BTS SIO option SISR PPE 2 (Projet Professionnel Encadré) Construit autour de La Maison Des Ligues (M2L) LES MISSIONS Date d’émission : 18/04/2018 Important : - Les questions éventuelles au sujet du présent PPE doivent être formulées par courriel à l’attention de M RIBA - Les projets doivent être remis aux formats docx ou pdf à Mme KANNOUI et Mr RIBA le 10 Juin 2018 dernier délai. Passé ce délai, une pénalité de 2 points sera appliquée par jour de retard.
15
Embed
PPE 2€¦ · la fonction VRRP (HSRP chez Cisco). - La redondance des services réseau DHCP et DNS. Pour satisfaire à l’exigence de haute disponibilité sur l’accès Internet,
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
BTS SIO option SISR
PPE 2
(Projet Professionnel Encadré)
Construit autour de
La Maison Des Ligues (M2L)
LES MISSIONS
Date d’émission : 18/04/2018
Important :
- Les questions éventuelles au sujet du présent PPE doivent être formulées
par courriel à l’attention de M RIBA
- Les projets doivent être remis aux formats docx ou pdf à Mme KANNOUI et Mr
RIBA le 10 Juin 2018 dernier délai. Passé ce délai, une pénalité de 2 points sera
Contexte La Maison des Ligues (La M2L), association agrée du Conseil Régional de Lorraine, est responsable
de la gestion du service des sports et en particulier des ligues sportives ainsi que d’autres structures
hébergées. La M2L, comme vous le constaterez dans l’interview avec son responsable, doit fournir les
infrastructures matérielles, logistiques et des services à l’ensemble des ligues sportives installées.
Pour assurer le développement du système éducatif sportif de la région Lorraine et des offres aux
usagers, le conseil régional et la direction de la M2L ont décidé de développer des services et des
capacités d’hébergement pour les ligues sportives. L’association M2L possède plusieurs compétences et son organisation lui permet de répondre aux
exigences de la région pour assurer l’offre de services et de support technique aux différentes
ligues déjà implantées (ou à venir).
Cahier des charges du réseau M2L
Les équipements du parc informatiques ont été renouvelés et il est maintenant nécessaire de
réaliser la refonte du réseau et de ses infrastructures. Cette refonte permettra de répondre aux
futures exigences en prévision sur les besoins en matière de sécurité et de protection des données.
L’Infrastructure réseau Dans ce projet la structure générale du réseau doit intégrer les fonctionnalités suivantes :
- Les sous réseaux de l’association M2L
- Les sous réseaux des ligues
- Le réseau Backbone
- Le réseau d’accès à Internet
Le réseau M2L héberge les serveurs dans une baie de serveurs installée dans le service Informatique
du département Réseau. Les serveurs hébergent les applications (base de données, WEB,
Sauvegarde etc…), les services réseau et les services de gestion et de supervision du parc
informatique. Le schéma de l’infrastructure générale est donné en Annexe 2.
Plan d’adressage IP La Maison des Ligues comprend 6 départements répartis dans les bâtiments C et D chargés d’assurer
le fonctionnement des structures de l’association. Le département Réseau comprend le service
informatique qui a la responsabilité de l’administration de l’ensemble du parc informatique. Ce service
héberge tous les serveurs qui assurent le fonctionnement de ce parc. Le réseau général est construit autour de l’adresse 172.16.0.0 avec un masque de 19 bits. Ceci permet
de couvrir l’ensemble du plan d’adressage de l’association pour les ligues, M2L mais aussi pour les
2/21
évolutions. L’administrateur a réservé un masque de 26 bits par sous réseau. Les sous réseaux
couvrent les départements de M2L et les ligues. Le plan d’adressage IP 192.168.0.0 /28 est attribué à
la DMZ. L’association M2L possède une capacité d’hébergement d’environ 30 ligues, l’infrastructure
permettra de couvrir 32 ligues maximum. Le tableau en Annexe 3 présente le plan d’adressage IP de l’ensemble du réseau qu’il faut compléter.
