des fichiers …).

• Une connexion de données initialisée par le client ou le serveur pour transférer les données requises (contenu des fichiers, liste de fichiers).

Nous mettrons en place FTP sur une VM Debian sur le serveur en Baie 02 afin de pouvoir échanger des fichiers comme par exemple les fichiers de configuration réseau. Nous utiliserons l’application ProFTPD sur le serveur FTP. Pour l’échange de gros fichiers avec l’extérieur, clients ou commerciaux, nous passerons par un prestataire comme OVH par exemple.



V.6. Partage de ressources SAMBA : protocole SMB Samba permet la communication entre un système UNIX et un system Windows. Ce qui permet de mettre à disposition des clients Windows des documents, pilotes… qui sont stockés sur un système UNIX. Samba est une application qui permet d'utiliser sous Linux le protocole SMB « Session Message Block » appelé également protocole NetBIOS ou LanManager. Le protocole SMB est utilisé par Microsoft Windows pour partager des disques et des imprimantes. En utilisant les outils Samba, les systèmes Unix/Linux peuvent également partager des disques et des imprimantes avec des hôtes Windows. Samba offre la possibilité de:

• Partager un disque Linux pour des machines Windows • Accéder à un disque Windows depuis une machine Linux • Partager une imprimante Linux pour des machines Windows • Utiliser une imprimante Windows à partir d'un hôte Linux

Sur la plupart des distributions, Samba se présente sous la forme d'un package qui comporte un daemon et un ensemble d'utilitaires binaires. smbd : le daemon SMB est lancé au démarrage

V.7. Licences Windows Server Nous avons décidé d'utiliser Windows Serveur 2012 R2 étant donné que nous n'avons pas assez de recul sur Windows Serveur 2016. Les licences Windows Serveur s'appliquent seulement aux serveurs physiques comportant deux processeurs au plus. Dans notre cas, nous possédons trois serveurs disposant de machines virtuelles Windows Serveur, nous devons donc acheter trois licences à 400€ TTC chacune.



V.8. Tolérance de pannes

Pour éviter de perdre des données en cas de panne d’un disque sur le serveur nous configurerons les disques en mode RAID.

Il existe différents types de RAID, voici les principaux :

Type de

RAID

Nb Disque

s

Principe

Avantage

Inconvénient

RAID 0

(Data Striping) 2

Donnée éclatée sur les disques

Rapidité Perte d’1 disque = perte des 2 disques

RAID 1

(Data Mirroring) 2

Donnée écrite simultanément sur les 2 disques

Sécurité Performance

Nb de disques accru

RAID 5 3 mini

Donnée éclatée sur les 3 disques avec écriture d’une parité tournante (répartie)

Rapidité et sécurité

Perte d’1 disque sans interruption d’accès. Rempl. à chaud

Légère perte de performance

en écriture (calcul parité)

en lecture quand disque est HS

RAID 6 4 mini Idem RAID 5 avec calcul et écriture de 2 parités réparties

Rapidité et sécurité

Perte de 2 disques sans interruption d’accès. Rempl. à chaud

Légère perte de performance

En écriture (calcul parité)

Lecture quand disque est HS

RAID 10 = RAID 1 + RAID 0

4 Striping mirroré Rapidité et sécurité Nb de disques important

La solution que nous choisissons est le RAID 5, il nous offre la performance, la sécurité et tout cela sans augmenter le nombre de disques de façon trop importante.

Nous utiliserons la fonctionnalité S.M.A.R.T des disques durs pour être avertis en temps réel de l’état des disques. (Fonctionnalité Smart Array sur le contrôleur RAID). Le but du système S.M.A.R.T. est de prévenir l’utilisateur ou l’administrateur système de l’imminence d’une panne de disque alors qu’il reste encore du temps pour agir - comme par exemple copier les données sur un disque de remplacement. Environ 30 % des défaillances peuvent être anticipées par le système S.M.A.R.T.

https://fr.wikipedia.org/wiki/Administrateur_syst%C3%A8me



V.9. Choix du matériel informatique

V.9.a. Serveur physique N°1 (BAIE 01) Serveur physique N°1 en Baie 01 (SRVBP010) avec 4 machines virtuelles :

- VM N°1 Windows Server 2012 R2 : Rôle AD primaire – DNS1 et DHCP1 - VM N°2 Windows Server 2012 R2 : Rôle SF (serveur de fichier) et Serveur d’impression - VM N°3 Windows Server 2012 R2 : Applications métier (Comptabilité, facturation …) - VM N°4 Windows Server 2012 R2 : Rôle Wsus (Windows Server Update Services)

Pour le serveur physique numéro un, hébergeant les machines virtuelles tournant sous Windows, nous avons choisi un modèle HPE ProLiant DL360 Gen9 E5-2609v4, disposant d’une garantie de trois ans. Coût : 1920€ HT

Processeurs :(2x) Intel Xeon E5-2609 v4 RAM: 16Go DDR4 2133Mhz CAS 15 Interfaces réseau: 4 ports 1Gb/s 8 Emplacements disques SAS

Double alimentation

Chaque utilisateur devant disposer de 20Go sur son répertoire personnel stocké sur le serveur de fichier. Chaque service disposera d'un répertoire de 100Go. Le répertoire commun fera 500Go et sera vidé par script chaque soir. Ce qui nous donne (20*91)+(4*100)+500 = 2720 Go Nous sommes donc obligés d'avoir au minimum 2720 Go d’espace disque pour les données utilisateurs.

La différence de prix entre les disques de 1To et 2To étant faible, nous prendrons donc 8 disques de 2To dans un souci d'évolutivité. (LDLC : 1To = 120€ HT et 2To = 160€ HT) Comme expliqué précédemment, nous configurerons un RAID5 avec 8 disques SAS de 2To, ce qui nous donnera au total 14 To de stockage,

Sur ce serveur, quatre machines virtuelles seront déployées, la première supportera les rôles Active Directory, DNS et DHCP. La deuxième machine sera dédiée au serveur de fichiers ainsi qu’au serveur d’impression. La troisième sera destinée aux applications métier et la quatrième au Wsus (mises à jour Windows).



V.9.b. Serveur physique N°2 (BAIE 03) Serveur physique N°2 en Baie 03 (SRVAS020) avec 4 machines virtuelles :

- VM N°1 Linux Debian v9 : DNS2 et DHCP2 - VM N°2 Linux Debian v9 : Serveur FTP - VM N°3 Linux Debian v9 : Applications métier - VM N°4 Windows Server 2012 R2 : Rôle AD secondaire et WSUS

Nous avons choisi le même serveur pour les machines virtuelles tournant sous Linux. La première machine virtuelle de ce serveur tournera sous Debian et servira à dupliquer le DNS et le DHCP ainsi qu'à héberger la solution de supervision (CENTREON), la deuxième machine virtuelle tournant sous Debian prendra en charge le serveur FTP. La troisième machine virtuelle, elle aussi sur Debian servira aux applications métier. La dernière machine virtuelle tournera sous Windows Server 2012R2 et aura le rôle AD secondaire et WSUS (Windows Server Update Service). Il sera lui aussi doté de 8 disques de 2 To.

V.9.c. Onduleurs Les onduleurs choisis sont de la marque APC. Le modèle est un Smart-UPS C 1500VA, qui a de bons retours, et les caractéristiques techniques demandées pour permettre aux équipements installés (pour les baies contenant des serveurs) de tenir au moins une demi-heure après l'arrêt du courant (900W/1500VA). Il nous en faudra un par baie, soit quatre onduleurs. Ce modèle est affiché au prix de 550€ HT



VI. Postes clients

VI.1. Choix du matériel Dans le but d'une homogénéisation du parc informatique, nous avons choisi de remplacer les ordinateurs définis comme trop vieux (ayant atteint 3 ans) et d’attribuer des ordinateurs portables à tout le personnel. Nous avons aussi décidé de leur attribuer des bases afin de profiter du câblage réseau déjà effectué et attribuer aux utilisateurs des conditions de travail plus ergonomiques sur leurs postes. Portables Nous avons donc choisi le modèle R556UA-XX273T de chez Asus qui dispose d’un processeur i5, 4 Go de RAM ainsi que d’un disque dur d’1 To. Il est affiché au prix de 470€ HT.

Stations d’accueil Pour l’accompagner, nous nous sommes penchés sur la base USB3.0 HZ-3 Docking Station de la même marque, qui dispose de plusieurs ports USB supplémentaires, d’une sortie HDMI ainsi que DVI, et une prise réseau. Ce modèle est disponible au prix de 150€ HT.