Ce plan d’adressage tient compte d’une exploitation des adresses IP pour les postes clients en mode
dynamique par 2 serveurs DHCP. Si un serveur DHCP devient indisponible, l’autre serveur assurera la
gestion de l’ensemble du parc pour chaque sous réseau en évitant toute duplication d’adresses IP. Un bloc de 12 adresses IP est réservé pour les équipements en adressage fixe et ceci pour chaque
sous réseaux. Des règles d’ingénierie ont été définies et imposent de placer les plages d’adresse fixe
sur les adresses les plus hautes de chaque sous réseau.
Nota : La maquette n’intègre que les 2 premiers VLAN de l’association M2L (Vlan Réseau et
administratif) et les 3 premières ligues (Tennis, Basket et Athlétisme).
Les éléments du réseau
Ce réseau regroupe les fonctions suivantes :
• Une structure de VLAN de niveau 3 sera utilisée pour les sous réseaux de l’association M2L et
des ligues. Cette structure permet de limiter les domaines de diffusion. L’association M2L
comprend 6 VLAN, chaque ligue est intégrée dans un VLAN.
Les VLAN sont identifiés dans le plan d’adressage IP par le troisième octet qui prend pour
valeur le N° du VLAN.Les VLAN 2 à 9 sont réservés pour l’association M2L, les ligues
utilisent les VLAN 10, 11, 12 etc…
• Un réseau backbone assure le lien entre les Ligues, M2L, la DMZ et l’accès à Internet.
Ce backbone sera administré par le protocole de routage dynamique OSPF.
• les serveurs DHCP et serveur de nom DNS assurent la gestion des machines, il n’y a pas de
délégations DNS mais on installera un serveur DNS secondaire. Le service DHCP est installé
dans 2 serveurs physiquement séparés pour assurer la tolérance aux pannes. Le 2ème serveur
DHCP est installé sous Linux Debian. Tous les serveurs sont virtualisés tout comme ceux de la
DMZ.
• Le routeur RM2L intègre un pare feu qui règlemente le trafic entre les utilisateurs internes, la
DMZ et l’accès à Internet. Le contrôle d’accès est réalisé via un filtrage utilisant les ACL Cisco.
• L’accès à Internet assuré par le routeur RFAI qui fournit un abonnement symétrique SDSL
30Mb/s. Ce routeur est administré par le service informatique avec l’adresse IP publique
fixe 221.87.149.1 fournie par l’Opérateur Orange via un contrat Orange Pro.
• Une zone tampon intermédiaire DMZ héberge un serveur WEB et un serveur de
téléchargement FTP permettant au public Internet d’accéder aux informations relatives
à chaque ligue. Cette zone sera accessible depuis l’Internet et le réseau interne.
3/21
Infrastructure de commutation
Les ligues sont réparties sur des commutateurs d’accès. Un commutateur de distribution assure le lien
entre les commutateurs d’accès et le routeur du réseau backbone (routeur RLIGUES).
Les commutateurs d’accès seront reliés au commutateur de distribution par des agrégations de liens
en Etherchannel (Technologie Cisco). Ces liens principaux supporteront le trafic des ligues en
fonctionnement normal. Une liaison de secours reliera les commutateurs d’accès entre eux constituant
ainsi un chemin redondant en cas de panne d’un des liens principaux.
Cette structure de réseau de commutateurs à chemin redondant garantit la continuité du service sur la
transmission des données par les 3 commutateurs connectés en boucle. Le spanning-tree doit être
configuré pour privilégier le trafic sur les liaisons Etherchannel en phase opérationnelle.
Pour l’installation vous prévoirez 10 ports par ligue sur le commutateur SW1M2L. Le commutateur des
ligues SW2LIG hébergera les 2 premières ligues et SW3LIG la troisième.