Écrans et claviers

Nous aurons besoin d'écrans, de claviers et de souris pour chaque ordinateur étant donné que nous installerons des stations de travail à chaque personne. Pour les écrans, nous nous sommes tournés vers le modèle ProLite E2083HSD-B1 e2270Swn de chez AOC pour leur rapport qualité/prix, cet écran fait 19.5 pouces et à une entrée VGA ainsi que DVI pour 90€ HT et 10€ HT pour l’ensemble clavier souris de la marque bluestork.



Chiffrage Nous commanderons 83 ordinateurs portables, afin de remplacer ceux du service OLD, Custom et administratif, ainsi que 89 bases de travails (83 nouveaux ordinateurs portables + 6 PC HP Spectre), 90 écrans et 90 packs clavier et souris. Ce qui nous donne un total de 61503€ HT sans le serveur Coût des serveurs, postes clients et onduleurs

Coût du matériel informatique (€ HT) PU HT Nb Total HT

PCs portables 470.00 € 83 39 010.00 € Stations d'accueil 150.00 € 89 13 350.00 € Écrans + Claviers/souris 100.00 € 89 8 900.00 € Serveurs HPE ProLiant DL360 1 920.00 € 2 3 840.00 € Disques SAS 2To 160.00 € 20 3 200.00 € Onduleurs 550.00 € 4 2 200.00 € License Windows Serveur 2012 400.00 € 2 800.00 € 71 300.00 €

VI.2. Antivirus Au fil de notre projet une problématique c’est soulevé quel antivirus choisir ? En effet aujourd’hui, une centaine de virus apparait chaque mois, cherchant à s’introduire et se propager par le biais d’autres ordinateurs. Pour se protéger, de nombreux antivirus sont mis à disposition. Il en existe des gratuits et des payants, dans notre situation nous avons choisi notre antivirus selon des critères particuliers : Rapidité du scan, la fréquence des mises à jour (celle-ci devant être régulière), la facilité d’utilisation ainsi que les ressources consommées, la machine ne doit pas être ralentie par l’antivirus. Il y a également des logiciels qui s’ajoutent à l’antivirus, Pare-Feu, Anti-spam etc…



Comparatif

Notre choix s’est donc porté. Antivirus: Kaspersky Endpoint Security for Business Advanced Antivirus classé parmi les meilleurs, il propose des mises à jour régulières et une protection intégrale. Pour 100 licences d’un an, le tarif est de 4 600€ HT.

Nous aurions pu opter pour un antivirus gratuit tel que Windows defender mais celui-ci n’offre pas de protection supplémentaire type anti-malwares. Il ne faut pas oublier qu’un programme n’est pas le seul moyen de protection, il faut faire preuve de prudence lors de visite sur des sites Internet et lors de téléchargement. Il peut être utile de prévoir une sensibilisation à la sécurité auprès des employés.



VI.3. Prise de main à distance La prise en main à distance est le fait de pouvoir afficher l'écran d'un ordinateur distant et envoyer des saisies du clavier ainsi que des clics de la souris. Cela est utile afin de venir en aide à un utilisateur inexpérimenté sans avoir à se déplacer. Pour cela, nous voulions utiliser l'outil de prise en main à distance intégré dans Windows, mais il ne permet pas de se connecter à des machines utilisant une distribution de Linux. Nous nous sommes donc tournés vers VNC, qui est gratuit et complet, malgré le fait qu'il soit plus difficile à prendre en main que d'autres solutions. Afin d'utiliser VNC, il faut installer une version "Server" sur le poste à contrôler et une version "Viewer" sur le poste du technicien. La version "Server" sera donc prévue dans l'image globale qui sera installée sur chaque poste.

VI.4. Partage de bureau et Chat et vidéo Pour cette partie, nous avons choisi le logiciel Skype Entreprise, qui permet de partager son écran simplement pour l'utilisateur, qui le fait de lui-même, et de pouvoir entretenir une conversation en utilisant une webcam, un micro ou juste des messages texte. Les conversations Skype ont un nombre maximal de participants à 250 personnes, permettent d'utiliser Powerpoint, de transférer des fichiers et peuvent être accessibles depuis un navigateur en utilisant un URL généré par le logiciel. Les ordinateurs portables choisis intègrent déjà des webcams et des micros, ce qui nous facilite la tâche. Skype est disponible sur tous les systèmes d'exploitation utilisés au sein de l'entreprise.

VI.5. Déploiement d’images Une image consiste en une copie en tout point d'un système d'exploitation installé sur une machine. Le but de cette copie est d'uniformiser le parc informatique afin que tous les ordinateurs disposent du même système d'exploitation, des mêmes paramètres et des mêmes logiciels. Dans notre cas, notre image sera basée sur Windows 10 pour la plupart des ordinateurs. Pour le déploiement, nous utiliserons le rôle intégré à Windows Server appelé WDS (pour Windows Deployment Services), qui est le plus simple à prendre en main et qui nous permet de créer des images et de les déployer. Pour le bon fonctionnement de ce service, le serveur de déploiement d'images doit être le même que le serveur DNS/DHCP, nous l'avons donc installé sur la machine virtuelle SRVBP011.



VII. Sauvegarde Nous allons mettre en place un système de sauvegardes cloisonnées (sauvegardes inaccessibles depuis le réseau) pour éviter d’être touchés par des programmes malveillants du type CryptoLocker qui pourraient rendre nos sauvegardes inutilisables ou les corrompre. Nous archiverons les cartouches de sauvegarde dans un coffre pour éviter qu’elles ne puissent être dérobées. Pour mettre en place cette solution, il nous faut :

• un serveur dédié à la sauvegarde sous Windows 2012 R2 en Baie 02 (aile nord)

• Une robotique de sauvegarde équipée de deux lecteurs de cartouches

• un logiciel de sauvegarde et restauration sur des supports magnétiques

• un local sécurisé dans un bâtiment de notre entreprise disposant d’un coffre-fort

Ces éléments devraient nous assurer un système de sauvegarde fiable et sécurisé. Pour le logiciel de sauvegarde / restauration, nous avons choisi Acronis Back Up dont le support est particulièrement adapté à la sauvegarde de machines virtuelles. Il existe 3 types de sauvegarde :

- Sauvegarde complète ou totale : Toutes les données, répertoires et sous répertoires sont sauvegardés.

- Sauvegarde incrémentale : Ne sauvegarde que les données modifiées ou ajoutées depuis la dernière sauvegarde totale ou incrémentale.

- Sauvegarde différentielle : Ne sauvegarde que les données modifiées ou ajoutées depuis la dernière sauvegarde complète.

Le tableau ci-dessous compare les trois types de sauvegarde :

Sauvegarde complète Sauvegarde différentielle Sauvegarde incrémentielle

Vitesse de sauvegarde Lent Médiocre Rapide

Espace de stockage Haut Moyen Bas

Vitesse de restauration Rapide Médiocre Lent

Planification des sauvegardes : Nous effectuerons une sauvegarde complète le vendredi soir à partir de 21H00 quand plus personne ne travaille. Il n’y aura pas de sauvegarde durant le weekend : personne ne travaille donc pas de modifications de données. Nous effectuerons une sauvegarde incrémentale tous les soirs à partir de 21 heures du lundi au jeudi.

Auxquelles viendront s’ajouter une sauvegarde mensuelle et une annuelle qui seront effectuées le samedi. Une restauration totale se fera donc par la restauration de la dernière sauvegarde complète et des restaurations successives de toutes les sauvegardes incrémentales dans l’ordre de création depuis la dernière sauvegarde complète.



Le système automatisé de sauvegarde à cartouche sera de type SL 48 (Oracle) avec deux lecteurs LTO5 (HP) Les cartouches LTO 5 HP ont une capacité normale de 1,5 To et de 3To en compressé.

Nous utiliserons un jeu de cartouches (5 cartouches) par semaine pour effectuer les sauvegardes, et la semaine suivante nous utiliserons un autre jeu après avoir retiré le précédent afin de le sécuriser dans un coffre adapté. Nous ferons tourner quatre jeux de cette façon sur un mois, puis les cartouches de la première semaine du mois précédent seront réintégrées dans le robot de sauvegarde, remises en scratch et pourront ainsi être réutilisées pour une nouvelle sauvegarde. Un jeu de 40 supports magnétiques sera donc suffisant pour assurer la sauvegarde. (4 x 5 hebdo + 12 mensuelles + 1 annuelle = 33 cartouches) Dans un souci d’uniformité du parc, nous utiliserons le même type de serveur que ceux utilisés en Baie 01 et en Baie 03.