Service d’accès à Internet
Le service d’accès à Internet utilisera un routeur ADSL connecté au réseau de l’opérateur Orange. Ce
routeur appartient à l’association qui en assurera la gestion.
La sécurité des échanges entre l’Internet et le réseau interne est assurée par un Pare Feu intégrée
dans le routeur M2L. Cette fonction utilise les règles de contrôle d’accès ACL qui seront configurées
dans le routeur pour répondre aux contraintes suivantes :
• Les Internautes peuvent accéder à la DMZ mais pas au réseau privé.
• Les sous réseaux M2L et des ligues peuvent accéder à Internet et aux ressources de la
DMZ.
• Le trafic ICMP est autorisé sans restriction pour les équipements du service Informatique.
• Le trafic ICMP provenant de l’Internet est interdit.
• Seules les consoles d’administration du service Informatique peuvent envoyer des paquets
″Ping″ ou ″Trace Route″ pour administrer le réseau interne et l’Internet.
4/21
Service d’administration à distance sécurisé Pour pallier à certaines failles de sécurité relative à l’administration à distance des équipements
constituant le réseau, l’administrateur souhaite intégrer une application d’administration utilisant un
protocole sécurisé empêchant ainsi de possibles prises de contrôle sur les équipements par des
utilisateurs non autorisés. L’administrateur décide d’utiliser le protocole SSH pour administrer son
réseau.
Pour cela un réseau de gestion sera intégré au réseau M2L qui permettra la prise de contrôle à
distance des équipements de réseau à partir des consoles d’administration du service informatique.
Le réseau de gestion sera placé dans le VLAN 99 et comprendra 2 sous réseaux. Le sous réseau de
gestion des équipements des ligues (masque /28) et le sous réseau de gestion des équipements
M2L (masque /29).
Service de haute disponibilité
Le réseau doit assurer une disponibilité maximale du service pour les utilisateurs selon les
recommandations de la commission sécurité de la région Lorraine.
Cette exigence trouve une solution par l’implantation de matériels et de liens redondants sur les nœuds
stratégiques du réseau afin de pallier aux défaillances possibles de ces éléments.
Il vous est demandé de préparer l’installation et la configuration des éléments permettant d’améliorer la
disponibilité du service sur les nœuds suivants :
- Le réseau de commutation des ligues comprenant les commutateurs d’accès et de
distribution reliés en boucle permettant l’implémentation de chemins redondants ainsi que
le doublement des liaisons entre commutateurs par agrégation de liens pour pallier aux
ruptures de liens.
- Accès Internet à haute disponibilité grâce à la redondance du routeur d’accès FAI utilisant
la fonction VRRP (HSRP chez Cisco).
- La redondance des services réseau DHCP et DNS.
Pour satisfaire à l’exigence de haute disponibilité sur l’accès Internet, l’association à acquit deux
contrats Internet auprès de son FAI. Le contrat principal assure un accès haut débit Fibre optique
utilisé en tant que lien principal et un deuxième contrat assurant un lien en secours de l’accès principal.
Les contrats Internet sont fournis par 2 opérateurs afin de respecter l’exigence de haute disponibilité.
Un accès Internet haut débit fibre sera utilisé pour l’accès principal, le 2ème accès sera le lien de
secours. L’opérateur de l’accès principal vous a attribué l’adresse IP 221.87.149.1 /30 et 183 .44.71.1
/30 pour l’accès de secours.
5/21
Service DHCP
Chaque sous réseau se verra attribuer une étendue DHCP de la part d’un des deux serveurs
redondants. Les 2 serveurs sont actifs ensemble pour éviter une rupture de services.
Le 1er serveur est intégré au serveur contrôleur de domaine Active Directory tout comme le serveur
DNS principal. Le 2ème serveur sera installé dans une autre machine physique sous le système Linux
Debian actuellement en version 8.7.
Pour éviter des problèmes de conflit d’adressage entre les 2 serveurs il faudra envisager 2 plages
d’adresses différentes prises dans chaque sous réseaux en /26 (voir § plan d’adressage IP ci-dessus).