Coût de la solution de backup

Coût du matériel backup (€ HT) TYPE DISQUE QTY PU HT TOTAL HT Serveur HPR ProLiant (Raid) DL360 1 1 920.00 € 1 920.00 € Disque dur SATA SAS 2 To 4 70.00 € 280.00 € License Windows Serveur 2012 2 proc 1 400.00 € 400.00 € Acronis Backup 12.5 1 250.00 € 250.00 € Robotique (autoloader) SL 48 1 5 000.00 € 5 000.00 € Lecteur HP LTO5 2 2 500.00 € 5 000.00 € Cartouches LTO5 40 30.00 € 1 200.00 € Coffre-fort de protection 1 700.00 € 700.00 € 14 750.00 €

Conclusion

Il est clair que cette solution est un peu coûteuse, mais elle nous garantit une sauvegarde cloisonnée et aucune

donnée ne sort de l’entreprise comme dans un hébergement type Cloud.



VIII. Gestion des impressions Serveur d’impression

Nous avons fait le choix d’équiper chaque étage d’une imprimante sauf pour le rez-de-chaussée du bâtiment principal qui ne comporte que le restaurant d’entreprise et un showroom, ce qui nous fait 5 imprimantes au total. Pour la gestion des impressions, nous utiliserons un serveur d’impression dans une VM Windows Server 2012 du serveur 1 en Baie 01. Un serveur d'impression est un serveur qui permet de partager une ou plusieurs imprimantes connectées au réseau et reparties au sein de l’entreprise entre plusieurs utilisateurs. Le serveur d'impression gère également les pilotes des imprimantes, il fournit le pilote au poste de travail lors de la configuration de l’imprimante sur le poste. Cela rend la tâche plus facile lors de la mise à niveau de pilotes ou lorsque le remplacement de l'imprimante est nécessaire. Les documents à imprimer sont placés sur des files d'attente (spool) puis envoyés petit à petit à l'imprimante.

L’utilisation d’un serveur d’impression et donc d’imprimantes partagées offre les avantages suivants : - Facilité d’administration : toutes les imprimantes gérées en un même endroit et gestion des pilotes - Réduction des coûts : moins d’imprimantes, évite la multiplication des consommables de marque et type différents.

- Réduit les frais d'entretien si Imprimantes laser ou multifonction.

- Possibilité d'imprimer directement un document sur une imprimante d'un service différent. - Sécurité accrue : l'administrateur contrôle l'accès aux imprimantes réseau via les groupes et autorisations.

Le serveur d'impression permet de gérer les impressions par priorité et libère des ressources sur la machine qui imprime Choix des imprimantes

Le modèle choisi est une multifonction Brother MFC-L5700DN. Elle est peu chère, fiable et offre des performances correctes pour ce niveau de prix. Elle est laser, monochrome et imprime 40 pages par minute, avec fonction scanner et fax.

Son prix est de 370€ HT.

Mise en œuvre : voir en annexe

https://fr.wikipedia.org/wiki/Serveur_informatiquehttps://fr.wikipedia.org/wiki/Imprimantehttps://fr.wikipedia.org/wiki/Spool



IX. Supervision système et réseau Pour la supervision nous utiliserons CENTREON (surcouche de NAGIOS) qui est une application de surveillance système et réseau. Elle surveille les hôtes et services spécifiés, alerte quand des dysfonctionnements sont détectés, mais aussi quand ils repassent en fonctionnement normal. Ce programme se décompose en trois parties :

• Le moteur de l'application gère les tâches de supervision. • L'interface web, qui donne une vue d'ensemble du système d'information et des possibles anomalies. • Les sondes (appelées greffons ou plugins), ce sont des mini programmes pour superviser chaque service

ou ressource disponible sur l'ensemble des ordinateurs ou éléments réseau du système d’information.

Exemple surveillance serveur SRVBP12

CENTREON

CENTREON



X. Maintenance

• Fournisseur d’accès

Abonnement pro : intervention / réparation sous 4H en jours ouvrables.

• Matériel réseau Nous avons prévu un commutateur en « spare » dans une armoire pour les trois commutateurs d’accès. Pour le cœur de réseau nous aurons également un commutateur, un routeur et un firewall ipcop préconfigurés en spare dans une armoire. Donc pas de contrat de maintenance pour le matériel réseau.

• Serveurs et système de backup Nous aurons 5 disques serveur Dell en spare pour nous dépanner rapidement. Nous prendrons un contrat de maintenance pièces et main-d’œuvre pour nos trois serveurs DELL intervention sous 8H en jours ouvrables.

• Postes utilisateurs Pour les utilisateurs nous aurons quelques postes en « spare » pour nous dépanner rapidement. La réparation des postes en panne sera effectuée par le service informatique CYC.

• Imprimantes Nous prendrons un contrat de maintenance pièces et main-d’œuvre pour les 5 imprimantes. Intervention / réparation à j+2 en jours ouvrés.

• Onduleurs Nous prendrons un contrat de maintenance à j+1 en jours ouvrés, car ces éléments sont importants pour la sécurité des données. (Maintien de l’alimentation puis arrêt propre des serveurs en cas de coupure électrique prolongée.)



XI. Coût du projet

Coût Investissement : matériel (€ HT) PU HT Quantité PU HT (€)

Matériel Réseau Voir détail page 25 15 260.00 € Serveurs - Postes clients - Onduleurs Voir détail page 41 71 300.00 € Solution de backup Voir détail page 45 14 750.00 € Imprimantes Brother 370.00 € 5 1 850.00 € 103 160.00 €

Coût personnel (3 informaticiens) Taux Horaire 200 H 200H x TH

Coût mensuel de fonctionnement (€ HT) Abonnement FAI (Enterprise) 50.00 € Abonnement FAI (invités) + portail captif 30.00 € Contrat maintenance imprimantes à ne pas chiffrer Abonnement Kaspersky rapporté au mois 380.00 € 1 380.00 € 460.00 €

Renouvellement matériel en 2019 (3ans) (€ HT) 2019 : Portables cadres 1 600.00 € 6 9 600.00 € 2019 : Tablette DG 1 200.00 € 1 1 200.00 € 10 800.00 €

On arrive donc à un coût matériel de 103 160 € HT pour la mise à niveau de la totalité du parc informatique.



XII. Conclusion Après 5 mois d’études à 3 informaticiens, ce qui représente environ 200H de travail, nous avons déterminé que pour équiper l’ensemble de l’entreprise en matériel réseau et renouveler la totalité du parc informatique excepté les 7 postes les plus récents nous devrons investir la somme de 103 160 € HT. Nous avons essayé de minimiser au maximum les coûts tout en garantissant une bonne sécurité : tolérance aux pannes, matériel en « spare » et sauvegardes cloisonnées.

I. IntroductionI.1. Rappel du sujetI.2. Présentation de notre entrepriseI.3. Répartition des tâches

II. L’infrastructure réseauII.1. Interconnexion entre les bâtimentsII.2. Convention de nommageII.3. Choix du réseauII.3.a. Étude N 1: solution HA (High Availability)II.3.b. Étude N 2 : Solution plus simple et moins coûteuse.II.3.c. Solution retenue

III. Maquette Cisco Packet TracerIV. Accès à InternetIV.1. Internet invitésIV.2. Internet entreprise

V. ServeursV.1. Annuaire LDAPV.2. DHCPV.3. DNSV.4. GPO et QuotasV.5. FTPV.6. Partage de ressources SAMBA : protocole SMBV.7. Licences Windows ServerV.8. Tolérance de pannesV.9. Choix du matériel informatiqueV.9.a. Serveur physique N 1 (BAIE 01)V.9.b. Serveur physique N 2 (BAIE 03)V.9.c. Onduleurs

VI. Postes clientsVI.1. Choix du matérielVI.2. AntivirusVI.3. Prise de main à distanceVI.4. Partage de bureau et Chat et vidéoVI.5. Déploiement d’images

VII. SauvegardeVIII. Gestion des impressionsIX. Supervision système et réseauX. MaintenanceXI. Coût du projetXII. Conclusion

DOSSIER PROJET ÉVOLUTION - Liverdun · 2018. 5. 29. · Le protocole propriétaire Cisco HSRP (Hot...

Documents

Transcript of DOSSIER PROJET ÉVOLUTION - Liverdun · 2018. 5. 29. · Le protocole propriétaire Cisco HSRP (Hot...