Les 2 serveurs doivent être absolument alignés avec les mêmes paramétrages pour ne pas générer de
disparité au niveau des postes clients. Pour des raisons de sécurité le bail DHCP sera ramené à 24 heures.
Schéma général de l’installation
Les installations sur la maquette seront effectuées avec les équipements du laboratoire. Vous
disposerez des routeurs de type 2611XM et des commutateurs de type 2950-24 ainsi que des serveurs
et postes en virtualisation (VirtualBox), câbles et outils d’analyse (Wireshark) et des documents de
support ″FTA08 Commandes CLI Cisco″, ″ Commandes CLI Linux″ et autres documents Fiches
techniques pour vous permettre d’effectuer la mise au point et les tests de votre maquette.
Les équipements de réseau seront configurés en utilisant les lignes de commandes script CLI
Cisco avec une configuration de base qui sécurisera l’accession aux CLI.
6/21
La Mission
Dans ce contexte vous devez préparer le déploiement du réseau M2L qui comprendra les tâches
suivantes :
➢ La préparation du plan d’adressage IP pour les départements M2L et les 3 premières ligues (Ligue de Tennis, Basket Ball et Athlétisme),
➢ Installation de l’infrastructure de commutation des Ligues et de M2L comme décrit dans le schéma général,
➢ Installation du réseau Backbone et des services réseau,
➢ Installation du service d’accès à Internet.
➢ Réalisation des tests et validation de la maquette
Vous préparerez les documents nécessaires à ce déploiement qui comprendront :
• Le document de projet qui présentera l’organisation du projet, les phases de conception, de
déploiement et de tests avec les délais de réalisation et les parties financières et juridiques,
• Le document technique d’infrastructure qui décrira les fonctions installées avec les données
de configuration (ports accès, spanning-tree, trunk, OSPF etc…), les fichiers de configuration,
schémas, tableaux de brassage, choix des matériels et leurs caractéristiques techniques,
• Le document de recette qui présentera la liste des tests qui seront réalisé permettant de
valider l’infrastructure.
7/21
ANNEXE 1 - Fiches de test
FICHE : NOM-TEST
No Type Environnement Date test scénario
Description du test
Résultats attendus
Description technique
8/21
Machine VIRTU1
Machine VIRTU2
ANNEXE 3 - PLAN D’ADRESSAGE IP
VLAN M2L
VLAN 2 VLAN 3 VLAN 4 VLAN 5 VLAN 6 VLAN 6 INFORMATIQUE ADMINISTRATIF DIR GENERALE COMMERCIAL JURIDIQUE RESSOURCES
Masque
Adresse du réseau
Adresse Bdcast
Plage adresse
DHCP1
Plage adresse
DHCP2
Plage fixe
Serveurs DHCP
Passerelle
VLAN LIGUES TENNIS VLAN10 ATHLE VLAN11 BASKET VLAN12 VTT VLAN13 - - - - LIGUE N VLAN N
Masque
Adresse du réseau
Adresse Bdcast
Plage adresse
DHCP1
Plage adresse
DHCP2
Plage fixe
Passerelle
11/21
Mission 2 : Administration système (Serge RIBA)
Le contexte L’une des préoccupations de l’administrateur de la Maison des Ligues consiste à offrir un service de
qualité dans un temps raisonnable aux différents services de la M2L et aux ligues qui s’installent.
Afin d’optimiser sa charge de travail et de répondre rapidement aux sollicitations des utilisateurs, il
essaie d’automatiser au maximum certaines tâches administratives.
Pour rappel, le réseau logique de la M2L est organisé en domaine. Les services et les ligues (les sous-
réseaux) sont organisés en unités d’organisation. Le service de contrôle de domaine Active Directory
doit être présent et configuré pour recevoir ces missions. Nous travaillerons sur les systèmes Microsoft
Administration server 2012 et Debian 8.7 dans des machines virtuelles installés sur les 2 machines